Pesquisadores de Bochum e Saarbrücken detectaram vulnerabilidades de segurança, algumas delas graves, em vários drones fabricados pelo fabricante DJI. Isso permite que os usuários, por exemplo, alterem o número de série de um drone ou substituam os mecanismos que permitem que as autoridades de segurança rastreiem os drones e seus pilotos. Em cenários de ataque especiais, os drones podem até ser derrubados remotamente durante o vôo.
A equipe liderada por Nico Schiller do Horst Görtz Institute for IT Security na Ruhr University Bochum, Alemanha, e o professor Thorsten Holz, anteriormente em Bochum, agora no CISPA Helmholtz Center for Information Security em Saarbrücken, apresentarão suas descobertas na Rede e Simpósio de Segurança de Sistemas Distribuídos (NDSS). A conferência acontecerá de 27 de fevereiro a 3 de março em San Diego, EUA.
Os pesquisadores informaram a DJI sobre as 16 vulnerabilidades detectadas antes de divulgar as informações ao público; durante o processo de divulgação responsável, o fabricante corrigiu esses problemas.*
Quatro modelos postos à prova
A equipe testou três drones DJI de diferentes categorias: o pequeno DJI Mini 2, o médio Air 2 e o grande Mavic 2. Mais tarde, os especialistas em TI também reproduziram os resultados para o modelo Mavic 3 mais recente. Eles alimentaram o hardware e o firmware dos drones com um grande número de entradas aleatórias e verificaram quais causavam a falha dos drones ou faziam alterações indesejadas nos dados do drone, como o número de série – um método conhecido como fuzzing. Para isso, eles primeiro tiveram que desenvolver um novo algoritmo.
“Muitas vezes temos todo o firmware de um dispositivo disponível para efeito de fuzzing. Aqui, no entanto, não foi esse o caso”, como Nico Schiller descreve esse desafio específico. Como os drones DJI são dispositivos relativamente complexos, o fuzzing teve que ser executado no sistema ao vivo. “Depois de conectar o drone a um laptop, primeiro analisamos como poderíamos nos comunicar com ele e quais interfaces estavam disponíveis para esse fim”, diz o pesquisador de Bochum. Descobriu-se que a maior parte da comunicação é feita por meio do mesmo protocolo, chamado DUML, que envia comandos para o drone em pacotes.
Quatro erros graves
O fuzzer desenvolvido pelo grupo de pesquisa gerou pacotes de dados DUML, enviou-os ao drone e avaliou quais entradas causaram a falha do software do drone. Tal travamento indica um erro na programação. “No entanto, nem todas as falhas de segurança resultaram em travamento”, diz Thorsten Holz. “Alguns erros levaram a alterações nos dados, como o número de série.” Para detectar tais vulnerabilidades lógicas, a equipe emparelhou o drone com um celular rodando o aplicativo DJI. Eles poderiam, assim, verificar periodicamente o aplicativo para ver se o fuzzing estava alterando o estado do drone.
Todos os quatro modelos testados apresentaram vulnerabilidades de segurança. No total, os pesquisadores documentaram 16 vulnerabilidades. Os modelos DJI Mini 2, Mavic Air 2 e Mavic 3 apresentaram quatro falhas graves. Por um lado, esses bugs permitiram que um invasor obtivesse direitos de acesso estendidos no sistema. “Um invasor pode alterar os dados de log ou o número de série e disfarçar sua identidade”, explica Thorsten Holz. “Além disso, embora a DJI tome precauções para evitar que drones sobrevoem aeroportos ou outras áreas restritas, como prisões, esses mecanismos também podem ser anulados.” Além disso, o grupo conseguiu derrubar os drones voadores no ar.
Em estudos futuros, a equipe de Bochum-Saarbrücken pretende testar também a segurança de outros modelos de drones.
Os dados de localização são transmitidos sem criptografia
Além disso, os pesquisadores examinaram o protocolo usado pelos drones da DJI para transmitir a localização do drone e de seu piloto para que órgãos autorizados – como autoridades de segurança ou operadores de infraestrutura crítica – possam acessá-lo. Ao fazer engenharia reversa do firmware da DJI e dos sinais de rádio emitidos pelos drones, a equipe de pesquisa conseguiu documentar pela primeira vez o protocolo de rastreamento chamado “DroneID”. “Mostramos que os dados transmitidos não são criptografados e que praticamente qualquer pessoa pode ler a localização do piloto e do drone com métodos relativamente simples”, conclui Nico Schiller.
*A versão original do comunicado à imprensa afirmava: “Os pesquisadores informaram a DJI sobre as 16 vulnerabilidades detectadas antes de divulgar as informações ao público; o fabricante tomou medidas para consertá-los.” Como as vulnerabilidades já foram corrigidas, o texto foi atualizado em 3 de março de 2023, 11h20.
Pingback: DJI diz que corrigiu falhas de segurança de firmware de drones antes da publicação de pesquisa revelando-as – Dronemodelismo