В нескольких дронах DJI были обнаружены критические уязвимости системы безопасности, позволяющие изменять важные идентификационные данные дрона, а также обходить встроенные механизмы безопасности. Потенциально это может позволить злоумышленникам отслеживать точное местоположение как самого дрона, так и его оператора. А в некоторых сценариях атак дроны даже возможно дистанционно деактивировать прямо в полёте.
Группа немецких специалистов, возглавляемая Нико Шиллером из Института IT-безопасности в Бохуме, а также профессором Торстеном Хольцем из Центра информационной безопасности CISPA, представили всю известную им информацию об уязвимостях на симпозиуме по безопасности сетей и распределенных систем.
Специалисты вводили в аппаратное и микропрограммное обеспечение дронов большое количество случайных входных данных (метод под названием «Фаззинг») и проверяли, какие из них вызывали сбой дронов или вносили нежелательные изменения в их данные, такие как серийный номер.
Фаззер, разработанный исследовательской группой, генерировал пакеты данных DUML, отправлял их на дрон и оценивал, какие входные данные вызвали сбой программного обеспечения дрона. Такой сбой указывает на ошибку в программировании.
Чтобы обнаружить логические уязвимости, команда соединила дрон с мобильным телефоном, на котором запущено приложение DJI. Таким образом, они могли в реальном времени проверять приложение, чтобы увидеть, меняет ли
Источник: SecurityLab