Investigadores
de CheckPoint han revelado detalles de una vulnerabilidad en la aplicación web
de DJI que podría haber permitido a un atacante acceder a cuentas de usuario y
sincronizar información sensible como: registros de vuelo, ubicación, vídeo de
cámara en vivo y fotos tomadas.
El equipo
de DJI a pesar de estar informado de esta vulnerabilidad desde marzo, no ha
puesto solución a la misma hasta hace menos de dos meses.
Introducción:
La
vulnerabilidad en cuestión se valía de tres ataques diferentes para conseguir
acceder a las cuentas de las victimas. Vamos a explicar algunos conceptos
usados durante el análisis del fallo para que se comprenda mejor:
1) Atributos de las cookies: Las cookies de sesión tienen una serie de indicadores que mejoran la
seguridad de las mismas. Principalmente son tres:
a) Secure: Obliga a que la cookie se envíe solo mediante comunicaciones seguras y
encriptadas.
b) HTTPOnly: Especifica que la cookie solo es accesible mediante el protocolo HTTP.
c) Same-site: Impide que el navegador envíe la cookie cuando la petición es
originada desde un dominio externo. (No está relacionada con la vulnerabilidad
que vamos a comentar).
2) XSS (Cross-site Scripting): Vulnerabilidad web que consiste en inyectar código JavaScript. Hay dos
tipos:
a) Reflejado: Consiste en editar los valores que se pasan mediante URL.
b) Persistente: Consiste en insertar código HTML en sitios que lo permitan, de manera
que este queda visible antes cualquier usuario que lo visite.
Detalle de vulnerabilidades
Debido a
una vulnerabilidad XSS persistente en el foro de DJI, un atacante podía
inyectar un enlace con código malicioso que robara las cookies de sesión de la
víctima que accediera. Estas al no tener correctamente configurados los
atributos Secure y HTTPOnly, permitían al atacante reutilizarlas para tomar el
control de la cuenta web DJI del usuario, de las aplicaciones móviles y de la
plataforma centralizada de gestión de operaciones con drones llamada DJI
Flighthub.
Sin
embargo, para acceder a la cuenta comprometida en las aplicaciones móviles no
valía solo con los hechos mencionados. Los atacantes además debían interceptar
el tráfico de la aplicación móvil, y gracias a un fallo en la configuración de
la implementación SSL, y mediante un ataque de hombre en el medio (MitM)
conseguían el acceso.
Recomendaciones:
A pesar de
que DJI ha asegurado que no ha encontrado evidencias de que el fallo se haya
estado explotando más allá de los laboratorios de CheckPoint, si eres usuario
de la empresa y has dado clic en algún enlace sospechoso del foro, se lo hagas
saber de inmediato al soporte técnico.
Más información:
- Report realizado por CheckPoint: https://research.checkpoint.com/dji-drone-vulnerability/