前情回顧·無人機(jī)網(wǎng)絡(luò)攻防戰(zhàn)

• 攻防最前線：用無人機(jī)監(jiān)控WiFi網(wǎng)絡(luò)中的設(shè)備和人員

• 黑客改裝大疆無人機(jī)，飛到金融公司樓頂通過WiFi入侵內(nèi)部系統(tǒng)

• 無人機(jī)攻擊電網(wǎng)已成現(xiàn)實(shí)！針對賓州變電站未遂攻擊讓美國人驚出一身冷汗

• 英國軍方披露：曾發(fā)動(dòng)網(wǎng)絡(luò)戰(zhàn)攻擊ISIS無人機(jī)和服務(wù)器

安全內(nèi)參3月6日消息，德國波鴻和薩爾布呂肯的研究人員們從無人機(jī)巨頭大疆（DJI）的產(chǎn)品中發(fā)現(xiàn)多個(gè)安全漏洞，其中部分漏洞相當(dāng)嚴(yán)重。例如，用戶可利用漏洞修改無人機(jī)的序列號，或覆蓋掉安全當(dāng)局用于跟蹤無人機(jī)及其操縱者的機(jī)制。在特定攻擊場景下，無人機(jī)甚至可能在飛行中被遠(yuǎn)程擊落。

德國波鴻魯爾大學(xué)Horst G?rtz IT安全研究所的Nico Schiller和Thorsten Holz教授領(lǐng)導(dǎo)的研究團(tuán)隊(duì)，已經(jīng)在2月27日至3月3日美國圣迭戈召開的網(wǎng)絡(luò)和分布式系統(tǒng)安全研討會（NDSS）上公布了自己的發(fā)現(xiàn)。該團(tuán)隊(duì)以前在波鴻，目前在薩爾布呂肯的CISPA亥姆霍茲信息安全中心。

在向公眾發(fā)布此次發(fā)現(xiàn)之前，研究人員已經(jīng)將檢測到的16個(gè)漏洞上報(bào)給了大疆，該制造商也已采取措施進(jìn)行修復(fù)。

四款機(jī)型參與測試

該團(tuán)隊(duì)共測試了三款型號的大疆無人機(jī)，分別為小型機(jī)Mini 2、中型機(jī)Air 2和大型機(jī)Mavic 2。之后，IT專家們又在經(jīng)過更新的Mavic 3機(jī)型上重現(xiàn)了攻擊效果。他們向無人機(jī)的硬件和固件發(fā)出大量隨機(jī)輸入，并檢查哪些輸入會導(dǎo)致無人機(jī)墜毀、或者對無人機(jī)數(shù)據(jù)（例如序列號）執(zhí)行意外篡改。為了實(shí)現(xiàn)整個(gè)模糊測試，他們首先需要開發(fā)出一種新的算法。

Nico Shciller表示，“一般來說，我們在模糊測試時(shí)往往準(zhǔn)備好了設(shè)備的完整固件。但這次情況并非如此?！庇捎诖蠼疅o人機(jī)相對復(fù)雜，所以必須在實(shí)時(shí)系統(tǒng)中執(zhí)行模糊測試。

“將無人機(jī)接入筆記本電腦后，我們首先研究了如何與之通信，還有我們可以在測試中使用哪些接口?！笔聦?shí)證明，大部分通信是經(jīng)由DUML協(xié)議完成的，該協(xié)議負(fù)責(zé)以數(shù)據(jù)包的形式向無人機(jī)發(fā)送命令。

發(fā)現(xiàn)四個(gè)嚴(yán)重錯(cuò)誤

研究人員開發(fā)的模糊測試工具要生成DUML數(shù)據(jù)包，將其發(fā)送至無人機(jī)并評估哪些輸入可能導(dǎo)致軟件崩潰。只要能夠引發(fā)崩潰，就說明編程中存在錯(cuò)誤。Thorsten Holz解釋道，“但并不是所有安全漏洞都會引發(fā)崩潰，也有一些錯(cuò)誤會導(dǎo)致序列號等數(shù)據(jù)發(fā)生變化?！?

為了檢測此類邏輯漏洞，研究團(tuán)隊(duì)將無人機(jī)與運(yùn)行大疆應(yīng)用的手機(jī)配對。這樣他們就能定期檢查應(yīng)用，查看模糊測試是否改變了無人機(jī)的狀態(tài)。

結(jié)果發(fā)現(xiàn)，參與測試的四款大疆機(jī)型全部存在安全漏洞。研究人員共記錄下16個(gè)漏洞，且大疆Mini 2、Mavic Air 2和Mavic 3機(jī)型還存在4個(gè)嚴(yán)重缺陷，允許攻擊者在系統(tǒng)中擴(kuò)大訪問權(quán)限。

Thorsten Holz解釋稱，“攻擊者可以借此篡改日志數(shù)據(jù)或序列號，并偽裝自己的身份。另外，雖然大疆采取了預(yù)防措施以阻止無人機(jī)飛越機(jī)場或監(jiān)獄等禁區(qū)，但這些機(jī)制也可能被破解。”該研究小組甚至能讓飛行中的無人機(jī)在半空中墜毀。

在未來的研究中，研究團(tuán)隊(duì)打算進(jìn)一步測試其他無人機(jī)型號的安全性。

傳輸?shù)奈恢脭?shù)據(jù)未經(jīng)加密

此外，研究人員還檢查了大疆無人機(jī)當(dāng)中用于傳輸設(shè)備位置及操縱者信息的協(xié)議。通過這些信息，授權(quán)機(jī)構(gòu)（包括安全機(jī)構(gòu)或關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營商）可以訪問并管理無人機(jī)的使用情況。

通過大疆固件及無人機(jī)發(fā)出的無線電信號進(jìn)行逆向工程，研究團(tuán)隊(duì)首次記錄到名為“DroneID”的跟蹤協(xié)議。Nico Schiller總結(jié)道，“我們證實(shí)了傳輸?shù)臄?shù)據(jù)未經(jīng)加密，幾乎任何人都可以用相對簡單的方式讀取到操作者和無人機(jī)的位置信息?！?

參考資料：techxplore.com

聲明：本文來自安全內(nèi)參，版權(quán)歸作者所有。