研究員針對(duì)大疆無(wú)人機(jī)進(jìn)行多方面研究，如對(duì)其通信協(xié)議量身定制了一種模糊測(cè)試方法，共找到16個(gè)安全漏洞，并發(fā)現(xiàn)其設(shè)備跟蹤協(xié)議存在隱私缺陷，

安全內(nèi)參3月6日消息，德國(guó)波鴻和薩爾布呂肯的研究人員們從無(wú)人機(jī)巨頭大疆（DJI）的產(chǎn)品中發(fā)現(xiàn)多個(gè)安全漏洞，其中部分漏洞相當(dāng)嚴(yán)重。例如，用戶可利用漏洞修改無(wú)人機(jī)的序列號(hào)，或覆蓋掉安全當(dāng)局用于跟蹤無(wú)人機(jī)及其操縱者的機(jī)制。在特定攻擊場(chǎng)景下，無(wú)人機(jī)甚至可能在飛行中被遠(yuǎn)程擊落。

德國(guó)波鴻魯爾大學(xué)Horst G?rtz IT安全研究所的Nico Schiller和Thorsten Holz教授領(lǐng)導(dǎo)的研究團(tuán)隊(duì)，已經(jīng)在2月27日至3月3日美國(guó)圣迭戈召開(kāi)的網(wǎng)絡(luò)和分布式系統(tǒng)安全研討會(huì)（NDSS）上公布了自己的發(fā)現(xiàn)。該團(tuán)隊(duì)以前在波鴻，目前在薩爾布呂肯的CISPA亥姆霍茲信息安全中心。

在向公眾發(fā)布此次發(fā)現(xiàn)之前，研究人員已經(jīng)將檢測(cè)到的16個(gè)漏洞上報(bào)給了大疆，該制造商也已采取措施進(jìn)行修復(fù)。

四款機(jī)型參與測(cè)試

該團(tuán)隊(duì)共測(cè)試了三款型號(hào)的大疆無(wú)人機(jī)，分別為小型機(jī)Mini 2、中型機(jī)Air 2和大型機(jī)Mavic 2。之后，IT專家們又在經(jīng)過(guò)更新的Mavic 3機(jī)型上重現(xiàn)了攻擊效果。他們向無(wú)人機(jī)的硬件和固件發(fā)出大量隨機(jī)輸入，并檢查哪些輸入會(huì)導(dǎo)致無(wú)人機(jī)墜毀、或者對(duì)無(wú)人機(jī)數(shù)據(jù)（例如序列號(hào)）執(zhí)行意外篡改。為了實(shí)現(xiàn)整個(gè)模糊測(cè)試，他們首先需要開(kāi)發(fā)出一種新的算法。

Nico Shciller表示，“一般來(lái)說(shuō)，我們?cè)谀：郎y(cè)試時(shí)往往準(zhǔn)備好了設(shè)備的完整固件。但這次情況并非如此。”由于大疆無(wú)人機(jī)相對(duì)復(fù)雜，所以必須在實(shí)時(shí)系統(tǒng)中執(zhí)行模糊測(cè)試。

“將無(wú)人機(jī)接入筆記本電腦后，我們首先研究了如何與之通信，還有我們可以在測(cè)試中使用哪些接口?！笔聦?shí)證明，大部分通信是經(jīng)由DUML協(xié)議完成的，該協(xié)議負(fù)責(zé)以數(shù)據(jù)包的形式向無(wú)人機(jī)發(fā)送命令。

發(fā)現(xiàn)四個(gè)嚴(yán)重錯(cuò)誤

研究人員開(kāi)發(fā)的模糊測(cè)試工具要生成DUML數(shù)據(jù)包，將其發(fā)送至無(wú)人機(jī)并評(píng)估哪些輸入可能導(dǎo)致軟件崩潰。只要能夠引發(fā)崩潰，就說(shuō)明編程中存在錯(cuò)誤。Thorsten Holz解釋道，“但并不是所有安全漏洞都會(huì)引發(fā)崩潰，也有一些錯(cuò)誤會(huì)導(dǎo)致序列號(hào)等數(shù)據(jù)發(fā)生變化?！?為了檢測(cè)此類邏輯漏洞，研究團(tuán)隊(duì)將無(wú)人機(jī)與運(yùn)行大疆應(yīng)用的手機(jī)配對(duì)。這樣他們就能定期檢查應(yīng)用，查看模糊測(cè)試是否改變了無(wú)人機(jī)的狀態(tài)。 結(jié)果發(fā)現(xiàn)，參與測(cè)試的四款大疆機(jī)型全部存在安全漏洞。研究人員共記錄下16個(gè)漏洞，且大疆Mini 2、Mavic Air 2和Mavic 3機(jī)型還存在4個(gè)嚴(yán)重缺陷，允許攻擊者在系統(tǒng)中擴(kuò)大訪問(wèn)權(quán)限。 Thorsten Holz解釋稱，“攻擊者可以借此篡改日志數(shù)據(jù)或序列號(hào)，并偽裝自己的身份。另外，雖然大疆采取了預(yù)防措施以阻止無(wú)人機(jī)飛越機(jī)場(chǎng)或監(jiān)獄等禁區(qū)，但這些機(jī)制也可能被破解?！痹撗芯啃〗M甚至能讓飛行中的無(wú)人機(jī)在半空中墜毀。 在未來(lái)的研究中，研究團(tuán)隊(duì)打算進(jìn)一步測(cè)試其他無(wú)人機(jī)型號(hào)的安全性。

傳輸?shù)奈恢脭?shù)據(jù)未經(jīng)加密

此外，研究人員還檢查了大疆無(wú)人機(jī)當(dāng)中用于傳輸設(shè)備位置及操縱者信息的協(xié)議。通過(guò)這些信息，授權(quán)機(jī)構(gòu)（包括安全機(jī)構(gòu)或關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)商）可以訪問(wèn)并管理無(wú)人機(jī)的使用情況。

通過(guò)大疆固件及無(wú)人機(jī)發(fā)出的無(wú)線電信號(hào)進(jìn)行逆向工程，研究團(tuán)隊(duì)首次記錄到名為“DroneID”的跟蹤協(xié)議。Nico Schiller總結(jié)道，“我們證實(shí)了傳輸?shù)臄?shù)據(jù)未經(jīng)加密，幾乎任何人都可以用相對(duì)簡(jiǎn)單的方式讀取到操作者和無(wú)人機(jī)的位置信息。”

審核編輯 ：李倩