Pesquisadores alemães especialistas em segurança virtual da Universidade de Bochum, em parceria com o CISPA (Centro Helmholtz de Segurança da Informação), identificaram falhas de segurança graves em drones da marca DJI. Entre as 16 falhas encontradas, 14 utilizavam o acesso dos operadores pelo smartphone e, potencialmente, poderiam dar ao invasor o poder de derrubar um drone em pleno voo. Segundos a pesquisa, as vulnerabilidades permitiam identificar as localizações de ambos piloto e drone, acessar dados sincronizados em nuvem e modificar credenciais de identificação do dispositivo.
Uma das medidas para a regulamentação de drones envolve o protocolo DroneID, que transmite informações em tempo real aos órgãos reguladores de tráfego aéreo. Entre esses dados estão as posições do usuário e do dispositivo, bem como credenciais de acesso e registro.
Ao realizar uma análise superficial de eventuais portas de entrada no sistema dos drones, os pesquisadores observaram que o protocolo em questão não estava encriptado. Utilizando práticas simples de engenharia reversa, era possível acessar todas essas informações. Além disso, também era possível explorar falhas de segurança via cookies de identificação nos fóruns da DJI. Por se tratar de um sistema de usuários integrados, este ataque dava aos hackers a possibilidade de assumir o controle das contas, e outras informações sigilosas.
DJI libera atualização com correções
Em ambos os casos, ganhava-se acesso remoto ao smartphone do operador e, por consequência, do drone. Isso permitia que ele fosse derrubá-lo em pleno voo. Ainda era possível alterar número de série do aparelho, disfarçando sua identidade, e burlar medidas de segurança que impedem que drones sobrevoem zonas restritas, como aeroportos e presídios. Anteriormente, a empresa já havia emitido pedido de atualização aos consumidores para reparar erros em visualização de mapas e melhor a precisão.
Por se tratarem de questões extremamente delicadas, os pesquisadores apresentaram o relatório completo de vulnerabilidades à DJI antes de publicarem a pesquisa. Em nota, a DJI afirmou que todas as falhas de segurança apontadas já foram corrigidas.
— DJI (@DJIGlobal) March 8, 2023
