如何入侵大疆Phantom 3无人机

最近,我有了一些空闲时间可以与我的飞行“精灵”一起玩,但不是你想的那种玩,我是在想着如何能够破解这款大疆Phantom 3无人机。

这是我第一次操作无人机或类似的嵌入式系统,对于一开始和它互动我也是毫无头绪。Phantom 3配备飞行器(无人机)、控制器以及Android / iOS应用程序。

整个操作过程介绍:

第一步,我对协议进行了分析,发现飞行器和控制器之间的连接是通过Wi-Fi 5.725GHz – 5.825GHz(而不是远距离的Lightbridge协议)进行通信的,而控制器和移动设备之间的连接是在2.400GHz-2.483GHz的工作频率上操作的,控制器就像一个接入点(access point,AP)一样存在。

关于大疆 Lightbridge协议

大疆Lightbridge与 Wi-Fi这两种技术都是将无人机上云台相机拍摄的画面实时传输至地面设备,以便进行地面实时的监控。Lightbridge是大疆自在研发的专用通信链路技术,可实现几乎“零延时”的720p高清传输和显示,距离通常可达2公里以上。

分析发现,Wi-Fi加密方式为WPA2,默认SSID(服务集标识)是从远程控制器的MAC地址中派生的:PHANTOM3_「MAC地址的最后6位」。默认的关联密码是:12341234。

在网络内部,我能够找到这些IP地址:

控制器:192.168.1.1; 飞行器:192.168.1.2; 相机:192.168.1.3; 电话(DJI GO 应用程序):192.168.1.20;

有趣的是,相机和飞行器是分离的,我想可能是因为,如此一来图像传输不会干扰飞机导航。以下为每个设备的nmap结果:

从上图的扫描结果可以看出,一些服务器引起了我的注意:

FTP SSH Telnet landesk-rc rrack

由于我没有这些服务器的密码,所以我决定先去看看Android应用程序(即DJI GO),令人惊讶的是,当我reverse它时我发现了这些细节:

·res/raw/upgrade_config.json

重点显示区域:

·res/raw/flyforbid.json

重点显示区域:

“ftpPwd”: “Big~9China”,

第一个文件包含FTP访问网络中每个设备的root密码,而第二个文件包含了无人机无法飞行的一些区域(禁飞区/虚拟防护栏/地理区域),例如:机场、体育馆、军事基地以及城市等等。

关于禁飞区和净空区

禁飞区与净空区是两种不同的概念。前者是由无人机生产厂商设定的,让无人机无法起飞的特定地域,如机场、军事基地等敏感地带;后者则是监管部门划定的,以保障民航飞机在起飞和降落的低高度飞行时无地面障碍物妨碍导航和飞行的区域。

不幸的是,在最新的固件(V01.07.0090)中,ftp访问无人机的root是被chroot的,此外,Telnet 和SSH访问也都是被禁用的。

什么是 chroot?

chroot,即 change rootdirectory (更改 root 目录)。例如,在 linux 系统中,系统默认的目录结构都是以 `/`,即是以根(root)开始的。而在使用 chroot 之后,系统的目录结构将以指定的位置作为 `/` 位置。

我尝试用一个修改的版本替换固件,但是该固件已签名且能够复原篡改。将固件降级到其先前的版本(V01.06.0080)会导致无限制的root FTP访问,所以。我转储了文件系统并开始潜入其中。

无人机的底层系统是为“ar71xx / generic”构建的OpenWRT 14.07“Barrier Breaker,r2879,14.07”的一个分支,与控制器是相同的版本。

Root访问飞行器是一件很难实现的事,因为root密码很强,我试图破解它,但是历经好几天也无法完成破解。所以,我决定采取另一条路径,重新启用Telnet服务器。在文件系统内进行搜索我发现了如下文件:

/etc/init.d/rcS /etc/init.d/rcS_ap /etc/init.d/rcS_aphand /etc/init.d/rcS_cli

这些脚本在启动过程(boot process)中运行,使第61行上的代码能够启动telnet服务器:

telnetd -l /bin/ash &

如此一来,我设法获得了飞行器和控制器底层系统的root访问权限:

进一步操作:

检查rrac和landesk-rc服务器上一些很酷的漏洞利用(cool exploits); 检查SDK来劫持空中无人机; 执行GPS攻击; 检查试图对移动电话解除认证的设备队列并执行接管;

以上文章是Paolo Stagno的一篇帖子,最初发表在他的网站VoidSec上。

虽然我们之前对攻击Parrot AR2.0无人机做了研究,也列出了许多可能会沦为黑客攻击向量的其他无人机类型,但是对大疆Phantom系列的安全问题还几乎没有研究过。

大疆Phantom系列整体安全

如今,大疆无人机可谓是最受欢迎的商业无人机之一,对于它的安全研究也是不可避免的事情。Paolo对于无人机的安全检查也让人们对Phantom无人机的整体安全有了一些想法,注意,他的研究表明篡改最新的固件是不可能的。

Paolo的研究发现,在最新的固件中telnet和FTP访问都会受到限制或禁用,这一点我们还没有在最新发布的Parrot AR无人机版本中进行确认。

GPS攻击 & 更多威胁

入侵大疆Phantom 3下一步会发生什么?虽然这仍然是一个正在进行中的工作,但是Paolo认为,GPS攻击是一个可行的矢量,并期待可以在源开发工具包(Source Development Kit)的帮助下进行一些可以实现完全接管的研究。

无人机原本就相当容易受到干扰攻击,2015 年时美国一位前国防部专家于 Defcon 安全大会上,示范如何以脉冲 GPS 讯号干扰无人机,让无人机坠毁;而无人机的信息安全门户大开,更早有骇入控制的办法,2016 年 3 月 RSA 加密演算大会上,研究员只用笔记本电脑与廉价 USB 设备就破解军警政府用的高端无人机,而能远程操控。

无人机的信息安全漏洞与电脑的信息安全漏洞一样,也可利用更新来封阻漏洞,但这就牵涉到厂商的态度,一般来说,高端无人机时常更新,时时封阻所发现的信息安全漏洞,但廉价无人机厂商往往对漏洞不闻不问,或是许久才意兴阑珊更新,造成不设防期间大增。

目前要入侵信息安全门户大开的无人机虽然容易,但多半还是得一台台手动入侵,但信息安全专家警告,很快就会有人写出可自动入侵感染的病毒,预期 2017 年就会有相关黑客工具流传,届时,很快无人机被骇造成的灾情就会上报纸头条;此外,军警政府方面越来越常使用无人机来监控犯罪与抗议活动,这也使得这些公家机关的无人机成为可能遭下手的目标,无论如何,无人机的信息安全问题,势必成为近未来的重要议题。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-03-25

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏黑白安全

网络安全究竟是什么?

“网络安全”是指任何活动旨在保护您的网络和数据的可用性和完整性。它包括硬件和软件技术。有效的网络安全管理对网络的访问。它针对的是一种不同的威胁,阻止他们进入或在...

11520
来自专栏SAP最佳业务实践

SAP最佳业务实践:FI–现金管理(160)-2创建演示数据-客户发票

2.3 创建演示数据 2.3.1 过帐客户发票(以本国货币) 以下示例描述了如何输入客户发票。 已创建客户。已维护总分类帐帐户的主数据。 要执行该活动,使用此文...

35460
来自专栏黑白安全

研究称卫星有漏洞:黑客可让卫星过度充电令其损

(原标题:Warning over satellite security bugs)

9520
来自专栏FreeBuf

这款奇葩的Android勒索软件竟然让受害者用语音说出解锁密码

这是一款针对国人的勒索软件,锁屏界面会显示勒索人的QQ,解锁的时候还用了百度TTL进行语音输入。 ? 近期,安全研究专家发现了一种新型的Android勒索软件。...

22970
来自专栏非著名程序员

由勒索病毒而引起的一些想法和看法

从5月12日晚,勒索病毒开始慢慢爆发,到今天至此更是快速蔓延,席卷全球。全球近100个国家的不计其数的电脑受到一个叫做“WannaCry”勒索病毒的侵扰。到目前...

25650
来自专栏FreeBuf

欧洲信用卡终端机仍存在严重漏洞

当美国准备转向使用“芯片和密码”模型的信用卡交易时,欧洲还在开心的使用传统的更加安全的人工方式进行交易。但是,欧洲现在的信用卡交易方式出现问题是迟早的事。 摘...

21280
来自专栏VRPinea

HTC发布Vive无线适配器设置说明,需要额外的PCle插槽

虽然当初预计该款设备将在夏末发售,但至今还没有具体的价格和发售日期。不过最近在该公司的英国站点(该页面现已移除)上,出现了一份安装手册。手册上详细介绍了安装英特...

8110
来自专栏FreeBuf

全球安全厂商针对“Wannacry勒索蠕虫”响应与处置方案汇总

一般来说,影响力最大的事物并不是最牛掰的事物——这件事可以反映到周末爆发的WannaCry勒索软件身上。 WannaCry可以说是史上影响、危害最大的勒索程序没...

25170
来自专栏网络

中国香港服务器与大陆服务器有什么区别

随着国家对国内互联网环境的整治,国内的网络环境也变得越来越安全、干净。同时也给很多企业和站长建站时提出了更多的要求,除了内容上限制的更多,备案也成为了业内褒贬不...

1.1K80
来自专栏FreeBuf

针对一伙WordPress犯罪团伙的深度技术分析

本文阐述了如何对一个黑产团伙追根溯源。据Wordfence监控数据显示,这个被称为JerseyShore的团伙的主要攻击目标为金融和假冒体育服装类网站。通过本文...

21760

扫码关注云+社区

领取腾讯云代金券