In mehreren Drohnen des Herstellers DJI haben Forschende aus Bochum und Saarbrücken teils schwerwiegende Sicherheitslücken entdeckt. Diese ermöglichen es Anwenderinnen und Anwendern beispielsweise, die Seriennummer der Drohne zu ändern oder die Mechanismen ausser Kraft zu setzen, mit denen sich die Drohnen und ihre Piloten durch Sicherheitsbehörden orten lassen. In bestimmten Angriffsszenarien können die Drohnen sogar im Flug aus der Ferne zum Absturz gebracht werden.
Das Team um Nico Schiller vom Horst-Görtz-Institut für IT-Sicherheit der Ruhr-Universität Bochum und Prof. Dr. Thorsten Holz, vom Helmholtz-Zentrum für Informationssicherheit CISPA in Saarbrücken, stellte die Ergebnisse auf dem Network and Distributed System Security Symposium (NDSS) vor. Die Konferenz fand vom 27. Februar bis 3. März in San Diego, USA, statt.
Die Forschenden haben DJI vor der Veröffentlichung über die 16 gefundenen Schwachstellen informiert; der Hersteller arbeitet daran, diese zu beheben.
Vier Modelle im Test
Das Team testete drei DJI-Drohnen verschiedener Kategorien, später reproduzierten die IT-Expertinnen und -Experten die Ergebnisse auch für das neuere Modell Mavic 3. Sie fütterten die Hard- und Firmware der Drohnen mit einer grossen Anzahl an zufälligen Inputs und überprüften, welche davon die Drohnen zum Absturz brachten oder unerwünschte Veränderungen in den Drohnen-Daten wie der Seriennummer erzeugten – eine Methode, die sich Fuzzing nennt. Dafür mussten sie zunächst einen neuen Algorithmus entwickeln.
Weil DJI-Drohnen relativ komplexe Geräte sind, musste das Fuzzing im Live-System erfolgen. «Wir haben die Drohne an einen Laptop angeschlossen und zunächst geschaut, wie wir mit ihr kommunizieren können und welche Schnittstellen uns dafür zur Verfügung stehen», so Nico Schiller. Dabei kam heraus, dass der Grossteil der Kommunikation über das gleiche Protokoll erfolgt, DUML genannt, welches Befehle paketweise an die Drohne sendet.
Vier schwerwiegende Fehler
Der von der Forschungsgruppe entwickelte Fuzzer wertete aus, welche Eingaben die Software der Drohne zum Absturz brachten. Ein solcher Crash deutet dabei auf einen Fehler in der Programmierung hin. Alle vier getesteten Modelle wiesen Sicherheitslücken auf. Insgesamt dokumentierten die Forschenden 16 Schwachstellen.
Die vier Modelle besassen vier schwerwiegende Fehler. Diese erlaubten zum einen, erweiterte Zugriffsrechte im System zu erlangen. «So kann ein Angreifer Log-Daten oder die Seriennummer ändern und seine Identität verschleiern», erklärt Thorsten Holz. «Ausserdem unternimmt DJI aufwendige Vorkehrungen, um zu verhindern, dass Drohnen über Flughäfen oder andere gesperrte Bereiche wie Gefängnisse fliegen können – auch diese Mechanismen könnte man umgehen.» Des Weiteren konnte die Gruppe die fliegenden Drohnen aus der Luft abstürzen lassen.
In künftigen Arbeiten will das Bochumer-Saarbrücker Team nun die Sicherheit weiterer Drohnen-Modelle überprüfen.
Standortdaten werden unverschlüsselt übermittelt
Zusätzlich untersuchten die Forschenden das Protokoll, mit dem DJI-Drohnen den Standort der Drohne und ihres Piloten übermitteln, damit autorisierte Stellen darauf zugreifen können. Durch Reverse Engineering der DJI-Firmware und der von den Drohnen ausgesendeten Funksignale konnte das Forschungsteam das Tracking-Protokoll namens «DroneID» erstmals dokumentieren. «Wir konnten zeigen, dass die übermittelten Daten nicht verschlüsselt werden, sondern dass der Standort des Piloten und der Drohne mit relativ einfachen Mitteln praktisch durch jedermann ausgelesen werden kann», resümiert Nico Schiller.
Bild: RUB, Marquard.
Nico Schiller beschäftigte sich schon in seiner Masterarbeit an der Ruhr-Universität Bochum mit der Sicherheit von Drohnen. Aktuell promoviert er zu diesem Thema.