A DJI respondeu ao estudo que revelou falhas de segurança significativas no firmware que controla quatro de seus modelos, oferecendo garantias de que foi informado sobre as lacunas e se moveu para eliminá-las antes que os pesquisadores alemães por trás da descoberta divulgassem suas descobertas.
Como relatamos aqui, pesquisadores do Horst Görtz Institute for IT Security da Ruhr University Bochum conduziram experimentos que finalmente permitiram que eles cancelassem várias medidas de segurança no firmware de quatro populares drones DJI . Um deles poderia permitir que hackers de terceiros determinassem a localização exata dos pilotos que operam UAVs comprometidos, enquanto outros resultaram na alteração de elementos-chave destinados ao uso remoto de embarcações pelas autoridades – incluindo números de série.
Essas descobertas surgiram da equipe que submeteu os drones DJI – um Mini 2 , Mavic Air 2 , Mavic 2 e Mavic 3 – a experimentos fuzzing, durante os quais o firmware das embarcações foi bombardeado por entradas de dados aleatórios transmitidos que provocaram falhas ou funcionamento alterado. Os pesquisadores então identificaram modificações que incluíam identificação imprecisa de UAV e recursos de localização de pilotos representando possíveis vulnerabilidades de segurança.
“Um invasor pode alterar os dados de log ou o número de série e disfarçar sua identidade ”, disse o pesquisador principal Thorsten Holz sobre os testes. “Além disso, embora a DJI tome precauções para evitar que drones sobrevoem aeroportos ou outras áreas restritas, como prisões, esses mecanismos também podem ser anulados.”
Hoje, a DJI respondeu à considerável cobertura da mídia que o estudo atraiu, garantindo aos usuários que já havia tomado medidas para corrigir os possíveis pontos fracos do firmware. Ao fazer isso, observou que Holz e sua unidade haviam – conforme estipulado em seu relatório – alertado o programa Bug Bounty da empresa sobre suas descobertas antes de liberá-las para que medidas corretivas pudessem ser tomadas pela DJI.
Esta manhã, a empresa disse que fez exatamente isso, fornecendo informações sobre o desenvolvimento do firmware – mas sem realmente explicar as origens das falhas.
“A solução Drone ID que a DJI projetou há alguns anos estava alinhada com as soluções regulatórias de Remote ID em muitas jurisdições, incluindo os Estados Unidos e a União Europeia, que adotaram esses requisitos obrigatórios como um novo padrão da indústria”, disse a DJI em um comunicado . twittar hoje. “Também reconhecemos a maior expectativa de segurança de dados nos últimos anos… A segurança é a principal prioridade da DJI. Avaliaremos os requisitos legais e de segurança internacionais para Remote ISD e exploraremos possíveis soluções no futuro.”
