Vulnerabilidades de seguridad detectadas en drones fabricados por DJI

Investigadores de Bochum y Saarbrücken han detectado vulnerabilidades de seguridad, algunas de ellas graves, en varios drones fabricados por el fabricante DJI. Estos permiten a los usuarios, por ejemplo, cambiar el número de serie de un dron o anular los mecanismos que permiten a las autoridades de seguridad rastrear los drones y sus pilotos. En escenarios de ataques especiales, los drones pueden incluso ser derribados de forma remota en vuelo.

El equipo encabezado por Nico Schiller del Horst Görtz Institute for IT Security de la Ruhr University Bochum, Alemania, y el profesor Thorsten Holz, anteriormente en Bochum, ahora en el CISPA Helmholtz Center for Information Security en Saarbrücken, presentará sus hallazgos en la Red y Simposio de seguridad de sistemas distribuidos (NDSS). La conferencia tendrá lugar del 27 de febrero al 3 de marzo en San Diego, Estados Unidos.

Los investigadores informaron a DJI de las 16 vulnerabilidades detectadas antes de divulgar la información al público; el fabricante ha tomado medidas para solucionarlos.

Cuatro modelos puestos a prueba

El equipo probó tres drones DJI de diferentes categorías: el DJI Mini 2 pequeño, el Air 2 mediano y el Mavic 2 grande. Más tarde, los expertos en TI también reprodujeron los resultados para el modelo Mavic 3 más nuevo. Alimentaron el hardware y el firmware de los drones con una gran cantidad de entradas aleatorias y verificaron cuáles causaron que los drones fallaran o hicieran cambios no deseados en los datos del dron, como el número de serie, un método conocido como fuzzing. Para ello, primero tuvieron que desarrollar un nuevo algoritmo.

«A menudo tenemos todo el firmware de un dispositivo disponible para fuzzing. Aquí, sin embargo, este no fue el caso», dice Nico Schiller. Debido a que los drones DJI son dispositivos relativamente complejos, el fuzzing tuvo que realizarse en el sistema en vivo. “Después de conectar el dron a una computadora portátil, primero analizamos cómo podíamos comunicarnos con él y qué interfaces teníamos disponibles para este propósito”, dice el investigador de Bochum. Resultó que la mayor parte de la comunicación se realiza a través del mismo protocolo, llamado DUML, que envía comandos al dron en paquetes.

Cuatro errores graves

El fuzzer desarrollado por el grupo de investigación generó paquetes de datos DUML, los envió al dron y evaluó qué entradas causaron la falla del software del dron. Tal bloqueo indica un error en la programación. «Sin embargo, no todas las brechas de seguridad resultaron en un bloqueo», dice Thorsten Holz. «Algunos errores provocaron cambios en datos como el número de serie».

Para detectar tales vulnerabilidades lógicas, el equipo emparejó el dron con un teléfono móvil que ejecutaba la aplicación DJI. Por lo tanto, podían revisar periódicamente la aplicación para ver si el fuzzing estaba cambiando el estado del dron.

Se encontró que los cuatro modelos probados tenían vulnerabilidades de seguridad. En total, los investigadores documentaron 16 vulnerabilidades. Los modelos DJI Mini 2, Mavic Air 2 y Mavic 3 tenían cuatro fallas graves. Por un lado, estos errores permitieron que un atacante obtuviera derechos de acceso extendidos en el sistema.

«Un atacante puede cambiar los datos de registro o el número de serie y disfrazar su identidad», explica Thorsten Holz. “Además, si bien DJI toma precauciones para evitar que los drones vuelen sobre aeropuertos u otras áreas restringidas como prisiones, estos mecanismos también podrían anularse”. Además, el grupo pudo estrellar los drones voladores en el aire.

En estudios futuros, el equipo de Bochum-Saarbrücken tiene la intención de probar también la seguridad de otros modelos de drones.

Los datos de ubicación se transmiten sin cifrar

Además, los investigadores examinaron el protocolo utilizado por los drones DJI para transmitir la ubicación del dron y su piloto para que los organismos autorizados, como las autoridades de seguridad o los operadores de infraestructura crítica, puedan acceder a él.

Mediante la ingeniería inversa del firmware de DJI y las señales de radio emitidas por los drones, el equipo de investigación pudo documentar el protocolo de seguimiento llamado «DroneID» por primera vez. “Demostramos que los datos transmitidos no están encriptados y que prácticamente cualquier persona puede leer la ubicación del piloto y del dron con métodos relativamente simples”, concluye Nico Schiller.