欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

如何入侵大疆Phantom 3无人机

来源:本站整理 作者:佚名 时间:2017-03-27 TAG: 我要投稿

最近,我有了一些空闲时间可以与我的飞行“精灵”一起玩,但不是你想的那种玩,我是在想着如何能够破解这款大疆Phantom 3无人机。
这是我第一次操作无人机或类似的嵌入式系统,对于一开始和它互动我也是毫无头绪。Phantom 3配备飞行器(无人机)、控制器以及Android / iOS应用程序。
整个操作过程介绍:
第一步,我对协议进行了分析,发现飞行器和控制器之间的连接是通过Wi-Fi 5.725GHz – 5.825GHz(而不是远距离的Lightbridge协议)进行通信的,而控制器和移动设备之间的连接是在2.400GHz-2.483GHz的工作频率上操作的,控制器就像一个接入点(access point,AP)一样存在。
关于大疆 Lightbridge协议
大疆Lightbridge与 Wi-Fi这两种技术都是将无人机上云台相机拍摄的画面实时传输至地面设备,以便进行地面实时的监控。Lightbridge是大疆自在研发的专用通信链路技术,可实现几乎“零延时”的720p高清传输和显示,距离通常可达2公里以上。
分析发现,Wi-Fi加密方式为WPA2,默认SSID(服务集标识)是从远程控制器的MAC地址中派生的:PHANTOM3_「MAC地址的最后6位」。默认的关联密码是:12341234。
在网络内部,我能够找到这些IP地址:
控制器:192.168.1.1;
飞行器:192.168.1.2;
相机:192.168.1.3;
电话(DJI GO 应用程序):192.168.1.20;
有趣的是,相机和飞行器是分离的,我想可能是因为,如此一来图像传输不会干扰飞机导航。以下为每个设备的nmap结果:

从上图的扫描结果可以看出,一些服务器引起了我的注意:
FTP
SSH
Telnet
landesk-rc
rrack
由于我没有这些服务器的密码,所以我决定先去看看Android应用程序(即DJI GO),令人惊讶的是,当我reverse它时我发现了这些细节:
·res/raw/upgrade_config.json

重点显示区域:

·res/raw/flyforbid.json

重点显示区域:
“ftpPwd”: “Big~9China”,
第一个文件包含FTP访问网络中每个设备的root密码,而第二个文件包含了无人机无法飞行的一些区域(禁飞区/虚拟防护栏/地理区域),例如:机场、体育馆、军事基地以及城市等等。
关于禁飞区和净空区
禁飞区与净空区是两种不同的概念。前者是由无人机生产厂商设定的,让无人机无法起飞的特定地域,如机场、军事基地等敏感地带;后者则是监管部门划定的,以保障民航飞机在起飞和降落的低高度飞行时无地面障碍物妨碍导航和飞行的区域。
不幸的是,在最新的固件(V01.07.0090)中,ftp访问无人机的root是被chroot的,此外,Telnet 和SSH访问也都是被禁用的。
什么是 chroot?
chroot,即 change rootdirectory (更改 root 目录)。例如,在 linux 系统中,系统默认的目录结构都是以 `/`,即是以根(root)开始的。而在使用 chroot 之后,系统的目录结构将以指定的位置作为 `/` 位置。
我尝试用一个修改的版本替换固件,但是该固件已签名且能够复原篡改。将固件降级到其先前的版本(V01.06.0080)会导致无限制的root FTP访问,所以。我转储了文件系统并开始潜入其中。

无人机的底层系统是为“ar71xx / generic”构建的OpenWRT 14.07“Barrier Breaker,r2879,14.07”的一个分支,与控制器是相同的版本。
Root访问飞行器是一件很难实现的事,因为root密码很强,我试图破解它,但是历经好几天也无法完成破解。所以,我决定采取另一条路径,重新启用Telnet服务器。在文件系统内进行搜索我发现了如下文件:
/etc/init.d/rcS
/etc/init.d/rcS_ap
/etc/init.d/rcS_aphand
/etc/init.d/rcS_cli
这些脚本在启动过程(boot process)中运行,使第61行上的代码能够启动telnet服务器:
telnetd -l /bin/ash &
如此一来,我设法获得了飞行器和控制器底层系统的root访问权限:

进一步操作:
检查rrac和landesk-rc服务器上一些很酷的漏洞利用(cool exploits);
检查SDK来劫持空中无人机;
执行GPS攻击;
检查试图对移动电话解除认证的设备队列并执行接管;
以上文章是Paolo Stagno的一篇帖子,最初发表在他的网站VoidSec上。
虽然我们之前对攻击Parrot AR2.0无人机做了研究,也列出了许多可能会沦为黑客攻击向量的其他无人机类型,但是对大疆Phantom系列的安全问题还几乎没有研究过。
大疆Phantom系列整体安全
如今,大疆无人机可谓是最受欢迎的商业无人机之一,对于它的安全研究也是不可避免的事情。Paolo对于无人机的安全检查也让人们对Phantom无人机的整体安全有了一些想法,注意,他的研究表明篡改最新的固件是不可能的。
Paolo的研究发现,在最新的固件中telnet和FTP访问都会受到限制或禁用,这一点我们还没有在最新发布的Parrot AR无人机版本中进行确认。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载