如何入侵大疆Phantom 3無人機

最近，我有了一些空閑時間可以與我的飛行「精靈」一起玩，但不是你想的那種玩，我是在想著如何能夠破解這款大疆Phantom 3無人機。

這是我第一次操作無人機或類似的嵌入式系統，對於一開始和它互動我也是毫無頭緒。Phantom 3配備飛行器（無人機）、控制器以及Android / iOS應用程序。

整個操作過程介紹：

第一步，我對協議進行了分析，發現飛行器和控制器之間的連接是通過Wi-Fi 5.725GHz – 5.825GHz（而不是遠距離的Lightbridge協議）進行通信的，而控制器和移動設備之間的連接是在2.400GHz-2.483GHz的工作頻率上操作的，控制器就像一個接入點（access point，AP）一樣存在。

關於大疆 Lightbridge協議

大疆Lightbridge與 Wi-Fi這兩種技術都是將無人機上雲台相機拍攝的畫面實時傳輸至地面設備，以便進行地面實時的監控。Lightbridge是大疆自在研發的專用通信鏈路技術，可實現幾乎「零延時」的720p高清傳輸和顯示，距離通常可達2公里以上。

分析發現，Wi-Fi加密方式為WPA2，默認SSID（服務集標識）是從遠程控制器的MAC地址中派生的：PHANTOM3_「MAC地址的最後6位」。默認的關聯密碼是：12341234。

在網路內部，我能夠找到這些IP地址：

控制器：192.168.1.1；

飛行器：192.168.1.2；

相機：192.168.1.3；

電話（DJI GO 應用程序）：192.168.1.20；

有趣的是，相機和飛行器是分離的，我想可能是因為，如此一來圖像傳輸不會干擾飛機導航。以下為每個設備的nmap結果：

從上圖的掃描結果可以看出，一些伺服器引起了我的注意：

FTP

SSH

Telnet

landesk-rc

rrack

由於我沒有這些伺服器的密碼，所以我決定先去看看Android應用程序（即DJI GO），令人驚訝的是，當我reverse它時我發現了這些細節：

·res/raw/upgrade_config.json

重點顯示區域：

·res/raw/flyforbid.json

重點顯示區域：

「ftpPwd」: 「Big~9China」,

第一個文件包含FTP訪問網路中每個設備的root密碼，而第二個文件包含了無人機無法飛行的一些區域（禁飛區／虛擬防護欄／地理區域），例如：機場、體育館、軍事基地以及城市等等。

關於禁飛區和凈空區

禁飛區與凈空區是兩種不同的概念。前者是由無人機生產廠商設定的，讓無人機無法起飛的特定地域，如機場、軍事基地等敏感地帶；後者則是監管部門劃定的，以保障民航飛機在起飛和降落的低高度飛行時無地面障礙物妨礙導航和飛行的區域。

不幸的是，在最新的固件（V01.07.0090）中，ftp訪問無人機的root是被chroot的，此外，Telnet 和SSH訪問也都是被禁用的。

什麼是 chroot？

chroot，即 change rootdirectory （更改 root 目錄）。例如，在 linux 系統中，系統默認的目錄結構都是以 `/`，即是以根（root）開始的。而在使用 chroot 之後，系統的目錄結構將以指定的位置作為 `/` 位置。

我嘗試用一個修改的版本替換固件，但是該固件已簽名且能夠復原篡改。將固件降級到其先前的版本（V01.06.0080）會導致無限制的root FTP訪問，所以。我轉儲了文件系統並開始潛入其中。

無人機的底層系統是為「ar71xx / generic」構建的OpenWRT 14.07「Barrier Breaker，r2879，14.07」的一個分支，與控制器是相同的版本。

Root訪問飛行器是一件很難實現的事，因為root密碼很強，我試圖破解它，但是歷經好幾天也無法完成破解。所以，我決定採取另一條路徑，重新啟用Telnet伺服器。在文件系統內進行搜索我發現了如下文件：

/etc/init.d/rcS

/etc/init.d/rcS_ap

/etc/init.d/rcS_aphand

/etc/init.d/rcS_cli

這些腳本在啟動過程（boot process）中運行，使第61行上的代碼能夠啟動telnet伺服器：

telnetd -l /bin/ash &

如此一來，我設法獲得了飛行器和控制器底層系統的root訪問許可權：

進一步操作：

檢查rrac和landesk-rc伺服器上一些很酷的漏洞利用（cool exploits）；

檢查SDK來劫持空中無人機；

執行GPS攻擊；

檢查試圖對行動電話解除認證的設備隊列並執行接管；

以上文章是Paolo Stagno的一篇帖子，最初發表在他的網站VoidSec上。

雖然我們之前對攻擊Parrot AR2.0無人機做了研究，也列出了許多可能會淪為黑客攻擊向量的其他無人機類型，但是對大疆Phantom系列的安全問題還幾乎沒有研究過。

大疆Phantom系列整體安全

如今，大疆無人機可謂是最受歡迎的商業無人機之一，對於它的安全研究也是不可避免的事情。Paolo對於無人機的安全檢查也讓人們對Phantom無人機的整體安全有了一些想法，注意，他的研究表明篡改最新的固件是不可能的。

Paolo的研究發現，在最新的固件中telnet和FTP訪問都會受到限制或禁用，這一點我們還沒有在最新發布的Parrot AR無人機版本中進行確認。

GPS攻擊 & 更多威脅

入侵大疆Phantom 3下一步會發生什麼？雖然這仍然是一個正在進行中的工作，但是Paolo認為，GPS攻擊是一個可行的矢量，並期待可以在源開發工具包（Source Development Kit）的幫助下進行一些可以實現完全接管的研究。

無人機原本就相當容易受到干擾攻擊，2015 年時美國一位前國防部專家於 Defcon 安全大會上，示範如何以脈衝 GPS 訊號干擾無人機，讓無人機墜毀；而無人機的信息安全門戶大開，更早有駭入控制的辦法，2016 年 3 月 RSA 加密演算大會上，研究員只用筆記本電腦與廉價 USB 設備就破解軍警政府用的高端無人機，而能遠程操控。

無人機的信息安全漏洞與電腦的信息安全漏洞一樣，也可利用更新來封阻漏洞，但這就牽涉到廠商的態度，一般來說，高端無人機時常更新，時時封阻所發現的信息安全漏洞，但廉價無人機廠商往往對漏洞不聞不問，或是許久才意興闌珊更新，造成不設防期間大增。

目前要入侵信息安全門戶大開的無人機雖然容易，但多半還是得一台台手動入侵，但信息安全專家警告，很快就會有人寫出可自動入侵感染的病毒，預期 2017 年就會有相關黑客工具流傳，屆時，很快無人機被駭造成的災情就會上報紙頭條；此外，軍警政府方面越來越常使用無人機來監控犯罪與抗議活動，這也使得這些公家機關的無人機成為可能遭下手的目標，無論如何，無人機的信息安全問題，勢必成為近未來的重要議題。

* 參考來源：dronesec，米雪兒編譯，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！