Hack ermöglicht Drohnenübernahme über das „ExpressLRS“-Protokoll

Das beliebte Protokoll für funkgesteuerte (RC) Flugzeuge namens ExpressLRS lässt sich laut a in nur wenigen Schritten hacken Bekanntmachung letzte Woche veröffentlicht.

ExpressLRS ist eine Open-Source-Langstrecken-Funkverbindung für RC-Anwendungen wie First-Person-View (FPV)-Drohnen. „Designed to be the best FPV Racing link“, schrieben seine Autoren weiter Github. Dem Bericht zufolge nutzt der Hack „eine hochgradig optimierte Over-the-Air-Paketstruktur, die gleichzeitig Reichweiten- und Latenzvorteile bietet“.

Die Schwachstelle des Protokolls hängt mit der Tatsache zusammen, dass einige der über Over-the-Air-Pakete gesendeten Informationen Verbindungsdaten sind, die ein Dritter verwenden kann, um die Verbindung zwischen Drohnenbetreiber und Drohne zu kapern.

Jeder, der in der Lage ist, den Verkehr zwischen einem ExpressLRS-Sender und -Empfänger zu überwachen, kann die Kommunikation kapern, was „zu einer vollständigen Kontrolle über das Zielfahrzeug führen könnte. Bei einem Flugzeug, das sich bereits in der Luft befindet, würden wahrscheinlich Kontrollprobleme auftreten, die einen Absturz verursachen würden.“

Schwäche im Drohnenprotokoll 

Das ExpressLRS-Protokoll verwendet eine sogenannte „Bindungsphrase“, eine Art Kennung, die sicherstellt, dass der richtige Sender mit dem richtigen Empfänger kommuniziert. Die Phrase wird mit MD5 verschlüsselt – einem Hashing-Algorithmus, der berücksichtigt wurde gebrochen (PDF) seit fast einem Jahrzehnt. Wie in dem Bulletin erwähnt, dient „die Bindungsphrase nicht der Sicherheit, sondern der Kollisionsbekämpfung“, und mit der Phrase verbundene Sicherheitsschwächen könnten es einem Angreifer ermöglichen, „einen Teil der Kennung zu extrahieren, die zwischen dem Empfänger und dem Sender geteilt wird“.

Der Kern des Problems hängt mit den „Sync-Paketen“ zusammen – Daten, die in regelmäßigen Abständen zwischen Sender und Empfänger ausgetauscht werden, um sicherzustellen, dass sie synchronisiert sind. Diese Pakete verlieren einen Großteil der eindeutigen Kennung (UID) der Bindungsphrase – insbesondere „75 % der Bytes, die erforderlich sind, um die Verbindung zu übernehmen“.

Damit bleiben nur 25 % – also nur ein Datenbyte – offen. An diesem Punkt, erklärte der Autor des Berichts, kann das verbleibende Bit der UID brutal erzwungen oder gesammelt werden, „indem Pakete über die Luft beobachtet werden, ohne dass die Sequenzen brutal erzwungen werden, aber dass dies zeitaufwändiger und fehleranfälliger sein kann“.

Hat ein Angreifer die UID in der Hand, kann er sich mit dem Empfänger – dem Zielflugzeug – verbinden und zumindest teilweise die Kontrolle darüber übernehmen.

Der Autor des Bulletins empfahl, die folgenden Maßnahmen zu ergreifen, um die Schwachstellen in ExpressLRS zu patchen. Senden Sie die UID nicht über die Kontrollverbindung. Die zum Generieren der FHSS-Sequenz verwendeten Daten sollten nicht drahtlos gesendet werden. Verbessern Sie den Zufallszahlengenerator. Dies könnte die Verwendung eines sichereren Algorithmus oder die Anpassung des vorhandenen Algorithmus beinhalten, um wiederholte Sequenzen zu umgehen.

Melden Sie sich jetzt für dieses LIVE-EVENT am MONTAG, DEN 11. JULI an: Nehmen Sie an einem Live-Gespräch mit Tom Garrison von Threatpost und Intel Security über Innovationen teil, die es Stakeholdern ermöglichen, einer dynamischen Bedrohungslandschaft immer einen Schritt voraus zu sein, und darüber, was Intel Security aus ihrer neuesten Studie in Zusammenarbeit mit dem Ponemon Institute gelernt hat. Veranstaltungsteilnehmer werden dazu ermutigt Vorschau des Berichts und stellen Sie während der Live-Diskussion Fragen. Erfahren Sie mehr und registrieren Sie sich hier.