安全做得太差,這款中國製造無人機被黑出了翔
雖然在過去的一段時間裡關於消費級無人機安全性的問題被人們反覆提及,但是無人機愛好者卻對這些問題抱持著樂觀態度,因為他們認為廠商們已經在逐步的去解決這些針對基本的網路安全攻擊的問題。但也許事實並沒有想像中的那麼樂觀,特別是在近期發生的一件事之後。
在上個月,美國政府資助的卡內基梅隆大學計算機應急小組對亞馬遜暢銷無人機廠商DBPOWER Quadcopter發出警告,他們表示DBPOWER Quadcopter很容易受到一些非常初級的網路攻擊,而這些攻擊則可能導致任何人在無人機Wi-Fi連接範圍內的人都可以連接到它。
德克薩斯大學達拉斯分校物理系統網路安全實驗室的研究人員為此拍攝了一個視頻,展示了他們如何迅速獲得對四軸直升機的root訪問許可權並進行持續攻擊。
這款中國製造的無人機是亞馬遜上的暢銷品,售價只有140美元。但德克薩斯大學達拉斯分校研究員Junia Valente表示,它存在許多令人感到擔憂的漏洞。
「該設備包含一個不受任何密碼保護的無線網路、配置錯誤的FTP伺服器、以及允許未經授權的用戶讀取和寫入無人機文件系統。」 Valente說。「我們所進行的一個攻擊就是覆蓋敏感的系統文件,以獲得完全的root訪問許可權。」
她解釋說,通過配置錯誤的FTP,研究人員可以訪問系統文件刪除root用戶的密碼,這將使他們完全控制無人機並關閉電源,阻止無人機所有者使用手機應用程序來控制無人機。
Valente指出,隨著無人機可以拍攝照片和錄製視頻,惡意攻擊者將可以在使用者不知情的情況竊取到這些信息。
研究人員通過無人機FCC ID在UAV上查找,發現這家製造商似乎是中國的Chenghai Udirc Toys Co.(優迪玩具)。
我們還在亞馬遜上搜索了「UDI U818A Wi-Fi」無人機模型,這是由DBPOWER以其自己的名義轉售的。它是四旋翼直升機的變種,具有不同的品牌和一些外形的變化,這其中就包括UDIRC品牌的雙旋翼直升機,其售價為120美元。
顯然很有可能這些模型也容易受到相同的攻擊,但是目前研究人員還沒有對它們進行測試。德克薩斯大學達拉斯分校的Alvaro Cardenas表示:「UDI U818A WiFi無人機型號似乎非常受歡迎,並被各種廠商銷售。「看來,大多數供應商所做的是修改U818A Wi-Fi模型(不同的顏色,應用程序等),但是核心無人機功能似乎是一樣的,我們認為這個漏洞將適用於所有這些模型。」
事實上,研究人員最近又買了另外一台無人機,即USA Toyz出售的140美元的Force1 UDI U818A無線Wi-Fi FPV無人機,對其進行驗證後發現他們可以控制機器,並以與DBPOWER攻擊相同的攻擊方式中斷飛機的飛行。
目前沒有一家製造商對此發表。卡內基梅隆CERT也無法聯繫到DBPOWER。這一情況的出現還有一個令人沮喪的事實——目前並不知道這個問題的實際解決方案。
※「果粉」速遞:簡單9步輕鬆繞過iCloud 激活鎖
※CVE-2017-0199幕後故事:微軟修復太拖沓,導致漏洞被野外利用
※NSA DanderSpiritz測試指南——木馬生成與測試
※利用SCOM捕獲創建可疑進程的事件
※0點之後,報名通道關閉!
TAG:嘶吼RoarTalk |
※這款飛機足夠炫酷,卻只有美國能製造出來,軍迷:肯定沒見過
※為何從來沒有國家能仿造這款,世界上唯一隱身戰略轟炸機
※這款戰機中國造出來只是為了外匯,沒想到成了中國主力戰機
※老羅又一次成功了,這款全面屏手機賣得出乎意料的好
※這款艦艇建造難度比航母還大,很多國家做不到,但我國卻能造出來
※中國這款戰機成功出口,物美價廉,值得擁有!
※這款新出爐的國外無人機頗為有趣,一起來看看吧
※誰說千元機就沒有好用的,這款新機有顏有內涵太空金配色即將開售
※這款火炮好不容造出來卻差點被我軍廢了:但海外客戶喜歡的不得了
※這款可能是世界上最好的旗艦手機,似乎中國人都不喜歡?
※這款中空長航時無人機軍民兩用,性能大幅提升已獲得出口許可
※不是一般國家能擁有的!烏克蘭這款大型運輸機為何頻頻傳出被中國購買?
※印度深陷墜機魔咒,連這款戰機都逃不過,問題原來是出在這裡
※英國人這款反潛機長得太丑,卻堪稱神作,聯邦德國用了都說好
※中國無人機暢銷世界,但這款不賣,全球第一!
※美國很羨慕:這款中國導彈我們能造 但就是沒有裝備
※中國這款裝備是狙殺狙擊手的神器,美國人見了也不得不服
※有了這款虛擬現實頭盔,用眼神就能控制無人機
※這款戰機只有美國能造,目前已停止出口,使用於任何地形!
※有了這款自動熨燙機,你家的熨斗都該扔了!