NDSS: DroneID von DJI kann leicht durch Angreifer gekapert werden

Mit Sicherheit besitzt der eine oder andere Leser hier auch eine eigene Drohne, die für interessante Aufnahmen aus luftigen Perspektiven sorgen soll oder anderweitige Einsätze erfüllt. Wer eine Drohne von DJI sein Eigen nennt, der weiß um die DroneID des Unternehmens, mit der DJI die Position der Drohne und ihres Betreibers im Ernstfall an autorisierte Stellen wie Strafverfolgungsbehörden oder Betreiber kritischer Infrastrukturen übermitteln soll. Ein Ernstfall wäre beispielsweise die böswillige Nutzung oder das Kapern von Drohnen durch Dritte, um damit Schaden anzurichten oder sie zur Überwachung einzusetzen.

In einem umfangreichen Papier hat nun das NDSS-Symposium aufgezeigt, wie die DroneID von DJI durch einen Angreifer missbräuchlich abgegriffen und verwendet werden könnte, da nicht nur der Over-the-Air-Datenverkehr abgehört werden kann, sondern die übertragenen Daten dabei überhaupt nicht verschlüsselt sind und damit im Grunde jedermann darauf zugreifen könnte. Das Papier zeigt zudem insgesamt 16 Schwachstellen auf, von Denial-of-Service bis hin zur Ausführung von beliebigem Code. 14 dieser Schwachstellen können bei einem erfolgreichen Angriff aus der Ferne über das Smartphone des Bedieners ausgelöst werden, wodurch sich die Drohne während des Fluges zum Absturz bringen ließe.

Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Nordlicht, Ehemann und Vater. Technik-verliebt und lebt fürs Bloggen. Außerdem: Mail: benjamin@caschys.blog / Mastodon

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

3 Kommentare

  1. Yachtmaster says:

    na dann wohl besser vor dem Start die Internet Verbindung vom Smartphone abschalten.

    • Warum? Damit nicht während des Fluges ein Angriff aufs Smartphone begonnen wird? Schau‘ mal in das Paper… es geht einerseits um OcuSync, also die Funkverbindung zwischen Drone und Fernsteuerung und andereseits um die Drone selbst, die Firmware und die Angreifbarkeit des Gerätes an sich. Du müsstest also sagen „na dann wohl besser niemals ein Gerät das schon Online war mit der Drone oder der Fernbedienung verbinden und nirgendwo fliegen wo Menschen mit einem SDR sein könnten.“
      Viele der Mängel wird DJI mit Updates abstellen können, aber ob sie das OcuSync-Protokoll nachträglich mit Verschlüsselung versehen können? Ob sie manipulationen der Firmware der Drone künftig verhindern können? Man wird es vielleicht sehen… wenn nochmal jemand nachschaut.

  2. Ist das Problem nicht schon lange bekannt und im russichen Krieg gegen die Ukraine ausgenutzt wird?
    https://twitter.com/fedorovmykhailo/status/1504068644195733504?

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.