Злом дозволяє заволодіти безпілотниками за допомогою протоколу ExpressLRS

Популярний протокол для радіокерованих літаків (RC) під назвою ExpressLRS можна зламати лише за кілька кроків, згідно з бюлетені опубліковано минулого тижня.

ExpressLRS — це радіолінія великого радіусу дії з відкритим вихідним кодом для додатків RC, таких як дрони з видом від першої особи (FPV). «Розроблений, щоб стати найкращим посиланням для FPV Racing», — написали його автори Github. Згідно зі звітом, хак використовує «високо оптимізовану структуру пакетів бездротового зв’язку, що забезпечує одночасні переваги діапазону та затримки».

Уразливість у протоколі пов’язана з тим фактом, що частина інформації, що надсилається через пакети по повітрю, є даними про посилання, які третя сторона може використовувати для викрадення з’єднання між оператором дрона та дроном.

Будь-хто, хто має можливість контролювати трафік між передавачем і приймачем ExpressLRS, може перехопити зв’язок, що «може призвести до повного контролю над цільовим кораблем. У літака, який уже знаходиться в повітрі, ймовірно, виникнуть проблеми з керуванням, що призведе до катастрофи».

Слабкість у Drone Protocol 

Протокол ExpressLRS використовує те, що називається «зв’язуючою фразою», свого роду ідентифікатором, який гарантує, що правильний передавач спілкується з правильним приймачем. Фраза зашифрована за допомогою MD5 – алгоритму хешування, який було розглянуто зламаний (PDF) протягом майже десяти років. Як зазначено в бюлетені, «обов’язкова фраза призначена не для безпеки, вона запобігає зіткненням», а слабкі місця безпеки, пов’язані з цією фразою, можуть дозволити зловмиснику «витягнути частину ідентифікатора, спільного для приймача та передавача».

Суть проблеми пов’язана з «синхронізаційними пакетами» – даними, які передаються між передавачем і приймачем через регулярні проміжки часу для забезпечення їх синхронізації. Ці пакети пропускають значну частину унікального ідентифікатора фрази зв’язування (UID) – зокрема, «75% байтів, необхідних для отримання посилання».

Це залишає лише 25% – лише один байт даних – відкритим. На цьому етапі, як пояснив автор звіту, решту біта UID можна піддати грубому форсування або зібрати «шляхом спостереження за пакетами по повітрю без грубого форсування послідовностей, але це може зайняти більше часу та бути схильним до помилок».

Якщо зловмисник має під рукою UID, він може підключитися до приймача – цільового літака – і отримати принаймні частковий контроль над ним.

Автор бюлетеня рекомендував вжити наступних заходів, щоб виправити вразливості в ExpressLRS. Не надсилайте UID через контрольне посилання. Дані, які використовуються для створення послідовності FHSS, не слід надсилати по повітрю. Покращити генератор випадкових чисел. Це може передбачати використання більш безпечного алгоритму або коригування існуючого алгоритму для обходу повторюваних послідовностей.

Зареєструйтеся зараз для цієї ПОДІЇ В ПРЯМОМУ РЕЖІМІ, яка відбудеться в ПОНЕДІЛОК, 11 ЛИПНЯ: Приєднуйтесь до Threatpost і Тома Гаррісона з Intel Security у живій розмові про інновації, які дозволяють зацікавленим сторонам випереджати динамічний ландшафт загроз, і про те, що Intel Security дізналася з їх останнього дослідження в партнерстві з Ponemon Institute. Запрошуємо відвідувачів заходу попередній перегляд звіту та задавати запитання під час живої дискусії. Дізнайтеся більше та зареєструйтесь тут.