La historia de DJI y el Pentágono: de rupturas inesperadas, “cibervulnerabilidades” y premios al mejor “cazabugs”

Autor: | Posteado en Tecnología Sin comentarios

Dji

Los datos privados son y serán materia de actualidad, sobre todo cuando por desgracia se trata de que no se ha hecho un tratamiento correcto. En esta situación además se trata de un cliente tan especial como el idéntico Pentágono, dado que la Armada estadounidense dejó de usar artículos DJI por unas supuestas debilidades de seguridad que la compañia no identificaba, siquiera puede que esto haya cambiado.

El que se detecten irregularidades con el tratamiento de datos alguna vez el producto esté a la venta y funcionando no es algo extraño, arribando a sucesos como el de las smart TV Vizio u el algo mas escandaloso asunto de los vibradores We Vibe. Pero aquí llamó la curiosidad de qué manera el organismo de defensa ordenó que se acabara con el uso de artículos DJI, de manera aparentemente inesperada. Y lo que además resultan curiosas son las acciones que DJI ha ido realizando en materia de correcciones y cuestiones de privacidad justo tras la especificación de la Armada.

Episodio 1: la ruptura inesperada

A DJI les conocemos suficiente al haber probado sus drones a fondo, siendo artículos habitualmente de alta gama con posibilidades punteras que posicionan al fabricante como 1 de los mas fundamentales en este sector. No es de extrañar que haya organismos interesados en recurrir a sus productos, y según explicaron en Ars Technica la Armada de Estados Unidos había autorizado desde hace período que se comprasen centenares de drones DJI, usándolos en mas de 300 ocasiones en distintos misiones.

Esto era así inclusive que el día dos de agosto dicho organismo emitiese un notificado poniendo fin a esto, prohibiendo que se usasen drones y cualquiera otro producto del fabricante chino. Algo que quedaba estipulado en un documento al que tuvo entrada sUAS News y que citaba como motivo que “se habían incrementado las alarmas en cuanto a cibervulnerabiliades afiliadas a artículos DJI”.

Dron

Episodio 2: el jarro de agua fría y la respuesta de DJI

La Armada estipuló este motivo, haciendo referencia a unos estudios realizados sobre la compañía por el laboratorio de la propia organización (estudios clasificados, tal y como se especifica), pero sin determinar cuál u cuáles eran en concreto la(s) amenaza(s) a la seguridad. A esto justamente hacen referencia las declaraciones que la compañía emitió a los medios, recogidas en parte por sUAS News, en las que se mostraban sorprendidos por la decisión y a la espera de esclarecer dudas.

Según DJI la Armada no había especificado cuáles eran esas “cibervulnerabilidades” ni si la especificación incluía drones de otras compañías

En Wired leíamos mas de estas declaraciones del fabricante chino sobre la decisión aparentemente repentina de la Armada estadounidense, diciendo que no se les había consultado previamente y matizando que el organismo ni había especificado cuáles eran esas “cibervulnerabilidades” ni si la especificación incluía drones de otras compañías. Dado que al acceder a un dron se podrían obtener datos de telemetría u inclusive del vídeo y las imágenes, las precauciones tomadas parecían indicar que la Armada quisiese prevenir interceptaciones de datos y/o ataques con spyware.

Episodio 3: rasca y gana (hasta 30.000 dólares)

Ni la Armada especificó a qué “cibervulnerabilidades” se refería ni DJI ha dicho nada al respecto a posteriori, al menos no de manera directa. Lo que si vemos es que igual que como la modernización de firmware que enviaba para corregir un bug de batería (y que el cliente tenía que instalar sí u sí), hay tres actualizaciones en la web de DJI que tienen relación con la privacidad y los equivocaciónes de software:

  • El desarrollo de un reciente manera que permita mantener en local ciertos datos de uso “con motivo de proporcionar alguna seguridad sobre los datos privados a clientes de compañías y gobiernos”. Esto proporcionara que se paren las comunicaciones en cuanto a geolocalización y radiofrecuencia, con lo que no se notificarán avisos de limitaciónes de vuelo, pero se preservará la seguridad de los datos cuando se trate de vuelos que puedan implicar “infraestructura crítica, misterios comerciales, funciones gubernamentales u operaciones similares”, especifican.
  • Actualizaciones de las apps DJI GO en relación a la transferencia de datos tras revelar que algunos plugins de terceros no “cumplían con su estándar de seguridad”. La compañia estudió todos éstos viendo que en el caso del plugin de JPush se recogían “extraños paquetes de datos” y que jsPatch (iOS) y Tinker (Android) permitían actualizar componentes de manera autosuficiente y urgiendo a los clientes a que actualizasen las apps.
  • Ese idéntico día anunciaban un programa de recompensas por el cual se premiaría a la gente que descubriese fallos p bugs en el software(programa) de DJI, el “DJI Threat Identification Reward Program”, con el fin de que los clientes busquen “problemas que podrían crear amenazas a la integridad de los datos privados de los usuarios, como su información personal u detalles en fotos, vídeos u registros de vuelos” para ganar entre 100 y 30.000 dólares. También con el objetivo de establecer vías de notificación sobre los problemas de seguridad con especialistas en seguridad que al no tenerlas “mostraban su preocupación en redes sociales u otros foros”, según explican.

Tanto en el primer como en el segundo caso matizan que DJI no tiene entrada a los registros de vuelo u el material gráfico generado en éstos salvo que el cliente quiera compartir los datos al sincronizar los registros con los servidores de DJI, compartir fotos y vídeos con SkyPixel u entreguen de manera física un dron a DJI para alguna reparación u servicio.

Dji 02

No se detalla directamente que haya equivocaciónes vinculados con la expectativa de que se acceda a la información privada, ni tampoco se usa el término “cibervulnerabilidad” que usó la Armada en su comunicado. Pero tras éste la idea de que DJI quiera relajar las aguas es plausible, y en referencia a esto en Bloomberg recogen algunos hallazgos de vulnerabilidades en cuanto a la seguridad detectadas por el averiguador en seguridad Lanier Watkins y sus estudiantes de la Universidad de Johns Hopkins, de lo cual alertaron a DJI sin obtener respuesta por su parte, aseguran.

De instante seguimos sin conocer a qué fallos concretos se referían en la Armada estadounidense y si ha habido otras marcas de drones comerciales afectadas con alguna especificación similar. Al menos parece que en DJI trabajan para resolver estos problemas que de un manera u otro parecen existir (dadas las correcciones y el “concurso”), como además actuaron en su instante cuando se supo que ISIS usaba drones de la compañía para arrojar granadas.

Imagen | David B. Gleason
En Xataka | O aceptas mis condiciones u te bloqueo el dispositivo a distancia: los sucesos de DJI y Sonos

También te recomendamos

Si usted ambiente ya no te motiva para volar con usted dron, puedas "transformarlo" con este videojuego de realidad aumentada

ISIS usaba drones de DJI para arrojar granadas, pero alguna modernización software(programa) les impide volar en Siria e Iraq

Pepiinero: “Necesitaba un intercambio en mi carrera. El reciente Pepii en ASUS ROG estará bufado”


La noticia La historia de DJI y el Pentágono: de rupturas inesperadas, “cibervulnerabilidades” y premios al mejor “cazabugs” fue notificada originalmente en Xataka por Anna Martí .


Xataka

Todo lo que esta escrito en este sitio web es recopilado de otros sitios oficiales, los enlaces a las paginas oficiales se presentan en cada termino de noticia y no perjudicaremos su noticia.

Noticias Relacionadas:

Agrega tu comentario