背景:
在黑帽安全亚洲峰会上(Black Hat Asia),IBM安全专家Nils Rodday说装载了不加密的芯片的无人机会被攻击者劫持,据Rodday介绍,劫持一架超过2.8万美元的无人机所需成本不到40美元,攻击者只要多掌握一点无线电通信的基础知识就可以劫持一架两公里内的无人机。Rodday在黑帽亚洲安全会议上说,攻击者通过复制安卓端的命令完全控制无人机,他还在现场演示了如何发出指令让无人机螺旋桨开始转动、起飞。“你能够破解WiFi WEP加密,然后断开无人机原来的控制端,只要在100米之内就可以连上攻击者的控制端。”
一名德国无人机研究者曾与某厂商合作,研究破解无人机及控制它的安卓应用程序。他发现受性能的限制,无人机中Xbee芯片并没有采用加密,无线连接之后便可以控制空中100米以下的飞行设备,它们仅受到WEP(有线等效保密)微弱的保护。
无人机的信息安全漏洞与电脑的信息安全漏洞一样,也可利用更新来封阻漏洞,但这就牵涉到厂商的态度,一般来说,高端无人机时常更新,时时封阻所发现的信息安全漏洞,但廉价无人机厂商往往对漏洞不闻不问,或是许久才意兴阑珊更新,造成不设防期间大增。
简介:
目前消费级无人机最常用两种无线图像传输技术:DJI Lightbridge与 Wi-Fi。这两种技术都是将无人机上云台相机拍摄的画面实时传输至地面设备,以便进行地面实时的监控。需要指出的是,这里谈到的图传技术和效果与相机本身录制存储的视频效果的好坏没有关系。
Lightbridge高清远距离数字图传技术让大疆与其他无人机厂商明显区分开来,并且拉开了差距。 Lightbridge是大疆自在研发的专用通信链路技术,可实现几乎“零延时”的720p高清传输和显示,距离通常可达2公里以上,在开阔无干扰的情况下甚至可达5公里以上。Lightbridge与 Wi-Fi使用的都是2.4GHz频段,但是Lightbridge与其他无人机厂商(如Yuneec,Blade,3DR)使用的标准 Wi-Fi图传技术大不相同。
刚拿到堂哥寄过来的大疆无人机!玩了一会也帮他刷了最新固件,修复完成。顺便好奇心起来就进行了一次浅层安全测试实验!其实我率先从手机遥控端进行协议切入分析,对截取到数据流进行进一步分析,清晰地发现该型号无人飞行器和控制器之间的连接是通过Wi-Fi 5.725GHz – 5.825GHz(而不是远距离的Lightbridge协议)进行通信的,而且关键无人机控制器和移动设备之间的交互连接是在基于2.400GHz-2.483GHz的工作频率上工作的,我们可以把控制器就当成一个无线网络接入点(access point,AP)。其实大疆Lightbridge与 Wi-Fi这两种技术都是将无人机上云台相机拍摄的画面实时传输至地面设备,以便进行地面实时的监控。Lightbridge是大疆自在研发的专用通信链路技术,可实现几乎“零延时”的720p高清传输和显示,距离通常可达2公里以上。归功于Lightbridge高清图传技术的单向传输性,DJI无人机使用的距离是一般使用普通 Wi-Fi图传无人机的2-3倍。虽然,Lighbridge技术并不像 Wi-Fi那样拥有很便宜的单芯片实现方案,但距离及延时特性所带来的利好,值得消费者为之付出。Wi-Fi信号易受干扰是另外一个弱点。仅仅是飞到一棵树的后面,相对于Lightbridge而言,Wi-Fi图传因为树叶阻挡更容易中断。同时,由于树上有潮湿的水蒸气等阻档了信号,很容易引起 Wi-Fi数据包丢失某些字节,整个大数据包就得重新发送,这就导致图传经常性延时。而Lightbrige图传对树叶遮挡引起的数据包丢失并不敏感,画面中可能只出现横纹,总延时能很好地控制在100-200毫秒间。而且大疆整体从数据传输角度上看,Wi-Fi传输已经算是速度很快的无线传输技术,但基于TCP/IP协议的双向握手机制很容易会导致 Wi-Fi图传无法实时传输航拍画面。
接下来我们从 Wi-Fi 数据链接入口进行分析,经分析发现,Wi-Fi加密方式为WPA2,默认SSID(服务集标识)是从远程控制服务器器的MAC地址中随机派生的:PHANTOM3_「MAC地址的最后6位」。默认密码是:12341234。在无人机自身内网:无人机控制器IP:192.168.1.1;无人飞行器IP:192.168.1.2;无人机相机IP:192.168.1.3;大疆GO应用程序IP:192.168.1.20;
还有一个重大发现,就是相机和飞行器是网络分离的,猜想可能是双通道来过滤图像流传输,达到不会干扰无人飞机导航操作。我尝试挂上nmap进行扫描发现:ftp握手协议,ssh加密控制传输协议,
telent远程调试端口协议,Landesk远程桌面控制管理协议!
由于目前没有这些对应协议的服务器的关键密码,所以我继续分析手机遥控端Android应用程序(大疆GO),Reverse时我发现在其资源目录下生成json文件:·res/raw/upgrade_config.json与·res/raw/flyforbid.json
惊奇发现密码关键字!在flyforbid.json文件包含FTP访问网络中每个设备的账号ftpUsername:“root”而密码: “Big~9China”,而upgrade_config.json文件包含了无人机无法飞行的一些区域(禁飞区/虚拟防护栏/地理区域),例如:机场、体育馆、军事基地以及城市等等。禁飞区与净空区是两种不同的概念。前者是由无人机生产厂商设定的,让无人机无法起飞的特定地域,如机场、军事基地等敏感地带;后者则是监管部门划定的,以保障民航飞机在起飞和降落的低高度飞行时无地面障碍物妨碍导航和飞行的区域。放心的是:在最新的固件ftp访问无人机的root是被chroot的,此外,Telnet 和SSH访问也都是被禁用的。我们如何执行Chroot,即 change rootdirectory (更改 root 目录)。例如,在 linux 系统中,系统默认的目录结构都是以 `/`,即是以根(root)开始的。而在使用 chroot 之后,系统的目录结构将以指定的位置作为 `/` 位置。我尝试用一个修改的版本替换固件,但是该固件已签名且能够复原篡改。将固件降级到其先前的版本会导致无限制的root FTP访问,所以。我转储了文件系统并开始潜入其中。无人机的底层系统是为“ar71xx / generic”构建的OpenWRT 14.07“Barrier Breaker,r2879,14.07”的一个分支,与控制器是相同的版本。目前技术来说,要Root无人飞行器是很困难,因为root设置密码很强,尝试多次硬破它,但都没结果。所以,临时决定采取另一条路径,重新启用Telnet服务器。在文件系统内进行搜索我发现了如下文件/etc/init.d/下的rcS,rcS_ap,rcS_aphand,rcS_cli。这些脚本在启动过程(boot process)中运行,使第61行上的代码能够启动telnet服务器:telnetd -l /bin/ash &如此一来,设法获得了无人飞行器和控制器底层系统的root访问权限:
接着大开杀戒!可以执行检查rrac和landesk-rc服务器上一些很酷的漏洞利用(cool exploits);检查SDK来劫持空中无人机;执行GPS攻击;检查试图对移动电话解除认证的设备队列并执行接管;虽然我之前对攻击无人机做一些简单漏洞检测研究,但是对大疆无人机系列的安全接触很少!其实大疆无人机可谓是最受欢迎的商业无人机之一,对于它的安全研究也是不可避免的事情。关于大疆无人机Phantom的整体安全还是很有保障的,因为在最新的固件中telnet和FTP访问都会受到限制或禁用,漏洞已经封堵了,但不升级最新估计依然存在风险!所以目前新固件还是很安全的!目前全球在入侵无人机领域虽然这仍然是一个正在进行时的工作,但是我认为他们大体技术上主要利用了无人机内BusyBox实时操作系统中内置的WiFi功能和开放的telnet端口。连接到无人机之后,Ryan Satterfield就获得了对控制器的root访问权限,并且他还能够终止控制飞行功能的进程,这就导致了无人机的坠落。使用一种WiFi“de-auth”攻击,就能够断开控制者设备上的控制APP连接,在原始无人机控制者试图重新重新建立WiFi连接时,攻击者能够利用另一台移动设备上的控制APP连接到无人机,然后攻击者就可以随意控制无人机的飞行操作。