Δύο αμερικανικές κυβερνητικές υπηρεσίες, η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA) και το Ομοσπονδιακό Γραφείο Ερευνών (FBI), προειδοποίησαν την Τετάρτη ότι τα drones που κατασκευάζονται στην Κίνα θα μπορούσαν να χρησιμοποιηθούν για τη συλλογή πληροφοριών υποδομών ζωτικής σημασίας.
“Η Λαϊκή Δημοκρατία της Κίνας (ΛΔΚ) έχει θεσπίσει νόμους που παρέχουν στην κυβέρνηση διευρυμένες νομικές βάσεις για την πρόσβαση και τον έλεγχο των δεδομένων που κατέχουν οι εταιρείες στην Κίνα. Η χρήση συστημάτων μη επανδρωμένων αεροσκαφών (UAS) κινεζικής κατασκευής σε επιχειρήσεις υποδομής ζωτικής σημασίας ενέχει τον κίνδυνο να εκθέσει ευαίσθητες πληροφορίες στις αρχές της ΛΔΚ”, αναφέρει ο ιστότοπος της CISA, χωρίς να κατονομάζει κάποια συγκεκριμένη μάρκα.
Αυτοί οι διευρυμένοι νομικοί λόγοι περιλαμβάνουν κανονισμούς που απαιτούν από τις εταιρείες να στέλνουν δεδομένα στο Πεκίνο, όπως ο νόμος περί Εθνικών Πληροφοριών της Κίνας του 2017, ο Νόμος για την Ασφάλεια Δεδομένων του 2021 και ο Νόμος για την Αναφορά Ευπαθειών στον Κυβερνοχώρο του 2021 (China‘s 2017 National Intelligence Law, 2021’s Data Security Law, 2021 Cyber Vulnerability Reporting Law).
Μεταξύ αυτών των τριών κανονισμών, το Πεκίνο διατηρεί το δικαίωμα να αποκτήσει πρόσβαση σε δεδομένα που συλλέγονται από κινεζικές εταιρείες παγκοσμίως ή επιχειρήσεις που δραστηριοποιούνται στο Μέσο Βασίλειο.
Το Πεκίνο απαιτεί επίσης από τις οργανώσεις με παρουσία σε κινεζικό έδαφος να μοιράζονται τυχόν ευπάθειες συστήματος ή λογισμικού που ανακαλύφθηκαν με τις αρχές της ΛΔΚ.
“Αυτό μπορεί να δώσει στις αρχές της ΛΔΚ την ευκαιρία να εκμεταλλευτούν τα ελαττώματα του συστήματος πριν γίνουν γνωστές στο κοινό οι ευπάθειες στον κυβερνοχώρο”, αναφέρουν οι Αμερικανικές υπηρεσίες [PDF]. Οι νόμοι παρέχουν επίσης στο Πεκίνο πρόσβαση σε IP, ελέγχους ασφαλείας και πληροφορίες που θα μπορούσαν να βοηθήσουν στο σχεδιασμό μελλοντικών επιθέσεων στον κυβερνοχώρο.
Η CISA και το FBI επισημαίνουν ότι τα drones μπορούν να λαμβάνουν και να μεταδίδουν δεδομένα, αλλά οι ανησυχίες τους δεν περιορίζονται εκεί. Μπορούν να λάβουν επίσης ενημερώσεις υλικολογισμικού και συνδεδεμένες περιφερειακές συσκευές, όπως σταθμούς σύνδεσης.
Οι αναφορές της CISA και του FBI δίνουν πολλές συστάσεις για την ασφάλεια των drones, συμπεριλαμβανομένης της εξέτασης των UAS σαν συσκευών IoT, της χρήσης ενός αυτόνομου τερματικού για τη λήψη και επαλήθευση ασφαλείας των ενημερώσεων υλικολογισμικού και των ενημερώσεων και την υιοθέτηση πολιτικών ασφαλούς σχεδιασμού.
Οι ανησυχίες δεν είναι αβάσιμες. Αναφορές για drones που παραβιάζονται υπάρχουν στο Black Hat από το 2016. Τροποποιημένα drones έχουν χρησιμοποιηθεί στο παρελθόν για την υποκλοπή διαπιστευτηρίων και Wi-Fi που αργότερα χρησιμοποιήθηκαν για επιθέσεις σε άλλες συσκευές.
Το Υπουργείο Εσωτερικής Ασφάλειας (DHS) αναφέρει για τα κινεζικής κατασκευής drones από τον Μάιο του 2019, μια περίοδος που η κυβέρνηση απαγόρευσε στην Huawei την προμήθεια αμερικανικής τεχνολογίας.