NDSS 2023开始前,我们先来看一篇波鸿-鲁尔大学关于大疆无人机安全分析的超硬核研究论文 Drone Security and the Mysterious Case of DJI’s DroneID
相信并不是每个读者都买过无人机,但是大家对大疆的产品应该是非常熟悉的。尽管如此,大疆和苹果类似,对产品的设计细节并没有特别公开,因此我们首先需要了解一下它家的产品的一些基本的结构。下图展示了大疆无人机的控制结构:用户通过遥控器和无人机进行通信,无人机内部有多个芯片分别处理不同的功能。例如有的芯片专门处理信号收发,有的芯片专门负责视频,而有的芯片则要控制无人机的飞行状态。值得注意的是,大疆的很多型号的机型中的操作系统是基于Android开发的,而遥控器里面也用了Android(版本比较低)。
在实际使用中,作者发现,大疆的无人机和遥控器之间进行了不间断的通信,这种通信不仅仅只是控制信令,还包含了一个特殊的状态心跳包,在本文中,作者将这些通信的协议称为DroneID,顾名思义,协议里面主要传输的数据包跟无人机的特定身份(包括放飞的地理位置信息相关),下图是一个解码(注意不是解密,这个包是明文传输的)后的包的内容:
可以看到,这种心跳包里面包含了大量无人机的“隐私”,很显然,如果攻击者(监管方)可以监听到这种包,就能够发现无人机并了解其信息,作者于是就在论文中告诉你,如何做到“人人都能发现大疆无人机的行踪”。
首先,作者假定攻击者只具备了被动监听的能力,那么就需要使用软件无线电装置,监听信号并解码
频谱分析表明,无人机同时在2.4GHz(也就是4G规范的频段)和5.7GHz(5G WiFi)上发送信号:
在对这种“暴露”无人机行踪的协议进行分析之后,作者不依不饶,继续给出了更多的攻击。首先假设攻击者能够物理接触到无人机,可以解密固件(据作者说,包括固件解密需要的密钥之类的信息,很多都来自网上DJI社区的泄密者),然后他们发现了一个很神奇的固件更新bug,就是在大疆无人机的更新过程中,除了那些加密和签名保护起来的firmware用来更新系统,还有一类“SDRH”配置文件,用来实现“热更新”,也就是允许无人机在不重启的情况下,按照SDRH配置文件的指定,更新内存中特定位置的代码信息,实现on-the-fly patchig,但问题是,SDRH配置文件没有任何的加密和签名保护,攻击者只需要用一个篡改的SDRH配置文件就可以实现临时的任意内存写攻击!(下表显示,Mavic Air 2和Mini 2型号受到这个漏洞影响)
作者介绍的第二个攻击要用到硬件黑科技,通过强行短接设备上的特定触点(下图),可以强制无人机开启本来默认被关闭的UART通信功能,然后获得一个UART shell,在这个shell上也可以任意内存读写!!!但是这个需要攻击者获得并拆掉无人机。
最后一个攻击利用了无人机本身和遥控器都支持的一个DUML(就是DJI Universal Markup Language)协议中的问题。在这个协议(格式如下图所示)允许无人机或者遥控器通过USB和电脑通信,作者于是就写了一个fuzzer去测试协议中存在的问题。
整个Fuzzing的流程如下图所示,花费的时间是8小时36分钟,发现了哪些问题呢?接着往下看!
作者发现,有一个隐藏的命令可以触发Mini 2这款无人机里面的dji_sys这个组件去开启ADB(而且是用root权限运行),这个是下表中列出的比较严重的问题,其余的malformed数据包大部分只能让无人机运行出错并重启,产生拒绝服务攻击的效果;或者是修改无人机的ID信息这种比较无关痛痒的配置。
论文:https://www.ndss-symposium.org/wp-content/uploads/2023/02/ndss2023_f217_paper.pdf
原文始发于微信公众号(安全研究GoSSIP):G.O.S.S.I.P 阅读推荐 2023-02-24
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论