Un grupo de investigadores de ciberseguridad revelaron el jueves pasado (23 de julio), problemas de seguridad en la aplicación de Android desarrollada por el fabricante chino de drones DJI (Da Jiang Innovations), que viene con un mecanismo de actualización automática que se salta las medidas de seguridad del Google Play Store y podría usarse para instalar aplicaciones maliciosas y transmitir información personal confidencial a los servidores de DJI.
Este problema ha sido reportado en dos informes independientes de las firmas de ciberseguridad Synacktiv y GRIMM, que descubrieron que la aplicación Go 4 de DJI para Android, que la firma china distribuye directamente desde su sitio web, no solo solicita permisos en extenso y recopila datos personales (IMSI, IMEI, el número de serie de la tarjeta SIM), sino que también implementa técnicas de anti-depuración e encriptación del código para frustrar el análisis de seguridad.
Según declarcaciones de Synacktiv: “Este mecanismo es muy similar a los servidores de comando y control encontrados con malware“.
La aplicación de Android tiene más de un millón de instalaciones según las estadísticas de Google Play Store. Pero las vulnerabilidades de seguridad identificadas en la aplicación no se aplican a la versión para iOS, que no está ofuscada, ni tiene la función de actualización oculta.
La empresa de ciberseguridad GRIMM dijo que la investigación se realizó en respuesta a una solicitud de auditoría de seguridad solicitada por un proveedor de tecnología de defensa y seguridad pública no identificado, que buscaba investigar las implicaciones de privacidad de los drones DJI dentro de la aplicación Android DJI GO 4.
Esta aplicación no solo viola flagrantemente las reglas de Google Play Store, sino que las implicaciones de esta función también son enormes. Un atacante podría comprometer el servidor de actualización para atacar a los usuarios con actualizaciones maliciosamente modificadas de la aplicación.
Aún más preocupante, la aplicación continúa ejecutándose en segundo plano incluso después de que se cierra y aprovecha un SDK de Weibo (“com.sina.weibo.sdk”) para instalar una aplicación descargada arbitrariamente, activando la función para los usuarios que han optado por la transmisión en vivo del video del dron a través de la red de Weibo. La empresa GRIMM dijo que no encontró ninguna evidencia de que esta vulnerabilidad fuera explotada para atacar a personas con instalaciones de aplicaciones maliciosas.
Además de esto, los investigadores descubrieron que la aplicación aprovecha MobTech SDK para pasar metadatos sobre el teléfono, incluido el tamaño de la pantalla, el brillo, la dirección WLAN, la dirección MAC, los BSSID, las direcciones Bluetooth, los números IMEI e IMSI, el nombre del operador, el número de serie de la SIM, Información de la tarjeta SD, idioma del sistema operativo y versión del kernel, e información de ubicación.
DJI es el mayor fabricante mundial de drones comerciales y se ha enfrentado a un mayor escrutinio junto con otras empresas chinas por preocupaciones de seguridad nacional, lo que llevó al Departamento del Interior de los EE. UU. a aterrizar su flota de drones DJI a principios de enero.
En mayo pasado, el el Departamento del Interior de los EE.UU. advirtió a las compañías que sus datos pueden estar en riesgo si usan drones comerciales fabricados en China ya que “contienen componentes que pueden comprometer sus datos y compartir su información en un servidor al que se accede más allá de la compañía“.