Уязвимости дронов используются для определения локации оператора

Ошибка позволяет хакеру изменять идентификационные данные, допустим, серийный номер устройства, за счёт чего злоумышленник может нарушить работу защитных механизмов, узнать локацию оператора и перехватить контроль над аппаратом.

Известно, что в отдельных случаях преступники получают возможность приземлять дроны, действуя в удалённом режиме. Ошибку обнаружили эксперты Рурского университета – специалисты заявили об угрозе в рамках мероприятия Network and Distributed System Security.

Также эксперты уведомили об ошибке и других 15 неисправностях компанию-производителя DJI. На текущий момент уязвимости устранены.

В ходе исследования специалисты изучили популярные модели DJI Mini 2, Air 2 и Mavic 2. Тестирование производилось методом фаззинга – эксперты направили на прошивку огромный объём данных и следили за тем, как устройства справляются с перегрузкой. В результате исследователям удалось изменить критические данные устройства и обнаружить уязвимость.

После подключения дрона к ноутбуку, мы первым делом выяснили, как можно взаимодействовать с устройствами и какие интерфейсы для этого доступны. Оказалось, что большая часть взаимодействия происходит через протокол DUML, отправляющий команды дрону в виде пакетов. Тем не менее, не все уязвимости приводили к сбою. Отдельные бреши приводили к изменениям данных вроде серийного номера.

Группа исследователей Рурского университета