Vulnerabilidades de segurança detectadas em drones fabricados pela DJI

Pesquisadores de Bochum e Saarbrücken detectaram vulnerabilidades de segurança, algumas delas graves, em vários drones fabricados pelo fabricante DJI. Isso permite que os usuários, por exemplo, alterem o número de série de um drone ou substituam os mecanismos que permitem que as autoridades de segurança rastreiem os drones e seus pilotos. Em cenários de ataque especiais, os drones podem até ser derrubados remotamente durante o vôo.

A equipe liderada por Nico Schiller do Horst Görtz Institute for IT Security na Ruhr University Bochum, Alemanha, e o professor Thorsten Holz, anteriormente em Bochum, agora no CISPA Helmholtz Center for Information Security em Saarbrücken, apresentarão suas descobertas na Rede e Simpósio de Segurança de Sistemas Distribuídos (NDSS). A conferência acontecerá de 27 de fevereiro a 3 de março em San Diego, EUA.

Os pesquisadores informaram a DJI sobre as 16 vulnerabilidades detectadas antes de divulgar as informações ao público; o fabricante tomou medidas para corrigi-los.

Quatro modelos postos à prova

A equipe testou três drones DJI de diferentes categorias: o pequeno DJI Mini 2, o médio Air 2 e o grande Mavic 2. Mais tarde, os especialistas em TI também reproduziram os resultados para o modelo Mavic 3 mais recente. Eles alimentaram o hardware e o firmware dos drones com um grande número de entradas aleatórias e verificaram quais causavam a falha dos drones ou faziam alterações indesejadas nos dados do drone, como o número de série – um método conhecido como fuzzing. Para isso, eles primeiro tiveram que desenvolver um novo algoritmo.

“Muitas vezes, temos todo o firmware de um dispositivo disponível para fins de fuzzing. Aqui, no entanto, não foi o caso”, diz Nico Schiller. Como os drones DJI são dispositivos relativamente complexos, o fuzzing teve que ser executado no sistema ao vivo. “Depois de conectar o drone a um laptop, primeiro analisamos como poderíamos nos comunicar com ele e quais interfaces estavam disponíveis para esse fim”, diz o pesquisador de Bochum. Descobriu-se que a maior parte da comunicação é feita por meio do mesmo protocolo, chamado DUML, que envia comandos para o drone em pacotes.

Quatro erros graves

O fuzzer desenvolvido pelo grupo de pesquisa gerou pacotes de dados DUML, enviou-os ao drone e avaliou quais entradas causaram a falha do software do drone. Tal travamento indica um erro na programação. “No entanto, nem todas as falhas de segurança resultaram em travamento”, diz Thorsten Holz. “Alguns erros levaram a alterações nos dados, como o número de série.”

Para detectar tais vulnerabilidades lógicas, a equipe emparelhou o drone com um celular rodando o aplicativo DJI. Eles poderiam, assim, verificar periodicamente o aplicativo para ver se o fuzzing estava alterando o estado do drone.

Todos os quatro modelos testados apresentaram vulnerabilidades de segurança. No total, os pesquisadores documentaram 16 vulnerabilidades. Os modelos DJI Mini 2, Mavic Air 2 e Mavic 3 apresentaram quatro falhas graves. Por um lado, esses bugs permitiram que um invasor obtivesse direitos de acesso estendidos no sistema.

“Um invasor pode alterar os dados de log ou o número de série e disfarçar sua identidade”, explica Thorsten Holz. “Além disso, embora a DJI tome precauções para evitar que drones sobrevoem aeroportos ou outras áreas restritas, como prisões, esses mecanismos também podem ser anulados”. Além disso, o grupo conseguiu derrubar os drones voadores no ar.

Em estudos futuros, a equipe de Bochum-Saarbrücken pretende testar também a segurança de outros modelos de drones.

Os dados de localização são transmitidos sem criptografia

Além disso, os pesquisadores examinaram o protocolo usado pelos drones DJI para transmitir a localização do drone e de seu piloto para que órgãos autorizados – como autoridades de segurança ou operadores de infraestrutura crítica – possam acessá-lo.

Ao fazer engenharia reversa do firmware da DJI e dos sinais de rádio emitidos pelos drones, a equipe de pesquisa conseguiu documentar o protocolo de rastreamento chamado “DroneID” pela primeira vez. “Mostramos que os dados transmitidos não são criptografados e que praticamente qualquer pessoa pode ler a localização do piloto e do drone com métodos relativamente simples”, conclui Nico Schiller.