La historia de DJI y el Pentágono: de rupturas inesperadas, "cibervulnerabilidades" y premios al mejor "cazabugs"

Los datos privados son y serán materia de hogaño, sobre todo cuando por desgracia se proxenetismo de que no se ha hecho un tratamiento correcto. En esta ocasión encima se proxenetismo de un cliente tan peculiar como el mismo Pentágono, hexaedro que la Armada estadounidense dejó de usar productos DJI por unas supuestas vulnerabilidades de seguridad que la empresa no identificaba, aunque puede que esto haya cambiado.

El que se detecten irregularidades con el tratamiento de datos una vez el producto esté a la traspaso y funcionando no es poco extraño, llegando a casos como el de las smart TV Vizio o el poco más escandaloso asunto de los vibradores We Vibe. Pero aquí llamó la atención de qué forma el organismo de defensa ordenó que se acabara con el uso de productos DJI, de forma aparentemente inesperada. Y lo que igualmente resultan curiosas son las acciones que DJI ha ido realizando en materia de correcciones y cuestiones de privacidad calibrado tras la determinación de la Armada.

Episodio 1: la ruptura inesperada

A DJI les conocemos sobrado al activo probado sus drones a fondo, siendo productos asiduamente de suscripción escala con prestaciones punteras que posicionan al fabricante como uno de los más importantes en este sector. No es de desconcertar que haya organismos interesados en acudir a sus productos, y según explicaron en Ars Technica la Armada de Estados Unidos había permitido desde hace tiempo que se comprasen centenares de drones DJI, usándolos en más de 300 ocasiones en diferentes misiones.

Esto era así hasta que el día 2 de agosto dicho organismo emitiese un comunicado poniendo fin a esto, prohibiendo que se usasen drones y cualquier otro producto del fabricante chino. Algo que quedaba estipulado en un documento al que tuvo camino sUAS News y que citaba como motivo que “se habían incrementado las alarmas en cuanto a cibervulnerabiliades asociadas a productos DJI”.

Dron

Episodio 2: el jarro de agua fría y la respuesta de DJI

La Armada estipuló este motivo, haciendo narración a unos estudios realizados sobre la compañía por el laboratorio de la propia ordenamiento (estudios clasificados, tal y como se especifica), pero sin determinar cuál o cuáles eran en concreto la(s) amenaza(s) a la seguridad. A esto precisamente hacen narración las declaraciones que la compañía emitió a los medios, recogidas en parte por sUAS News, en las que se mostraban sorprendidos por la intrepidez y a la demora de esclarecer dudas.

Según DJI la Armada no había especificado cuáles eran esas “cibervulnerabilidades” ni si la determinación incluía drones de otras compañías

En Wired leíamos más de estas declaraciones del fabricante chino sobre la intrepidez aparentemente repentina de la Armada estadounidense, diciendo que no se les había consultado previamente y matizando que el organismo ni había especificado cuáles eran esas “cibervulnerabilidades” ni si la determinación incluía drones de otras compañías. Dado que al conseguir a un dron se podrían obtener datos de telemetría o incluso del vídeo y las imágenes, las precauciones tomadas parecían indicar que la Armada quisiese preparar interceptaciones de datos y/o ataques con spyware.

Episodio 3: rasca y deseo (hasta 30.000 dólares)

Ni la Armada especificó a qué “cibervulnerabilidades” se refería ni DJI ha dicho ausencia al respecto a posteriori, al menos no de forma directa. Lo que si vemos es que igual que como la puesta al día de firmware que enviaba para corregir un resolución de fila (y que el usuario tenía que instalar sí o sí), hay tres actualizaciones en la web de DJI que tienen relación con la privacidad y los errores de software:

  • El incremento de un nuevo modo que permita nutrir en específico ciertos datos de uso “con motivo de proporcionar una seguridad sobre los datos privados a clientes de empresas y gobiernos”. Esto permitirá que se paren las comunicaciones en cuanto a geolocalización y radiofrecuencia, con lo que no se notificarán avisos de restricciones de planeo, pero se preservará la seguridad de los datos cuando se trate de vuelos que puedan implicar “infraestructura crítica, secretos comerciales, funciones gubernamentales u operaciones similares”, especifican.
  • Actualizaciones de las apps DJI GO en relación a la transferencia de datos tras descubrir que algunos plugins de terceros no “cumplían con su estándar de seguridad”. La empresa estudió todos éstos viendo que en el caso del plugin de JPush se recogían “extraños paquetes de datos” y que jsPatch (iOS) y Tinker (Android) permitían refrescar componentes de forma independiente y urgiendo a los usuarios a que actualizasen las apps.
  • Ese mismo día anunciaban un software de recompensas por el cual se premiaría a la masa que descubriese fallos p bugs en el software de DJI, el “DJI Threat Identification Reward Program”, con el fin de que los usuarios busquen “problemas que podrían crear amenazas a la integridad de los datos privados de los usuarios, como su información personal o detalles en fotos, vídeos o registros de vuelos” para triunfar entre 100 y 30.000 dólares. También con el objetivo de establecer vías de comunicación sobre los problemas de seguridad con expertos en seguridad que al no tenerlas “mostraban su preocupación en redes sociales u otros foros”, según explican.

Tanto en el primer como en el segundo caso matizan que DJI no tiene camino a los registros de planeo o el material representación generado en éstos ileso que el becario quiera compartir los datos al sincronizar los registros con los servidores de DJI, compartir fotos y vídeos con SkyPixel o entreguen de forma física un dron a DJI para alguna reparación o servicio.

Dji 02

No se especifica directamente que haya errores relacionados con la posibilidad de que se acceda a la información privada, ni siquiera se usa el término “cibervulnerabilidad” que usó la Armada en su comunicado. Pero tras éste la idea de que DJI quiera calmar las aguas es plausible, y en narración a esto en Bloomberg recogen algunos hallazgos de vulnerabilidades en cuanto a la seguridad detectadas por el investigador en seguridad Lanier Watkins y sus estudiantes de la Universidad de Johns Hopkins, de lo cual alertaron a DJI sin obtener respuesta por su parte, aseguran.

De momento seguimos sin asimilar a qué fallos concretos se referían en la Armada estadounidense y si ha habido otras marcas de drones comerciales afectadas con una determinación similar. Al menos parece que en DJI trabajan para solucionar estos problemas que de un modo u otro parecen existir (dadas las correcciones y el “concurso”), como igualmente actuaron en su momento cuando se supo que ISIS usaba drones de la compañía para lanzar granadas.

Imagen | David B. Gleason
En Xataka | O aceptas mis condiciones o te bloqueo el dispositivo a distancia: los casos de DJI y Sonos

También te recomendamos


Si tu entorno ya no te motiva para volar con tu dron, puedes "transformarlo" con este juego de realidad aumentada


Pepiinero: “Necesitaba un cambio en mi carrera. El nuevo Pepii en ASUS ROG estará bufado”


ISIS usaba drones de DJI para lanzar granadas, pero una actualización software les impide volar en Siria e Iraq


La nota

La historia de DJI y el Pentágono: de rupturas inesperadas, “cibervulnerabilidades” y premios al mejor “cazabugs”

fue publicada originalmente en

Xataka

por
Anna Martí

.




Source link

deja tu opinion

Seguinos

Tecnoblog en las redes sociales