- Регистрация
- 26.10.16
- Сообщения
- 2,237
- Онлайн
- 36д 19ч 13м
- Сделки
- 251
- Нарушения
- 0 / 0
Группа немецких специалистов, возглавляемая Нико Шиллером из Института IT-безопасности в Бохуме, а также профессором Торстеном Хольцем из Центра информационной безопасности CISPA, представили всю известную им информацию об уязвимостях на симпозиуме по безопасности сетей и распределенных систем.
Специалисты вводили в аппаратное и микропрограммное обеспечение дронов большое количество случайных входных данных (метод под названием «Фаззинг») и проверяли, какие из них вызывали сбой дронов или вносили нежелательные изменения в их данные, такие как серийный номер.
Фаззер, разработанный исследовательской группой, генерировал пакеты данных DUML, отправлял их на дрон и оценивал, какие входные данные вызвали сбой программного обеспечения дрона. Такой сбой указывает на ошибку в программировании.
Чтобы обнаружить логические уязвимости, команда соединила дрон с мобильным телефоном, на котором запущено приложение DJI. Таким образом, они могли в реальном времени проверять приложение, чтобы увидеть, меняет ли фаззинг состояние дрона.
У всех четырех протестированных моделей дронов DJI были обнаружены уязвимости в системе безопасности. Всего исследователи зафиксировали 16 уязвимостей. На модели DJI Mini 2, Mavic Air 2 и Mavic 3 выпало четыре самых серьезных из них.
Как сообщают исследователи, на вышеуказанных моделях дронов злоумышленники могли получить расширенные права системного доступа, изменить данные журнала событий, а также серийный номер самого дрона. В то время, как DJI зашила в прошивку своих дронов запрещённые для полёта зоны, например аэропорты или тюрьмы, хакеры могли бы снимать данные ограничения. Более того, они могли бы деактивировать дрон в полёте, если захотели, что привело бы к его крушению и выходу из строя. Самая критическая уязвимость из всех позволила бы удалённым злоумышленникам отследить точное местоположение дрона и его оператора по протоколу DroneID, так как все данные, передаваемые по этому протоколу, не шифруются.
В будущих исследованиях данная команда исследователей намерена проверить безопасность и других моделей дронов. Исследователи проинформировали DJI обо всех обнаруженных уязвимостях, прежде чем обнародовать информацию на симпозиуме, поэтому производитель уже успел устранить все вышеперечисленные проблемы.
