Investigadores de Bochum y Saarbrücken (Alemania) han encontrado vulnerabilidades de seguridad, algunas graves, en numerosos drones creados por el fabricante DJI. Por ejemplo, permiten a los usuarios cambiar el número de serie de un dron o anular los mecanismos que permiten a las autoridades de seguridad rastrear los drones y a sus pilotos. En escenarios especiales de ataque, los drones podrían ser derribados a distancia en pleno vuelo.

Un equipo dirigido por Nico Schiller y el profesor Thorsten Holz presentará sus conclusiones en el recientemente celebrado Simposio sobre Seguridad de Redes y Sistemas Distribuidos (NDSS).

Los investigadores observaron 16 vulnerabilidades detectadas e informaron a DJI de sus hallazgos antes de hacer pública la información.

Se examinaron cuatro modelos de DJI

Se probaron tres drones DJI, todos ellos de diferentes categorías. El pequeño DJI Mini 2, el mediano Air 2 y el grande Mavic 2 fueron los modelos seleccionados. Más tarde se añadió a la lista el Mavic 3, que también se sometió a las pruebas. El equipo de pruebas alimentó el hardware y el firmware de los drones con entradas aleatorias y controló cuáles provocaban que los drones se bloquearan o realizaban cambios no deseados. En concreto, uno que pudiera alterar el número de serie, un método conocido como fuzzing. Para ello, primero tuvieron que desarrollar un nuevo algoritmo.

“We often have the entire firmware of a device available for the purpose of fuzzing. Here, however, this was not the case,” says Nico Schiller while describing the challenge. Due to DJI drones being complex systems, the fuzzing had to be done in the live system.“After connecting the dron to a laptop, we first looked at how we could communicate with it and which interfaces were available to us for this purpose,” says the researcher from Bochum. As it transpired, the bulk of the communication occurs through a uniform protocol called DUML, which transmits commands to the drone in packets.

Fotografía de los investigadores de Bochum y Saarbrücken
El equipo de investigación de Bochum-Saarbrücken ha analizado diferentes modelos de drones: Nico Schiller, Merlin Chlosta, Nils Bars, Moritz Schlögel, Lea Schönherr, Thorsten Eisenhofer y Thorsten Holz (de izquierda a derecha) © RUB, Marquard

Cuatro errores graves observados

El equipo de investigación creó un fuzzer que producía paquetes de datos DUML, los enviaba al dron y determinaba qué entradas provocaban el fallo del software del dron. Un fallo de este tipo indica un error en la programación. "Sin embargo, no todas las brechas de seguridad provocaron un fallo", explica Thorsten Holz. "Algunos errores provocaron cambios en datos como el número de serie". Para detectar las vulnerabilidades lógicas, el equipo emparejó el dron con un teléfono móvil que ejecutaba la app de DJI. El equipo de investigación comprobó periódicamente la app para ver si el fuzzing estaba cambiando el estado del dron.

The researchers discovered 16 security vulnerabilities in all four models that were tested, with the DJI Mini 2, Mavic Air 2, and Mavic 3 models containing four critical flaws. These bugs enabled attackers to gain extended system access rights, allowing them to modify log data, change serial numbers, and conceal their identity. Additionally, the security mechanisms that DJI implemented to prevent drones from flying over restricted areas, such as airports and prisons, were found to be overrideable. The researchers were also able to cause the drones to crash while in flight.

En futuros estudios, el equipo de Bochum-Saarbrücken pretende probar también la seguridad de otros modelos de drones.

Los datos de localización no están encriptados

Los investigadores analizaron el protocolo de transmisión de los drones DJI, que permite a entidades autorizadas, como las fuerzas de seguridad, acceder a la ubicación del dron y a la información del piloto. Mediante ingeniería inversa del firmware y las señales de radio de los drones DJI, el equipo de investigación documentó el protocolo de rastreo "DroneID", desconocido hasta entonces. "Demostramos que los datos transmitidos no están cifrados y que prácticamente cualquiera puede leer la ubicación del piloto y del dron con métodos relativamente sencillos", concluye Nico Schiller.

*La versión original del comunicado de prensa decía: "Los investigadores informaron a DJI de las 16 vulnerabilidades detectadas antes de hacer pública la información; el fabricante ha tomado medidas para solucionarlas." Dado que las vunerabilidades ya se han corregido, el texto se actualizó el 3 de marzo de 2023, a las 11.20 horas.

Post Image- Los investigadores buscaron brechas de seguridad en el firmware y escudriñaron el funcionamiento interno de los drones. © RUB, Marquard

El documento de investigación completo puede consultarse en La seguridad de los drones y el misterioso caso del DroneID de DJI