Falha em drone da DJI dava acesso a imagens e dados de usuários

Hackers podem ter espionado em tempo real frotas de drones usadas em infraestrutura crítica, incluindo dados de rotas de voo e vídeo em tempo real e feeds de áudio, segundo pesquisa da Check Point e confirmada pela fabricante de drones DJI em um comunicado. A falha de segurança, relatada pela Check Point em março deste ano, já foi corrigida.

Popular entre os entusiastas, os drones DJI também são amplamente utilizados na indústria, fabricação, agricultura e infraestrutura crítica, e entre o pessoal de resposta a emergências, incluindo policiais e bombeiros.

“O pior é que há um aplicativo chamado FlightHub, que é muito sofisticado, basicamente um aplicativo que fornece recursos de gerenciamento entre dois drones ou centenas de drones, alguns executando missões automatizadas”, disse Oded Vanunu, chefe de pesquisa de vulnerabilidade da Check Point. “E isso está sendo usado por muitos policiais, bombeiros, departamentos de polícia, instalações governamentais, para mapear seu ambiente”.

“Os usuários do sistema de gerenciamento de frota DJI FlightHub poderiam ter acesso a informações de voos ao vivo”, escreveu a DJI em um comunicado.

Os dados de drone são sincronizados sem criptografia com a infraestrutura de nuvem da DJI, e o DJI não oferece armazenamento em nuvem com criptografia controlada pelo usuário. A fabricante de drones oferece um modo de dados local que desativa a sincronização em nuvem, disse a DJI.

Falha deu acesso ao aplicativo DJI, loja virtual e dados do servidor em nuvem

Os pesquisadores da Check Point descobriram uma vulnerabilidade no processo de autenticação do usuário que permitiria que um invasor roubasse contas de usuários e obtivesse acesso ao armazenamento na web da DJI, aos dados do servidor em nuvem e ao FlightHub. “A vulnerabilidade foi acessada através do Fórum DJI, um fórum on-line que a DJI realiza para discussões sobre seus produtos”, concluíram os pesquisadores em seu relatório. “Um usuário que fez login no DJI Forum e, em seguida, clicou em um link malicioso especialmente criado, poderia ter suas credenciais de login roubadas para permitir o acesso a outros ativos on-line do DJI.”

Os especialistas foram capazes de sequestrar contas de usuários por causa de um processo de autenticação quebrado entre o fórum de usuários do DJI, forum.dji.com e o servidor de autenticação principal.

A vulnerabilidade reside no processo de identificação do DJI, “Relatórios do Check Point”. O DJI usa um cookie que o invasor pode obter para identificar um usuário e criar tokens ou tickets para acessar suas plataformas. Através do uso deste cookie, um invasor pode simplesmente sequestrar a conta de qualquer usuário e assumir o controle total sobre qualquer conta do DJI Mobile Apps, Conta da Web ou DJI FlightHub”.

Um ataque de engenharia social no fórum do DJI teria sido suficiente para comprometer milhares de drones. O fórum DJI ativo contém centenas de milhares de usuários entusiastas de drones que terão prazer em clicar em links, acreditando que eles sejam seguros.

“Depois que conseguimos executar o código, começamos a revisar a lógica de negócios do fórum”, diz Vanunu. “É uma comunidade de usuários muito grande, centenas de milhares de eventos todos os dias. É um fórum muito ativo e também uma forma de compartilhar vídeos.”

“Hoje sabemos que a engenharia social é o principal vetor de ataque em todos os espaços”, acrescenta. “Então, este é o terreno perfeito para um usuário falso apenas colocar uma URL falsa. ‘Eu tenho novas partes para o DJI Pro disponível para venda, aqui está um link.'”

Hackear o aplicativo móvel DJI deu um pouco mais de trabalho, mas eventualmente isso também caiu. Depois de fazer engenharia reversa do aplicativo móvel para quebrar a certificação de pinos do DJI, os pesquisadores conseguiram o tráfego do meio-termo (MitM) para o servidor DJI usando o Burp Suite.

DJI tenta superar problemas de segurança

DJI tem lutado com problemas de segurança ultimamente. No ano passado, o Departamento de Defesa dos Estados Unidos disse ao Exército para parar de usar drones DJI por causa de preocupações de segurança. “Cesse todo o uso, desinstale todos os aplicativos DJI, remova todas as baterias / mídia de armazenamento dos dispositivos e proteja o equipamento para seguir em direção”, escreveu o tenente-general Joseph H. Anderson, vice-chefe de equipe de planos e operações do Exército em um memorando. O documento diz que isso se deve à “maior conscientização das vulnerabilidades cibernéticas associadas aos produtos DJI”.

“Aplaudimos a experiência que os pesquisadores da Check Point demonstraram através da divulgação responsável de uma vulnerabilidade potencialmente crítica”, disse Mario Rebello, vice-presidente e gerente nacional da DJI, em um comunicado: “Essa é exatamente a razão pela qual a DJI criou nosso programa de recompensas de bugs”.