DJI Mavic 2 Pro y Mavic 2 Zoom, nuevos drones con cámara Hasselblad

Las filtraciones, vulnerabilidades y los escándalos por fallos de seguridad no son nada nuevo. Este 2018 hemos visto como diferentes empresas han tenido que dar explicaciones acerca del uso de los datos recopilados o como redes sociales de empresas cavaban su propia tumba. El fallo de seguridad en los drones y las apps de DJI ha sido solucionado a tiempo sin tener que lamentar ningún tipo de incidente.

DJI es una empresa reconocida a nivel global por sus drones, usados tanto profesionalmente como de forma recreativa. El control del dron se realiza con un mando al que se le puede acoplar un dispositivo móvil, en este dispositivo ha de estar instalada la aplicación de DJI y para acceder a ella hemos de registrarnos usando un correo electrónico y poniendo nuestros datos personales. El problema surge cuando una vulnerabilidad pone en peligro los datos personales de los propietarios de los drones.

Vulnerabilidad en la aplicación y web de DJI

DJI lleva años fabricando drones y esto se nota, han creado casi un ecosistema para el usuario. Al hacer volar el dron los datos de vuelo entre los que se incluye un mapa del recorrido, los archivos de vídeo o fotografías realizadas además de los datos más específicos del vuelo como altitud, velocidad, distancia son subidos a FlightHub. Por lo tanto, si se hubiese llegado a acceder a estos datos, los usuarios se verían comprometidos ya que tendrían además de los datos personales sus recorridos con el dron, archivos de imagen o vídeo de los mismos.

La vulnerabilidad se resolvió a tiempo, ningún usuario tuvo que lamentar sus datos filtrados. La propia DJI calificó este fallo de seguridad como de alto riesgo, pero de poca probabilidad. Para que los usuarios sean afectados necesitan realizar una interacción que les exponga. Esta interacción es hacer clic en un link, este link estaba perfectamente pensado para llevar al usuario a una página idéntica a la de DJI, pero siendo esta falsa, así el usuario pondría sus datos y estos se expondrían a los atacantes.

Cualquier usuario experimentado o con un mínimo de conocimiento desconfiaría de un link de este tipo. Este link estaría expuesto en el foro de DJI dónde los usuarios se reúnen para hablar de los aparatos de la empresa e intercambiar consejos. Los atacantes se habrían aprovechado de un lugar común para los usuarios dónde reina la confianza al ser un foro oficial para poner en marcha su ataque e intentar robar los datos de los diferentes usuarios.

Al robar los datos, los atacantes tendrían un control completo sobre la cuenta del usuario y sobre el dron. Solo haría falta acercarse al lugar dónde se encuentre el dron y podrían tomar control del mismo. No sería complejo ubicar al dron puesto que se tendría acceso a sus registros de vuelo para averiguar su ubicación en el caso de que la persona no la haya especificado en su cuenta de DJI.

Por el momento DJI ha actuado como corresponde respecto a este tipo de problemas. Han conseguido solucionar la vulnerabilidad y evitar que los usuarios sufran una filtración de sus datos, pero como indica la propia empresa van a seguir trabajando para crear sistemas de seguridad que eviten fallos de este tipo, tanto a nivel web como en su aplicación. Solo nos queda esperar y ver las propuestas de la empresa de drones para mejorar la seguridad.

Otras noticias sobre... , ,