DJI corrige una vulnerabilidad masiva en las cuentas de usuario que podría haber permitido a los piratas informáticos tomar el control de su dron y robar información personal

Fuente DJI Spark - DigitalTrends

Los drones DJI son la tendencia candente del siglo XXI. Sin embargo, por muy funcionales y bien construidos que sean, algunas vulnerabilidades en ellos podrían representar una seria amenaza para su seguridad. Como estos drones dependen de una cuenta DJI para funcionar, puede tener serios problemas si un pirata informático obtiene acceso a su cuenta. El pirata informático puede acceder a su dron y volar o estrellarlo en una zona más sensible o sin vuelo. No solo eso, también se puede acceder a la información personal a través del exploit y eso puede ponerlo en mayor peligro. Según investigadores de, la firma de ciberseguridad Punto de control , Las cuentas de DJI tienen tres vulnerabilidades principales:

• Error de cookies seguras en el proceso de identificación de DJI
• Un defecto de cross-site scripting (XSS) en su foro
• Un problema de fijación de SSL en su aplicación móvil

Los piratas informáticos pueden explotar las debilidades mencionadas anteriormente simplemente publicando un enlace en uno de los foros como cebo de clics y tan pronto como el usuario inicie sesión en su cuenta DJI, ¡voilá! Tienen acceso completo a la cuenta. Los piratas informáticos pueden usarlo para rastrear los movimientos del dron a través de la cobertura del mapa en vivo que también puede exponer la ubicación del usuario. Incluso obtienen acceso a las fotos personales del usuario capturadas a través de la cámara.

Explotar infografía
Fuente - TheHackerNews

Además, los piratas informáticos también pueden obtener acceso a su dron directamente bombardeándolo con múltiples solicitudes de conexión inalámbrica en sucesiones rápidas, lo que hace que el paquete de datos no funcione correctamente y se estrelle el dron. El pirata informático puede enviar al dron un paquete de datos excepcionalmente grande que excedería la capacidad de búfer del dron y lo bloquearía instantáneamente. Además, el pirata informático puede enviar un paquete digital falso desde su computadora portátil o PC, que puede hacerse pasar por una señal enviada desde el controlador real, lo que les permite controlar su dron. Al usar su dron, los piratas informáticos pueden incluso cometer delitos potenciales, como volarlo a áreas sensibles, y nunca lo sabrá. Del mismo modo, al tomar el control de su cuenta, los piratas informáticos pueden robar fácilmente su dron aterrizándolo en su propia puerta.

Estas vulnerabilidades se descubrieron mediante Programa de recompensas por errores de DJI , donde se anima a los investigadores a informar del error descubierto a cambio de una recompensa económica. Aunque los detalles exactos de la recompensa financiera otorgada se mantuvieron ocultos, se dice que la recompensa por error es de hasta $ 30,000 por informar una sola vulnerabilidad. thehackernews.com afirma que la vulnerabilidad se informó al equipo de seguridad en marzo de 2018 y el problema se resolvió con éxito seis meses después, en septiembre de 2018. DJI clasificó la falla de seguridad como 'alto riesgo - baja vulnerabilidad' debido a su requisito de que el usuario ya haya iniciado sesión su cuenta DJI. Sin embargo, el último parche de seguridad ha abordado la susceptibilidad del sistema a tales ataques en los que los datos se transmiten en secreto al pirata informático.