Investigadores de CheckPoint han revelado detalles de una vulnerabilidad en la aplicación web de DJI que podría haber permitido a un atacante acceder a cuentas de usuario y sincronizar información sensible como: registros de vuelo, ubicación, vídeo de cámara en vivo y fotos tomadas.
El equipo de DJI a pesar de estar informado de esta vulnerabilidad desde marzo, no ha puesto solución a la misma hasta hace menos de dos meses.
Introducción:
La vulnerabilidad en cuestión se valía de tres ataques diferentes para conseguir acceder a las cuentas de las victimas. Vamos a explicar algunos conceptos usados durante el análisis del fallo para que se comprenda mejor:
- Atributos de las cookies: Las cookies de sesión tienen una serie de indicadores que mejoran la seguridad de las mismas. Principalmente son tres:
- Secure: Obliga a que la cookie se envíe solo mediante comunicaciones seguras y encriptadas.
- HTTPOnly: Especifica que la cookie solo es accesible mediante el protocolo HTTP.
- Same-site: Impide que el navegador envíe la cookie cuando la petición es originada desde un dominio externo. (No está relacionada con la vulnerabilidad que vamos a comentar).
- XSS (Cross-site Scripting): Vulnerabilidad web que consiste en inyectar código JavaScript. Hay dos tipos:
- Reflejado: Consiste en editar los valores que se pasan mediante URL.
- Persistente: Consiste en insertar código HTML en sitios que lo permitan, de manera que este queda visible antes cualquier usuario que lo visite.
Explicación de la vulnerabilidad:
Debido a una vulnerabilidad XSS persistente en el foro de DJI, un atacante podía inyectar un enlace con código malicioso que robara las cookies de sesión de la víctima que accediera. Estas al no tener correctamente configurados los atributos Secure y HTTPOnly, permitían al atacante reutilizarlas para tomar el control de la cuenta web DJI del usuario, de las aplicaciones móviles y de la plataforma centralizada de gestión de operaciones con drones llamada DJI Flighthub.
Sin embargo, para acceder a la cuenta comprometida en las aplicaciones móviles no valía solo con los hechos mencionados. Los atacantes además debían interceptar el tráfico de la aplicación móvil, y gracias a un fallo en la configuración de la implementación SSL, y mediante un ataque de hombre en el medio (MitM) conseguían el acceso.
Recomendaciones:
A pesar de que DJI ha asegurado que no ha encontrado evidencias de que el fallo se haya estado explotando más allá de los laboratorios de CheckPoint, si eres usuario de la empresa y has dado clic en algún enlace sospechoso del foro, se lo hagas saber de inmediato al soporte técnico.
Más información:
Report realizado por CheckPoint:
https://research.checkpoint.com/dji-drone-vulnerability/
