上周在拉斯維加斯舉辦的DefCon黑客大會(huì)上,安全專家向觀眾展示并公布了兩款無(wú)人機(jī)的漏洞,利用該漏洞攻擊者只需敲幾下鍵盤(pán)就可讓無(wú)人機(jī)從空中墜落。
這兩款無(wú)人機(jī)均為Parrot消費(fèi)級(jí)無(wú)人機(jī),無(wú)人機(jī)的系統(tǒng)都是基于BusyBox的實(shí)時(shí)操作系統(tǒng),攻擊方式則是利用無(wú)人機(jī)內(nèi)置的Wi-Fi及一個(gè)開(kāi)放的telnet遠(yuǎn)程登錄端口完成的。
由于Parrot提供了開(kāi)放的Wi-Fi連接接口,所以任何在移動(dòng)設(shè)備上安裝了免費(fèi)Parrot應(yīng)用的人都可以試圖與飛行中的無(wú)人機(jī)配對(duì),攻擊者也可通過(guò)Wi-Fi“de-auth”斷開(kāi)先前操作人員與無(wú)人機(jī)之間的網(wǎng)絡(luò)連接,然后在操作人員嘗試重新連接無(wú)人機(jī)的時(shí)候,攻擊者可通過(guò)應(yīng)用取得無(wú)人機(jī)控制器的最高權(quán)限,從而可隨意控制飛行進(jìn)程,包括終止飛行。
這種攻擊非常危險(xiǎn),例如在人群密集的大型活動(dòng)現(xiàn)場(chǎng),如果航拍無(wú)人機(jī)被不法分子控制并且墜落,難免就會(huì)造成人員傷亡。
除了能使無(wú)人機(jī)墜落之外,攻擊者還可利用開(kāi)放的FTP服務(wù)器遠(yuǎn)程任意訪問(wèn)、刪除和替換儲(chǔ)存在Parrot無(wú)人機(jī)中的文件,用戶的隱私也受到了極大的威脅。
目前安全專家已經(jīng)就Parrot無(wú)人機(jī)漏洞問(wèn)題與Parrot攻擊進(jìn)行了接觸,公司方面表示已經(jīng)知道了這些問(wèn)題的存在,不過(guò)現(xiàn)在還不清楚Parrot是否會(huì)對(duì)其進(jìn)行修復(fù)。