Populares drones fabricados en China tienen fallas de seguridad

Investigadores de ciberseguridad revelaron el jueves una vulnerabilidad recientemente descubierta en una aplicación que controla el dron de consumo más popular del mundo, lo que amenaza con alimentar las crecientes tensiones entre Estados Unidos y China.

En ambos informes, los investigadores argumentan que una aplicación en el sistema operativo Android de Google que impulsa los drones fabricados por DJI Innovations (DJI) de China recopila una gran cantidad de información personal a la que el gobierno de Beijing podría acceder potencialmente. Miles de clientes de todo el mundo utilizan la aplicación para volar sus aeronaves propulsadas por rotor y equipadas con cámaras.

Como el fabricante de drones comerciales más grande del mundo, DJI se encuentra cada vez más bajo el radar del gobierno de los EE. UU., al igual que otras compañías chinas exitosas. El Pentágono ha prohibido el uso de sus drones y, en enero, el Departamento del Interior decidió continuar inmovilizando la flota de drones de la empresa por motivos de seguridad. DJI dijo que la decisión fue sobre política, no sobre errores de software.

Durante meses, los funcionarios del gobierno de EE. UU. han advertido que el gobierno chino podría explotar las debilidades de los productos tecnológicos para obligar a las empresas chinas a dar información sobre los usuarios de EE. UU. Las empresas chinas deben cumplir con cualquier solicitud del gobierno para entregar datos, según funcionarios estadounidenses.

“Según la ley china, todas las empresas de tecnología chinas deben proporcionar a las autoridades chinas la información que obtienen o almacenan en sus redes a pedido”, dijo William R. Evanina, director del Centro Nacional de Contrainteligencia y Seguridad (R. Evanina). «Todos los estadounidenses deberían preocuparse de que sus imágenes, datos biométricos, ubicación y otros datos almacenados en las aplicaciones chinas deban entregarse a las agencias de seguridad nacional de China».

Funcionarios estadounidenses dicen que la vulnerabilidad del dron es el tipo de agujero de seguridad que Washington teme.

La firma de investigación de seguridad que lo registró, Sinacktiv, Con sede en Francia, y Greene, Ubicada en las afueras de Washington, se descubrió que la aplicación no solo recopila información de los teléfonos, sino que DJI también puede actualizarla sin que Google revise los cambios antes de pasárselos a los consumidores. Esto puede violar los Términos de servicio para desarrolladores de Android de Google.

Los cambios también fueron difíciles de ver para los usuarios, dijeron los investigadores, quienes descubrieron que la aplicación esperaba instrucciones desde lejos, incluso cuando parecía estar cerrada.

«El teléfono tiene acceso a todo lo que hace el dron, pero la información de la que estamos hablando es información del teléfono celular”, dijo Tiphaine Romand-Latapie, ingeniera de Synacktiv. «No entendemos por qué DJI necesita esta información».

La Sra. Romand-Latapie reconoció que la brecha de seguridad no constituía una puerta trasera, ni era una escapatoria que permitiera a los piratas informáticos entrar en un teléfono.

DJI dijo que su aplicación obliga a los usuarios a actualizar para desalentar a los entusiastas que intentan piratear la aplicación para eludir las restricciones gubernamentales sobre dónde y qué tan alto pueden volar los drones.

«Esta función de seguridad en la versión de Android de una de nuestras aplicaciones de control de vuelo casual evita que cualquiera intente sobrescribirnos con una versión pirateada», dijo el portavoz de DJI, Brendan Schulman, en un comunicado. se detecta una versión pirateada, se solicita al usuario que descargue la versión oficial de nuestro sitio web». Agregó que la función no existe en el software utilizado por gobiernos y empresas.

ninguno de los dos Sinacktiv ni Verde Revelación de sus clientes, pero todos han realizado trabajos para empresas aeroespaciales y fabricantes de drones que podrían competir con DJI.

Un portavoz de Google dijo que la compañía estaba investigando las afirmaciones del nuevo informe. Synacktiv no encontró la misma vulnerabilidad en la aplicación para iPhone del fabricante de drones. La App Store de Apple está disponible en China.

«Este estudio es un buen recordatorio de que las organizaciones deben ser conscientes de los riesgos asociados con las diversas tecnologías que utilizan para operar», dijo Christopher Krebs, director de la Agencia de Seguridad de Infraestructura y Ciberseguridad.

Algunas preocupaciones de privacidad sobre los drones son comunes en muchas aplicaciones que recopilan mucha más información de la que los consumidores pueden darse cuenta. Pero otras vulnerabilidades potenciales descritas por los investigadores provienen de intentar atravesar el entorno de Internet muy diferente de China, donde el gobierno puede exigir poca impunidad para los datos de los usuarios y donde existen protecciones legales más amplias en otros lugares, como Estados Unidos.

Por ejemplo, el enlace directo de DJI a las aplicaciones de Android probablemente esté diseñado como una solución para las políticas chinas que bloquean a Google en China, lo que obliga a la empresa a enviar las actualizaciones de la aplicación de Android por sí misma. Los creadores de aplicaciones en China deben confiar en sitios web y tiendas de aplicaciones abarrotados y competitivos para hacer llegar sus productos a los consumidores. Con tales restricciones, las actualizaciones no son fáciles y algunas empresas crean software que se puede actualizar directamente cuando sea necesario.

Gran parte de los datos técnicos recopilados por la aplicación están en línea con las prácticas de vigilancia del gobierno chino, que requieren que los teléfonos celulares y los drones estén vinculados a las identidades de los usuarios.

Estas características se parecen más a errores en lugares como los EE. UU. Con las relaciones entre Estados Unidos y China en su punto más bajo en décadas, la visión de Washington sobre estos temas se ha vuelto sombría, argumentando que si Beijing puede explotar las fallas tecnológicas, eventualmente lo hará.

Un símbolo de la innovación china y una preocupación de seguridad estadounidense desde hace mucho tiempo, DJI ha trabajado para disipar las preocupaciones sobre la seguridad de sus drones, que graban películas, protegen las plantas de energía, cuentan la vida silvestre y ayudan al ejército y la policía. Ha respondido repetidamente a los informes de vulnerabilidades de parches a lo largo de los años y ha trabajado en estrecha colaboración con el gobierno de EE. UU. para abordar otras preocupaciones.

Sin embargo, los investigadores de seguridad de Synacktiv dicen que el patrón de problemas en el código de DJI y las correcciones que implementó rápidamente (lo que sugiere que la empresa está al tanto de algunos problemas pero no los ha solucionado) también es motivo de preocupación.

«Fue una combinación de todos los factores lo que nos hizo sospechar», dijo Romande-Latapi. «Si el usuario no sabe de qué es capaz la aplicación, esto hace que la aplicación sea muy peligrosa para el usuario».

Synacktiv no encontró ninguna carga maliciosa, pero planteó la posibilidad de que las aplicaciones de drones pudieran usarse de esta manera.

Un análisis del software realizado por The New York Times confirmó la función. Un intento de actualizar la aplicación directamente desde los servidores de DJI generó un mensaje de que el teléfono utilizado por The Times «no era elegible para el paquete de actualización».

Si bien el gobierno federal ha dejado de usar drones fabricados en China en gran medida, los gobiernos estatales y locales continúan usándolos, aunque tienen la opción de usar una versión profesional de la aplicación con medidas de seguridad adicionales.

Qiqing Lin contribuyó con la investigación.