德国波鸿和萨尔布吕肯的研究人员们从无人机巨头大疆(DJI)的产品中发现多个安全漏洞,其中部分漏洞相当严重手机序列号。例如,用户可利用漏洞修改无人机的序列号,或覆盖掉安全当局用于跟踪无人机及其操纵者的机制。在特定攻击场景下,无人机甚至可能在飞行中被远程击落。
德国波鸿鲁尔大学Horst Görtz IT安全研究所的Nico Schiller和Thorsten Holz教授领导的研究团队,已经在2月27日至3月3日美国圣迭戈召开的网络和分布式系统安全研讨会(NDSS)上公布了自己的发现手机序列号。该团队以前在波鸿,目前在萨尔布吕肯的CISPA亥姆霍兹信息安全中心。
在向公众发布此次发现之前,研究人员已经将检测到的16个漏洞上报给了大疆,该制造商也已采取措施进行修复手机序列号。
四款机型参与测试
该团队共测试了三款型号的大疆无人机,分别为小型机Mini 2、中型机Air 2和大型机Mavic 2手机序列号。之后,IT专家们又在经过更新的Mavic 3机型上重现了攻击效果。他们向无人机的硬件和固件发出大量随机输入,并检查哪些输入会导致无人机坠毁、或者对无人机数据(例如序列号)执行意外篡改。为了实现整个模糊测试,他们首先需要开发出一种新的算法。
Nico Shciller表示,“一般来说,我们在模糊测试时往往准备好了设备的完整固件手机序列号。但这次情况并非如此。”由于大疆无人机相对复杂,所以必须在实时系统中执行模糊测试。
“将无人机接入笔记本电脑后,我们首先研究了如何与之通信,还有我们可以在测试中使用哪些接口手机序列号。”事实证明,大部分通信是经由DUML协议完成的,该协议负责以数据包的形式向无人机发送命令。
展开全文
发现四个严重错误
研究人员开发的模糊测试工具要生成DUML数据包,将其发送至无人机并评估哪些输入可能导致软件崩溃手机序列号。只要能够引发崩溃,就说明编程中存在错误。Thorsten Holz解释道,“但并不是所有安全漏洞都会引发崩溃,也有一些错误会导致序列号等数据发生变化。”
为了检测此类逻辑漏洞,研究团队将无人机与运行大疆应用的手机配对手机序列号。这样他们就能定期检查应用,查看模糊测试是否改变了无人机的状态。
结果发现,参与测试的四款大疆机型全部存在安全漏洞手机序列号。研究人员共记录下16个漏洞,且大疆Mini 2、Mavic Air 2和Mavic 3机型还存在4个严重缺陷,允许攻击者在系统中扩大访问权限。
Thorsten Holz解释称,“攻击者可以借此篡改日志数据或序列号,并伪装自己的身份手机序列号。另外,虽然大疆采取了预防措施以阻止无人机飞越机场或监狱等禁区,但这些机制也可能被破解。”该研究小组甚至能让飞行中的无人机在半空中坠毁。
在未来的研究中,研究团队打算进一步测试其他无人机型号的安全性手机序列号。
此外,研究人员还检查了大疆无人机当中用于传输设备位置及操纵者信息的协议手机序列号。通过这些信息,授权机构(包括安全机构或关键基础设施运营商)可以访问并管理无人机的使用情况。
通过大疆固件及无人机发出的无线电信号进行逆向工程,研究团队首次记录到名为“DroneID”的跟踪协议手机序列号。Nico Schiller总结道,“我们证实了传输的数据未经加密,几乎任何人都可以用相对简单的方式读取到操作者和无人机的位置信息。”
大疆这次应该会根据爆出的问题进行维护手机序列号,这下渗透测试工程师有的忙了,作为高级应用安全人才,有着在真实的网络环境中发现问题和解决问题的能力,解决漏洞也只是时间问题,如果你有兴趣加入CISP-PTE队伍,可联系小天进行咨询,3月份课程即将开课~
