Een van de populairste drones onder particuliere en professionele gebruikers, blijkt kinderlijk eenvoudig te hacken. Door het ontbreken van basale beveiliging kan een kwaadwillende tijdens de vlucht onder meer de besturing van het apparaat overnemen.

Beveiliging

Doordat de drone niet is beveiligd met een wachtwoord, kan een hacker met een relatief eenvoudige handeling de bestaande verbinding verbreken en zelf contact leggen met de drone, een quadcopter met vier motoren. Doordat de overname ongemerkt gebeurt, kan iemand met kwade bedoelingen het toestel bijvoorbeeld in een menigte laten crashen, terwijl de formele verantwoordelijkheid bij de eigenaar ligt.

Verbinding

Op het moment dat de drone is gekaapt, zijn zowel de besturing als de videobeelden te onderscheppen. De hack is aangetoond door Nicky van Rijsbergen, student computer security aan de Radboud Universiteit en momenteel werkzaam als stagiair bij het security en privacyteam van Deloitte. De enige beveiliging van het apparaat is dat het slechts verbinding met één smartphone of tablet accepteert, zegt Van Rijnsbergen. Zodra die verbinding wordt verbroken, kan willekeurig elke andere smartphone in de buurt contact leggen met het toestel. dji-drones-hack-remote-control-drone-uavdji-drones-hack-remote-control-drone-uav

Hack

Van Rijsbergen heeft de hack vrijdag gedemonstreerd in het hoofdkantoor van Deloitte in Amsterdam. De methode is eenvoudig: wanneer het zogenoemde mac-adres (een unieke 'kentekenplaat' dat elk online-apparaat heeft) van de smartphone van de eigenaar bekend is, kan met behulp van het programma AirCrack de bestaande verbinding worden verbroken. Smartphones en tablets die online zijn, zenden het mac-adres constant uit, waardoor het makkelijk te onderscheppen is. Door vervolgens continu het commando 'verbinding verbreken' te versturen naar de drone, kan de eigenaar de controle niet meer terugkrijgen. De enige voorwaarde voor kaping is dat de hacker binnen het wifibereik van de drone is.

Verontwaardiging

Naast het ontbreken van een veilige authenticatiemethode zijn ook de commando's en de videobeelden niet versleuteld, stelt Van Rijsbergen. De beveiligingsexpert toont zich verrast over het ontbreken van zo goed als enige vorm van beveiliging in de drone. "Mijn eerste reactie was er een van verontwaardiging", zegt hij.

Slecht beveiligd

Directeur Ronald Prins van beveiligingsbedrijf Fox-IT zegt dat 95 procent van de commerciële drones slecht beveiligd is. Dat is niet alleen maar schadelijk, lekken in drones kunnen volgens hem ook worden gebruikt door overheidsdiensten om bijvoorbeeld commerciële drones weg te houden van plekken waar ze niet gewenst zijn. "Door daar een drone te hangen die elk binnenkomend toestel kraakt en hem het commando geeft 180 graden om te keren. Telkens als een andere drone die virtuele bubbel binnenvliegt, keert hij dan vanzelf om." Dit zou bijvoorbeeld handig zijn voor traumahelikopters, die steeds meer hinder ondervinden van nieuwsgierigen die met hun drone een kijkje komen nemen.

Fabrikant

Deloitte wil de naam van de fabrikant van de drone niet bekendmaken. Ook wil de consultancyorganisatie niet bevestigen of er contact is geweest met de producent. "Het gaat ons er vooral om bewustwording te creëren bij makers van dit soort producten", aldus een woordvoerster. Volgens Deloitte gebeurt het geregeld dat bij innovatieve producten de focus op veiligheid en privacy onvoldoende is. "Men is vooral bezig een goed werkend product te maken en lijkt beveiliging soms te vergeten. Beveiliging vanaf het eerste ontwerp is nog steeds geen uitgangspunt bij de ontwikkeling van dit soort gadgets."

Fabrikant

Op basis van de uitspraak "één van de populairste drones onder particuliere en professionele gebruikers" in het artikel van De Volkskrant en een tweet van Marko van Zwam, leidinggevende van het Deloitte Security & Privacy team, in februari van dit jaar, lijkt het naar alle waarschijnlijkheid te gaan om een drone van de Chinese fabrikant DJI.

4 Reacties

  1. Jan

    Leuke "proof of concept actie" van een student die stage loopt bij een security bedrijf, echter vind ik het artikel neigen naar bangmakerij ("kan opzettelijk in een menigte worden gecrasht"), wat heel gebruikelijk is in persuilatingen door dit soort clubs. Het overnemen van de besturing van een DJI is te wellicht doen onder laboratorium omstandigheden door IT profs, maar in real life situaties is het allemaal veel ingewikkelder en onwaarschijnlijk dat drone piloten er mee te maken krijgen. Deloitte wil geen namen noemen maar er worden wel foto's van een Phantom getoond. Ik verwacht dat DJI wel met encryptie op de verbindingen gaat komen in een toekomstige release.

  2. Altasia

    Interessante en simpele techniek, maar zoals Jan al zegt zal het niet zo zijn dat iedereen nu bang moet zijn gekaapt te worden. Wel is dit een redelijke open deur waar snel wat aan gedaan moet worden of waar wellicht bij nieuwere types al is opgelost, indien dit laatste het geval is dan is Deloitte uit geweest op bangmakerij en zou dat hun "goede naam" te slechte komen. Daarom zou ook getest moeten worden of dezelfde methode werkt bij nieuwere DJI types insipre/s800 of bijvoordeeld bij de drones van Parrot of Yuneec drones. Vind het ook vreemd dat de Deloitte niet wilt bevestigen dat ze de producent hebben benadert, als die daarna niet thuis geeft is een ander verhaal, maar het is toch wel de plicht van Deloitte om ze in ieder geval even te bellen/mailen. Ook zou het netjes zijn als ze hun stappen werkelijk uitleggen zoals ze bij de 3DR solo hack hebben gedaan op github_ https_//github.com/MAVProxyUser/3DRSoloHacks/blob/master/papers/ShellingOutOnSolo_nopass.pdf

  3. wim

    Weet u ook het adres en / of e mail van het hoofdkantoor van DJI in Rotterdam ? Reden wat promotie materiaal e.d. willen voor onze open dag voortgezet onderwijs

  4. wim

    O sorry was niet de bedoeling dit openbaar te delen

Plaats een reactie