Un 'hacker' español demuestra que los drones de Parrot se pueden secuestrar

El piloto se comunica con los minidrones y los Bebop a través de una red wifi abierta que la propia máquina genera. Realizando ingeniería inversa al protocolo de comunicaciones, Pedro Cabrera ha demostrado que se puede enviar cualquier orden al dron sin que el piloto se dé cuenta de que está siendo atacado. De esta forma, un ciberdelincuente podría secuestrar el cuadricóptero sin dejar huella. Un fallo de seguridad al que Parrot aún no ha dado respuesta.

Cabrera ha captado una fotografía de los asistentes con el Jumping Sumo (en el suelo) sin ser el piloto legítimo. (Foto: Cristina Sánchez)

4 de marzo de 2016 14:50h

Tu Parrot Bebop 2 asciende, desciende y vira obedeciendo tus deseos. De repente, deja de atender a las órdenes que le envías con tu 'smartphone', pese a que continúa conectado a él. Gira alrededor tuyo a toda velocidad, aunque acto seguido parezca seguirte el juego después de insistirle. Finalmente, se aleja de ti sin que puedas hacer nada para remediarlo. El dron rebelde se ha marchado sin despedirse.

Aunque ningún cibercriminal ha sido el autor en la sombra de este secuestro (o al menos aún no se conoce ningún caso), lo cierto es que este escenario es realista. Así lo ha demostrado hoy el experto en seguridad Pedro Cabrera en el congreso de seguridad Rooted CON.

El Bebop es una máquina pequeña, resistente y ligera (solo pesa 400 gramos) provista de una cámara de 14 megapíxeles. Con un precio relativamente asequible (349 euros el modelo original, 549 el Bebop 2 con una mayor autonomía), se considera que esta aeronave está a medio camino entre los drones para aficionados y los profesionales. aficionados y los profesionales

La Autoridad de Aviación Civil Francesa aprobó la utilización del Bebop para uso profesional a distancias de hasta 1.000 metros. Por eso, que Cabrera haya descubierto la posibilidad de tomar el control de estas aeronaves no tripuladas sin que el usuario se dé cuenta y sin demasiado esfuerzo, no es precisamente baladí.

UNA WIFI ABIERTA A LOS INTRUSOS

En lugar de comunicarse con su piloto en tierra mediante radiocontrol, como hace el más caro DJI Phantom III, Bebop, Bebop 2 y los minidrones de Parrot como el Jumping Sumo generan su propia red wifi para conversar con el piloto. En los foros de la compañía, muchos compradores critican que cualquiera puede ver esa red e incluso intentar conectarse a ella.

Sorprendentemente, no está protegida por contraseña. “Con el escáner de puertos ves que tienes el Telnet abierto, al conectarse la consola al Telnet [que permite acceder a la configuración de forma remota], lo mismo: no pide ni autenticación ni nada, directamente, nada más entrar, eres el administrador”, critica Cabrera.

Pese a que la red wifi no requiera autenticación, otro usuario que disponga de la 'app' FreeFlight y se conecte a la red para controlar el dron no puede llevárselo. El Bebop ya sabe a quién tiene que obedecer: al que le ha dado órdenes primero. Eso sí, hay más de una forma de acabar burlando el sistema.

Dos expertos en seguridad demostraron en la conferencia de seguridad Def Con el año pasado que era posible convencer a algunos drones Parrot para que respondieran a los mandatos de un tercero. Uno de ellos, Ryan Satterfield, demostró que podía conectarse por el puerto Telnet al A. R. Drone mientras volaba, provocando que cayera al suelo.

De forma similar, el investigador Michael Robinson fue capaz de desconectar el cuadricóptero del piloto legítimo y secuestrar el Bebop mediante un ataque de desautenticación. En este caso, el propio Robinson advertía que la conexión con el dron dejaba huella.

Cabrera nos explica que en los ataques presentados en la Def Con, el cliente legítimo se enteraba de que estaban secuestrando su dron y podía dar la voz de alarma, ya que su aplicación le informaría de que había perdido la conexión. Además, el Telnet del Bebop 2, presentado el pasado mes de noviembre, ya está cerrado. Sin embargo, él ha demostrado que se podría perpetrar un ataque más sigiloso y refinado.

CÓMO SECUESTRAR UN DRON SIN QUE EL USUARIO SE ENTERE

En la aproximación de este investigador, la 'app' FreeFlight ha de estar conectada con la aeronave. Es en ese momento cuando el ciberdelincuente puede entrometerse en el protocolo de comunicaciones del ARDroneSDK3, la API del dron. Gracias al trabajo de ingeniería inversa que ha realizado Cabrera, ha probado que el atacante lograría conectarse a la red wifi e inyectar comandos tanto al aparato como a la propia 'app' del piloto. Ni la red tiene autenticación ni tampoco los comandos, así que cuando un tercero los envía, el dron se da por aludido.

Este experto ha demostrado durante su ponencia que, con ese método, es posible mandar órdenes tanto al pequeño Jumping Sumo como al Bebop 2 al mismo tiempo que el usuario legítimo continúa conectado. Ambos entrarían así en una especie de batalla por el control en la que, lógicamente, el intruso juega con ventaja. A ello se suma que el Bebop no es una máquina orientada a profesionales.

Si el atacante solo quiere gastar una broma al piloto legítimo, podría mandarle algunos comandos para que la aeronave ascienda, descienda o vire como él desee en ciertas ocasiones, mientras el usuario trata de recuperar el control mandando sus propias órdenes sin saber qué diantres está ocurriendo.

Ahora bien, en caso de que el ciberatacante no solo quisiera divertirse, podría utilizar su poder para otros fines más dañinos, como enviar el comando 'Emergencia' que detiene los cuatro motores y provoca la caída del dron -haya lo que haya debajo-, mandarlo estrellarse contra un muro e incluso engañar al piloto informándole de que aún le queda suficiente batería cuando no es así. El fallo de seguridad de Parrot podría salir bastante caro a los clientes que deciden darse el capricho de comprarlo.

El ciberatacante también podría programar una ruta enviándole un fichero FTP al dron, al igual que pueden hacerlo los dueños legítimos de un Parrot Bebop si pagan 20 euros por descargarse la aplicación Fight Plan. Al poder sobreescribir el fichero de la ruta actual, el ciberatacante podría dirigir el dron a los lugares que deseara en las inmediaciones, aún cuando ya seguía un camino previo.

En caso de que el piloto legítimo ni siquiera dispusiese de esa aplicación de pago, no tendría modo alguno de volver a recuperar el control de la máquina. “La única manera es decirle ”sal del modo automático“, y si tú no la has comprado, no puedes volver”, detalla Cabrera.

GRABAR LO QUE NO SE DEBE... SIN DEJAR RASTRO

El experto en seguridad Michael Robinson ya anunció en la Def Con que el Bebop usaba un servidor FTP abierto para transferir imágenes y vídeo al que se podría acceder para eliminar o reemplazar los archivos. Con el método del 'hacker' español, el atacante podría manejar la cámara, detener o reanudar la grabación o incluso captar fotografías, descargándose después los archivos cómodamente.

Además, si el delincuente tiene cuidado, podría llegar a secuestrar el dron sin dejar rastro en sus registros, de forma que nadie sepa que un tercero lo ha utilizado para hacer lo que no debe. “Cuando te conectas al wifi puedes dejar huella dentro del dron, pero si borro ese 'log' no queda rastro de que he estado dentro, porque luego los comandos los envío desde la dirección IP del cliente”, detalla Cabrera.

Teniendo en cuenta que en España está prohibido grabar con este tipo de aeronaves sobre parques de ciudades, playas llenas de gente, campos de fútbol o en recintos cerrados sin autorización del propietario, todo apunta a que el dueño podría enfrentarse a elevadas sanciones sin saber por qué su dron ha decidido comportarse de forma reprobable ni poder demostrar que ha sido secuestrado.

TE DESPISTO... Y ME LLEVO EL DRON DONDE NO LO VEAS

En caso de que el propósito del ciberatacante fuera sencillamente robar el dron, también tiene opciones para lograrlo inyectando comandos. “Si el atacante descubre una técnica para desconcertar al piloto por sustos, alarmas o baterías y consigue que mire al iPad en lugar de al dron inyectando vídeos, cuando mire al dron podría estar muy lejos”, señala este experto en seguridad.

El ciberdelincuente podría incluso mandar vídeos falsos al servidor FTP para que el piloto los viera en 'streaming', confundiéndole por completo, como el propio Cabrera ha demostrado en la ponencia. Una vez que levantara la cabeza de la pantalla, o en el peor de los casos, que se quitara las gafas FPV que puede adquirir para disfrutar de la experiencia en primera persona, podría ver cómo su máquina voladora está ya a unos cuantos metros.

Con su 'smartphone' o 'tablet', el usuario del Bebop disfruta de un alcance de señal de unos 150 metros -al menos en teoría, porque los problemas de conexión han sido una crítica frecuente de los usuarios-, aunque si adquiere el mando Skycontroller por otros 500 euros el dron le permite sentir que vuela hasta los dos kilómetros de distancia.

Sin embargo, como el ciberatacante tiene la posibilidad de utilizar una tarjeta wifi externa de mayor alcance, podría ordenar al dron que se desplazara a una zona alejada en la que el piloto legítimo ya no tenga conexión. Es más, si el atacante inyecta un plan de vuelo y programa unas coordenadas GPS, podría aterrizarlo en un lugar determinado para llevárselo posteriormente.

El Bebop también incluye la opción 'Return Home' para que la aeronave sea capaz de regresar a casa por sí misma. ¿Aguaría la fiesta el piloto al ciberatacante pulsando ese botón? “Podrías llegar a crear una 'macro' para que se la mandara y llegaran instrucciones secuencialmente. Sería una manera de tener la pelea ganada contra el legítimo”. Si el atacante está continuamente mandando comandos, lo más probable es que el usuario no pudiera hacer casi nada para que su aparato volador regresara a sus brazos.

“Lo curioso, lo novedoso de la ingeniería inversa a este protocolo es que afecta a todos los comandos que el cliente envía al dron”, detalla Pedro Cabrera. “Afecta a la navegación, al vídeo, al GPS e incluso al 'firmware'. Podrías subirle al dron por FTP un 'firmware' personalizado”. Todo un abanico de posibilidades del que podrían aprovecharse los maleantes de los cielos para cometer sus fechorías.

SIN NOTICIAS DE PARROT... ¿QUÉ PUEDE HACER EL USUARIO?

Al darse cuenta de que la vulnerabilidad puede ser explotada y generar “gran daño físico”, Pedro Cabrera decidió comunicar a Parrot su descubrimiento hace unos meses. Pese a ello, no obtuvo contestación de la que ahora mismo es una de las principales compañías de drones del planeta, junto a la china DJI o a la estadounidense 3D Robotics.

De hecho, en junio del año pasado, cuando el Bebop 2 aún no había visto la luz, la firma anunció que había vendido más de millón y medio de aeronaves en todo el mundoaeronaves en todo el mundo. Solo en el tercer cuatrimestre de 2015, Parrot se embolsó 44,4 millones de euros por sus actividades en este sector, un 60 % más que en el mismo periodo del año anterior. Los cuadricópteros y sus accesorios ya suponen el 57 % del total de los ingresos del grupo. ¿Acaso no les convendría preocuparse más por su seguridad?

A juicio de Cabrera, revisar el protocolo de comunicaciones implicaría adoptar cambios complejos, pero al menos en el caso del Bebop y el Bebop 2 -los minidrones son inofensivos- considera que deberían tomar alguna medida. “Está claro que sería costoso, porque han vendido muchos drones y tendrían que modificar las 'apps' de Android y iOS y los 'firmware' de los drones, pero yo creo que está justificado dados los riesgos”, opina este investigador.

Algunos usuarios han decidido tomarse la justicia por su mano y ya han explicado en algunos foros de Parrot cómo proteger la red wifi del Bebop con una contraseña WPA2, si bien su rendimiento puede disminuir al hacerlo.

De todos modos, parece claro que debería ser la compañía la que añadiera las pertinentes capas de seguridad para garantizar que un atacante no puede secuestrar un dron y manejarlo a su antojo. Al fin y al cabo, si decides invertir casi 1.000 euros en un dron que viaje a 2 kilómetros de distancia, no es un juguete ni para ti ni para los que le rodean.

Etiquetas