Ett radiostyrningssystem för drönare är sårbart för fjärrövertagande, tack vare en svaghet i mekanismen som binder sändare och mottagare.
Det populära protokollet för radiostyrda (RC) flygplan som kallas ExpressLRS kan hackas i bara några få steg, enligt en bulletin publicerades förra veckan.
ExpressLRS är en öppen källkod för långdistansradiolänk för RC-applikationer, såsom first-person view (FPV) drönare. "Designad för att vara den bästa FPV Racing-länken", skrev dess författare på Github. Enligt rapporten använder hacket "en mycket optimerad over-the-air-paketstruktur, vilket ger samtidiga räckvidds- och latensfördelar."
Sårbarheten i protokollet är knuten till det faktum att en del av informationen som skickas över via luftpaket är länkdata som en tredje part kan använda för att kapa anslutningen mellan drönaroperatör och drönare.
Alla som har möjlighet att övervaka trafik mellan en ExpressLRS-sändare och mottagare kan kapa kommunikationen, vilket ”kan resultera i full kontroll över målfarkosten. Ett flygplan som redan är i luften skulle sannolikt få kontrollproblem som orsakar en krasch."
Svaghet i drönarprotokollet
ExpressLRS-protokollet använder vad som kallas en "bindande fras", en slags identifierare som säkerställer att rätt sändare pratar med rätt mottagare. Frasen krypteras med MD5 – en hashalgoritm som har övervägts bruten (PDF) i nästan ett decennium. Som noterats i bulletinen, "den bindande frasen är inte för säkerhet, den är anti-kollision", och säkerhetsbrister som är förknippade med frasen kan tillåta en angripare att "extrahera en del av identifieraren som delas mellan mottagaren och sändaren."
Kärnan i problemet är knuten till "synkpaketen" - data som kommuniceras mellan sändare och mottagare med jämna mellanrum för att säkerställa att de synkroniseras. Dessa paket läcker mycket av bindningsfrasens unika identifierare (UID) – specifikt "75 % av byten som krävs för att ta över länken."
Det lämnar bara 25 % – bara en byte data – kvar öppen. Vid denna tidpunkt, förklarade rapportförfattaren, kan den återstående biten av UID:t vara brutet forcerad, eller samlas in "genom att observera paket i luften utan att brute forcera sekvenserna, men att detta kan vara mer tidskrävande och felbenäget."
Om en angripare har UID i handen kan de ansluta till mottagaren – målflygplanet – och ta åtminstone delvis kontroll över det.
Författaren till bulletinen rekommenderade att följande åtgärder vidtas för att korrigera sårbarheterna i ExpressLRS. Skicka inte UID via kontrolllänken. Data som används för att generera FHSS-sekvensen ska inte skickas direkt. Förbättra slumptalsgeneratorn. Detta kan handla om att använda en säkrare algoritm eller att justera den befintliga algoritmen för att kringgå upprepade sekvenser.
Registrera dig nu för detta LIVE-EVENT MÅNDAG 11 JULI: Följ med Threatpost och Intel Securitys Tom Garrison i en livekonversation om innovation som gör det möjligt för intressenter att ligga steget före ett dynamiskt hotlandskap och vad Intel Security lärde sig från deras senaste studie i samarbete med Ponemon Institue. Eventdeltagare uppmuntras att förhandsgranska rapporten och ställ frågor under livediskussionen. Läs mer och registrera dig här.
