Bochumer und Saarbrücker Forscher haben in zahlreichen Drohnen des Herstellers DJI zum Teil gravierende Sicherheitslücken gefunden. Diese erlauben es den Nutzern beispielsweise, die Seriennummer einer Drohne zu ändern oder die Mechanismen außer Kraft zu setzen, die es den Sicherheitsbehörden ermöglichen, die Drohnen und ihre Piloten zu verfolgen. Bei speziellen Angriffsszenarien könnten Drohnen aus der Ferne im Flug zum Absturz gebracht werden.

Ein Team unter der Leitung von Nico Schiller und Professor Thorsten Holz wird seine Ergebnisse auf dem kürzlich abgehaltenen Network and Distributed System Security Symposium (NDSS) vorstellen.

Die Forscher stellten 16 Sicherheitslücken fest und informierten DJI über ihre Ergebnisse, bevor sie die Informationen an die Öffentlichkeit weitergaben.

Vier DJI-Modelle wurden untersucht

Getestet wurden drei DJI-Drohnen, die alle unterschiedlichen Kategorien angehören. Die kleine DJI Mini 2, die mittelgroße Air 2 und die große Mavic 2 waren die ausgewählten Modelle. Später wurde die Mavic 3 in die Liste aufgenommen und ebenfalls getestet. Das Testteam fütterte die Hardware und Firmware der Drohnen mit zufälligen Eingaben und überwachte, welche Eingaben zum Absturz der Drohnen führten oder unerwünschte Änderungen vornahmen. Insbesondere eine, die die Seriennummer verändern konnte - eine Methode, die als Fuzzing bekannt ist. Zu diesem Zweck mussten sie zunächst einen neuen Algorithmus entwickeln.

"Wir haben oft die gesamte Firmware eines Geräts für das Fuzzing zur Verfügung. Das war hier aber nicht der Fall", beschreibt Nico Schiller die Herausforderung. Da es sich bei DJI-Drohnen um komplexe Systeme handelt, musste das Fuzzing im laufenden Betrieb durchgeführt werden. Drohne Um die Drohne an einen Laptop anzuschließen, haben wir uns zunächst angeschaut, wie wir mit ihr kommunizieren können und welche Schnittstellen uns dafür zur Verfügung stehen", sagt der Bochumer Forscher. Wie sich herausstellte, läuft der Großteil der Kommunikation über ein einheitliches Protokoll namens DUML, das die Befehle paketweise an die Drohne übermittelt.

Foto der Forscher aus Bochum und Saarbrücken
Das Forschungsteam Bochum-Saarbrücken hat verschiedene Drohnenmodelle analysiert: Nico Schiller, Merlin Chlosta, Nils Bars, Moritz Schlögel, Lea Schönherr, Thorsten Eisenhofer und Thorsten Holz (von links nach rechts) © RUB, Marquard

Vier schwere Fehler festgestellt

Das Forschungsteam entwickelte einen Fuzzer, der DUML-Datenpakete erzeugte, sie an die Drohne schickte und feststellte, welche Eingaben zum Absturz der Drohnensoftware führten. Ein solcher Absturz deutet auf einen Fehler in der Programmierung hin. "Allerdings führten nicht alle Sicherheitslücken zu einem Absturz", sagt Thorsten Holz. "Einige Fehler führten zu Veränderungen von Daten wie der Seriennummer." Um die logischen Schwachstellen aufzuspüren, koppelte das Team die Drohne mit einem Mobiltelefon, auf dem die DJI-App lief. In regelmäßigen Abständen überprüfte das Forschungsteam die App, um zu sehen, ob Fuzzing den Zustand der Drohne veränderte.

Die Forscher entdeckten 16 Sicherheitslücken in allen vier getesteten Modellen, wobei die Modelle DJI Mini 2, Mavic Air 2 und Mavic 3 vier kritische Schwachstellen aufwiesen. Diese Fehler ermöglichten es Angreifern, erweiterte Systemzugriffsrechte zu erlangen, die es ihnen erlaubten, Protokolldaten zu verändern, Seriennummern zu ändern und ihre Identität zu verschleiern. Außerdem konnten die Sicherheitsmechanismen, die DJI eingeführt hat, um zu verhindern, dass Drohnen Das Verbot, Sperrgebiete wie Flughäfen und Gefängnisse zu überfliegen, konnte außer Kraft gesetzt werden. Den Forschern gelang es auch, die Drohnen während des Fluges zum Absturz zu bringen.

In zukünftigen Studien will das Team aus Bochum-Saarbrücken auch die Sicherheit anderer Drohnenmodelle testen.

Standortdaten sind nicht verschlüsselt

Die Forscher analysierten das Übertragungsprotokoll von DJI-Drohnen, das autorisierten Stellen wie Strafverfolgungsbehörden den Zugriff auf den Standort der Drohne und die Daten des Piloten ermöglicht. Durch Reverse Engineering der Firmware und der Funksignale von DJI-Drohnen dokumentierte das Forscherteam das bisher unbekannte "DroneID"-Verfolgungsprotokoll. "Wir haben gezeigt, dass die übertragenen Daten nicht verschlüsselt sind und dass praktisch jeder mit relativ einfachen Methoden den Standort des Piloten und der Drohne auslesen kann", fasst Nico Schiller zusammen.

*In der ursprünglichen Version der Pressemitteilung hieß es: "Die Forscher haben DJI über die 16 entdeckten Schwachstellen informiert, bevor sie die Informationen an die Öffentlichkeit weitergegeben haben; der Hersteller hat Schritte unternommen, um sie zu beheben." Da die Schwachstellen bereits behoben wurden, wurde der Text am 3. März 2023, 11.20 Uhr, aktualisiert.

Post Image- Die Forscher suchten nach Sicherheitslücken in der Firmware und nahmen das Innenleben der Drohnen unter die Lupe. © RUB, Marquard

Das vollständige Forschungspapier ist abrufbar unter Drohnensicherheit und der mysteriöse Fall von DJIs DroneID