大疆無人機被曝16個安全漏洞:可破解禁飛限制、飛行中強制墜落

發(fā)布時間 2023-03-06


德國波鴻和薩爾布呂肯的研究人員們從無人機巨頭大疆(DJI)的產(chǎn)品中發(fā)現(xiàn)多個安全漏洞,其中部分漏洞相當(dāng)嚴重。例如,用戶可利用漏洞修改無人機的序列號,或覆蓋掉安全當(dāng)局用于跟蹤無人機及其操縱者的機制。在特定攻擊場景下,無人機甚至可能在飛行中被遠程擊落。


德國波鴻魯爾大學(xué)Horst G?rtz IT安全研究所的Nico Schiller和Thorsten Holz教授領(lǐng)導(dǎo)的研究團隊,已經(jīng)在2月27日至3月3日美國圣迭戈召開的網(wǎng)絡(luò)和分布式系統(tǒng)安全研討會(NDSS)上公布了自己的發(fā)現(xiàn)。該團隊以前在波鴻,目前在薩爾布呂肯的CISPA亥姆霍茲信息安全中心。


四款機型參與測試


該團隊共測試了三款型號的大疆無人機,分別為小型機Mini 2、中型機Air 2和大型機Mavic 2。之后,IT專家們又在經(jīng)過更新的Mavic 3機型上重現(xiàn)了攻擊效果。他們向無人機的硬件和固件發(fā)出大量隨機輸入,并檢查哪些輸入會導(dǎo)致無人機墜毀、或者對無人機數(shù)據(jù)(例如序列號)執(zhí)行意外篡改。為了實現(xiàn)整個模糊測試,他們首先需要開發(fā)出一種新的算法。


Nico Shciller表示,“一般來說,我們在模糊測試時往往準備好了設(shè)備的完整固件。但這次情況并非如此?!庇捎诖蠼疅o人機相對復(fù)雜,所以必須在實時系統(tǒng)中執(zhí)行模糊測試。

“將無人機接入筆記本電腦后,我們首先研究了如何與之通信,還有我們可以在測試中使用哪些接口?!笔聦嵶C明,大部分通信是經(jīng)由DUML協(xié)議完成的,該協(xié)議負責(zé)以數(shù)據(jù)包的形式向無人機發(fā)送命令。



四個嚴重錯誤


研究人員開發(fā)的模糊測試工具要生成DUML數(shù)據(jù)包,將其發(fā)送至無人機并評估哪些輸入可能導(dǎo)致軟件崩潰。只要能夠引發(fā)崩潰,就說明編程中存在錯誤。Thorsten Holz解釋道,“但并不是所有安全漏洞都會引發(fā)崩潰,也有一些錯誤會導(dǎo)致序列號等數(shù)據(jù)發(fā)生變化?!?/p>


為了檢測此類邏輯漏洞,研究團隊將無人機與運行大疆應(yīng)用的手機配對。這樣他們就能定期檢查應(yīng)用,查看模糊測試是否改變了無人機的狀態(tài)。

結(jié)果發(fā)現(xiàn),參與測試的四款大疆機型全部存在安全漏洞。研究人員共記錄下16個漏洞,且大疆Mini 2、Mavic Air 2和Mavic 3機型還存在4個嚴重缺陷,允許攻擊者在系統(tǒng)中擴大訪問權(quán)限。

Thorsten Holz解釋稱,“攻擊者可以借此篡改日志數(shù)據(jù)或序列號,并偽裝自己的身份。另外,雖然大疆采取了預(yù)防措施以阻止無人機飛越機場或監(jiān)獄等禁區(qū),但這些機制也可能被破解。”該研究小組甚至能讓飛行中的無人機在半空中墜毀。

在未來的研究中,研究團隊打算進一步測試其他無人機型號的安全性。



傳輸?shù)奈恢脭?shù)據(jù)未經(jīng)加密


此外,研究人員還檢查了大疆無人機當(dāng)中用于傳輸設(shè)備位置及操縱者信息的協(xié)議。通過這些信息,授權(quán)機構(gòu)(包括安全機構(gòu)或關(guān)鍵基礎(chǔ)設(shè)施運營商)可以訪問并管理無人機的使用情況。


通過大疆固件及無人機發(fā)出的無線電信號進行逆向工程,研究團隊首次記錄到名為“DroneID”的跟蹤協(xié)議。Nico Schiller總結(jié)道,“我們證實了傳輸?shù)臄?shù)據(jù)未經(jīng)加密,幾乎任何人都可以用相對簡單的方式讀取到操作者和無人機的位置信息?!?/p>