Дослідники з Бохума та Саарбрюккена виявили вразливі місця в безпеці, деякі з них серйозні, у кількох дронах виробника DJI. Вони дозволяють користувачам, наприклад, змінювати серійний номер дрона або скасовувати механізми, які дозволяють органам безпеки відстежувати дрони та їхніх пілотів. У спеціальних сценаріях атаки дрони можна навіть збити дистанційно під час польоту. Команда на чолі з Ніко Шіллером з Інституту ІТ-безпеки Горста Гьорца Рурського університету Бохума, Німеччина, та професором Торстеном Хольцом, який раніше перебував у Бохумі, а тепер працює в Центрі інформаційної безпеки імені Гельмгольца CISPA в Саарбрюккені, представить свої висновки в мережі та Симпозіум із безпеки розподілених систем (NDSS). Конференція проходитиме з 27 лютого по 3 березня в Сан-Дієго, США.
Чотири моделі виставлені на випробування
Команда протестувала три дрони DJI різних категорій: маленький DJI Mini 2, середній Air 2 і великий Mavic 2. Пізніше IT-фахівці відтворили результати й для нової моделі Mavic 3. Вони надсилали апаратному та мікропрограмному забезпеченню дронів велику кількість випадкових вхідних даних і перевіряли, які з них спричиняли збій дронів або вносили небажані зміни в дані дронів, такі як серійний номер — метод, відомий як фаззинг. Для цього їм спочатку довелося розробити новий алгоритм.
«Часто ми маємо повне програмне забезпечення пристрою, доступне для цілей фаззингу. Але тут це було не так», — каже Ніко Шиллер. Оскільки дрони DJI є відносно складними пристроями, фазинг довелося виконувати в живій системі. «Після підключення дрона до ноутбука ми спочатку подивилися, як ми можемо з ним спілкуватися та які інтерфейси були доступні для цієї мети», — каже дослідник із Бохума. Виявилося, що більша частина зв’язку здійснюється через той самий протокол під назвою DUML, який надсилає команди дрону пакетами.Дослідники шукали прогалини в системі безпеки та ретельно досліджували внутрішню роботу дронів. Авторство: RUB, Marquard
Чотири серйозні помилки
Таким чином, фазер, розроблений дослідницькою групою, генерував пакети даних DUML, надсилав їх на дрон і оцінював, які вхідні дані спричинили збій програмного забезпечення дрона. Такий збій свідчить про помилку в програмуванні. «Однак не всі прогалини в безпеці призвели до збою», — каже Торстен Хольц. «Деякі помилки призвели до змін таких даних, як серійний номер». Щоб виявити такі логічні вразливості, команда поєднала дрон із мобільним телефоном, на якому запущено додаток DJI. Таким чином, вони могли періодично перевіряти додаток, щоб перевірити, чи не змінює фаззинг стан дрона.
Усі чотири перевірені моделі мали вразливі місця в безпеці. Загалом дослідники задокументували 16 вразливостей. Моделі DJI Mini 2, Mavic Air 2 і Mavic 3 мали чотири серйозні недоліки. По-перше, ці помилки дозволили зловмиснику отримати розширені права доступу до системи.
«Таким чином зловмисник може змінити дані журналу або серійний номер і приховати свою особу», — пояснює Торстен Хольц. «Крім того, хоча DJI вживає запобіжних заходів, щоб запобігти польотам дронів над аеропортами чи іншими зонами обмеженого доступу, такими як в’язниці, ці механізми також можуть бути відхилені». Крім того, група змогла розбити літаючі дрони в повітрі.
У майбутніх дослідженнях команда Bochum-Saarbrücken також має намір перевірити безпеку інших моделей дронів.
Дані про місцеперебування передаються незашифрованими
Крім того, дослідники вивчили протокол, який використовують дрони DJI для передачі місцеперебування дрона та його пілота, щоб уповноважені органи, такі як органи безпеки або оператори критичної інфраструктури, могли отримати до нього доступ.
Шляхом зворотного проєктування мікропрограми DJI й радіосигналів, які випромінюють безпілотники, дослідницька група вперше змогла задокументувати протокол відстеження під назвою «DroneID». «Ми показали, що дані, що передаються, не шифруються, і що практично будь-хто може прочитати місцеперебування пілота та дрона за допомогою відносно простих методів», — підсумовує Ніко Шиллер.