Özellikle, bu güvenlik açıklarından 14’ü bir operatörün akıllı telefonu kullanılarak uzaktan tetiklenebilir ve bu da dronun uçuşun ortasında düşmesine neden olabilir.
Güvenlik araştırmacıları birkaç tane buldu DJI drone’larındaki güvenlik açıklarıBu, kullanıcıların önemli tanımlama ayrıntılarını değiştirmesine ve hatta pilotun ve insansız hava aracının konumuna erişmesine izin verebilir.
Bu araştırma, Almanya’daki Ruhr Üniversitesi Bochum’daki Horst Görtz BT Güvenliği Enstitüsü’nden Nico Schiller ve CISPA Helmholtz Bilgi Güvenliği Merkezi’nden Profesör Thorsten Holz tarafından yürütüldü.
Çinli üretici DJI, bilgilerin halka açıklanmasından önce bu güvenlik açıkları hakkında bilgilendirildi ve ardından bunlar düzeltildi.
DJI, dronun konumunu ve pilotunu yetkililere iletmek için tasarlanmış DroneID adlı bir izleme protokolü kullanır. Ancak araştırmacılar, dronun saldırı yüzeyini analiz ettiler ve biraz tersine mühendislikle, şifreli olmadığı için drone’a ve drone’dan iletilen verileri çıkarsadıklarını ortaya çıkardılar.
Bu, herhangi biri tarafından erişilebileceği anlamına gelir. drone operatörünün gizliliği. Araştırmacılar, “İletilen verilerin şifreli olmadığını, ancak herkes tarafından erişilebilir olduğunu ve drone operatörünün gizliliğini tehlikeye attığını gösteriyoruz” diyor. rapor (PDF).
“İkincisi, drone güvenliğinin kapsamlı bir analizini yürütüyoruz: Tersine mühendislik, DJI’ın iletişim protokolüne göre uyarlanmış yeni bir bulanıklaştırma yaklaşımı ve donanım analizinin bir kombinasyonunu kullanarak, saldırganların iki platformda yükseltilmiş ayrıcalıklar elde etmesine olanak tanıyan drone aygıt yazılımındaki birkaç kritik kusuru ortaya çıkarıyoruz. farklı DJI dronları ve bunların uzaktan kumandası,” diye devam etti araştırmacılar. Araştırmacılar, “Bu tür kök erişimi, karşı önlemleri devre dışı bırakmanın veya atlamanın ve insansız hava araçlarını kötüye kullanmanın yolunu açıyor” dedi.
Araştırma ekibi, küçük DJI Mini 2, orta boy Air 2 ve büyük Mavic 2 dahil olmak üzere farklı kategorilere ait drone’ları test etti. Daha sonra daha yeni Mavic 3 modeli kullanılarak yapılan araştırmalar benzer sonuçlar verdi.
Araştırmacılar, değerlendirmeleri sırasında hizmet reddinden keyfi kod yürütmeye kadar geniş bir etki yelpazesine sahip toplam 16 güvenlik açığı keşfetti. Özellikle, bu güvenlik açıklarından 14’ü bir operatörün akıllı telefonu kullanılarak uzaktan tetiklenebilir ve bu da dronun uçuşun ortasında düşmesine neden olabilir.
Araştırmacılar ayrıca operatörün akıllı telefonunun kontrolünü ele geçirebilir ve drone’u uçuşun ortasında düşürebilir. Bu, telefon aracılığıyla uzaktan tetiklenebilecek on dört hatadan yalnızca biriydi.
DJI, hız ve irtifa ile ilgili olarak yazılıma belirli sınırlar koyar, coğrafi çit, sanal sınırlar kullanır ve havaalanları ile cezaevleri çevresinde uçuşa yasak bölgeler uygular. Araştırma ekibi, bu mekanizmaların bile buldukları güvenlik açıkları tarafından geçersiz kılınabileceğini keşfetti.
Thorsten Holz, “Böylece bir saldırgan günlük verilerini veya seri numarasını değiştirebilir ve kimliğini gizleyebilir” diye açıklıyor. Holz, “Ayrıca DJI, dronların havaalanları veya hapishaneler gibi diğer kısıtlı alanlarda uçmasını önlemek için önlemler alırken, bu mekanizmalar da geçersiz kılınabilir” diye ekledi.
Bochum-Saarbrücken ekibi, ilerideki çalışmalarda diğer drone modellerini de test etmeyi hedefliyor.
Alakalı haberler
- Tesla arabaları bir drone ile uzaktan hacklenebilir
- DJI drone kusuru, kullanıcıların fotoğraflarını ve verilerini açığa çıkardı
- Havadaki Dronlar 15 dolarlık cihaz kullanılarak kaçırılabilir
- 3D Sistemini Hackleyerek 1.000 Dolarlık Uçağı Çöktürmek
- Sinir ağları aracılığıyla kötü niyetli drone operatörlerinin yerini belirleme