Una preocupante vulnerabilidad en los drones DJI ha estado dando a los hackers acceso completo a la cuenta de un usuario sin que nadie se de cuenta.
Investigadores de seguridad de Check Point descubrieron en marzo un fallo en la infraestructura en la nube del fabricante de drones DJI que permitía a los atacantes controlar cuentas de los usuarios y acceder a datos privados como los registros de localización de los drones, mapas, información de la cuenta y fotos o vídeos tomados durante el vuelo.
Sin embargo, DJI dijo que parcheó la vulnerabilidad en septiembre.
Los usuarios fueron presa del ataque al hacer click en un enlace malicioso compartido a través del Foro DJI, un espacio online que la empresa creó para que los usuarios discutan sobre sus productos.
Cualquier usuario que haya hecho click en un “enlace malicioso especialmente plantado” podría haber sido víctima del robo de su información de inicio de sesión, lo que le daría al hacker acceso a los datos de la nube, la información de la cuenta, la tienda, el foro y otros datos.
También les dio acceso a los datos de usuario de FlightHub, el sistema de gestión de flotas de DJI que almacena imágenes en directo.
La vulnerabilidad tenía que ver con los tokens de autenticación. Esto permite a los usuarios moverse entre varios sitios de DJI sin tener que iniciar sesión cada vez.
Los hackers aprovecharon esta característica en la más reciente violación de datos de Facebook en septiembre, lo que comprometió a 50 millones de cuentas de usuario.
“Esta es una vulnerabilidad muy profunda”, dijo Oded Vanunu, jefe de investigación de vulnerabilidad de productos en Check Point, a WIRED.
DJI dijo que Check Point reportó la falla a través de su programa de recompensas de errores y desde entonces la firma ha examinado minuciosamente su software y hardware para asegurarse de que el ataque no pueda ser replicado.
En última instancia, los ingenieros de DJI marcaron la vulnerabilidad como “alto riesgo – baja probabilidad”, porque sería difícil de llevar a cabo en la vida real.
Los ingenieros de DJI parchearon esta vulnerabilidad de manera eficiente y efectiva después de haber sido notificados por Check Point Research.
Check Point detalló cómo los atacantes pudieron acceder a las cuentas de los usuarios. El enlace publicado en los foros incluía un trozo extra de código de software.
Cuando los usuarios hacían click en esa línea de código, se disparaba silenciosamente un script para que se ejecutara en segundo plano, recogiendo las “cookies” que contenían los tokens de acceso de los usuarios. Esto permitió a los hackers eludir capas de seguridad adicionales como la autenticación de dos factores, lo que significa que los usuarios no sabrían si su cuenta había sido comprometida.
