{"id":278474,"date":"2023-03-05T12:10:40","date_gmt":"2023-03-05T11:10:40","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=278474"},"modified":"2023-03-06T08:37:34","modified_gmt":"2023-03-06T07:37:34","slug":"dji-drohnen-mit-aeroscope-sicherheitslcke","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/03\/05\/dji-drohnen-mit-aeroscope-sicherheitslcke\/","title":{"rendered":"DJI-Drohnen mit AeroScope-Sicherheitslücke"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Drohnen des chinesischen Herstellers DJI weisen Sicherheitsl\u00fccken auf, \u00fcber die Dritte den Funkverkehr mitlesen und den Standort des Drohnenpiloten ermitteln k\u00f6nnen. Diese Schwachstelle geht auf eine vom Hersteller f\u00fcr \"Strafverfolgungsbeh\u00f6rden\" entwickelte \u00dcberwachungsfunktion AeroScope zur\u00fcck, die es diesen erm\u00f6glichte, den Standort des Piloten in bis zu 50 km Entfernung zu ermitteln. Das ist seit einem Jahr bekannt und DJI will das dazu verwendete DroneID-Protokoll zwischenzeitlich eigentlich verschl\u00fcsselt haben. Sicherheitsforscher haben aber nachgewiesen, dass diese \"Versicherungen des Herstellers\" Schall und Rauch sind. Zudem haben deutsche Sicherheitsforscher weitere Schwachstellen in verschiedenen DJI-Drohnen aufgedeckt und am 3. M\u00e4rz 2023 \u00f6ffentlich gemacht, die es erm\u00f6glichen, die Seriennummer einer Drohne zu ver\u00e4ndern oder das Flugger\u00e4t abst\u00fcrzen zu lassen. Das bringt Firmen und Personen in Schwierigkeiten, die solche Drohnen einsetzen.<\/p>\n

<\/p>\n

DJI f\u00fchrend als Drohnenhersteller\"\"<\/h2>\n

Das K\u00fcrzel DJI<\/a> des chinesischen Drohnenherstellers steht f\u00fcr Da-Jiang Innovations Science and Technology Co., Ltd. Das chinesische Unternehmen wurde 2006 von Frank Wang aus Hangzhou gegr\u00fcndet und hat sich auf die Entwicklung unbemannter Luftfahrzeuge spezialisiert. DJI gilt als Weltmarktf\u00fchrer bei Drohnen f\u00fcr den privaten und gewerblichen Gebrauch und weist einen Jahresumsatz von mehr als drei Milliarden Euro aus (Stand 2022).<\/p>\n

Allerdings muss jedem klar sein, dass DJI aus China operiert und daher immer als potentielles Sicherheitsrisiko gesehen muss. Die USA verboten 2017 ihren Streitkr\u00e4ften, Drohnen des Konzerns zu verwenden, da auch DJI mit der chinesischen Regierung zusammen arbeitet. Es wurde die Gefahr gesehen, dass die Drohnen verwundbar gegen Cyberangriffe sind.<\/p>\n

Abseits dieser politischen Fragestellung ist mir DJI immer wieder im Zusammenhang mit Sicherheitsproblemen in Erinnerung. 2017 hatte ich den Beitrag DJI-Drohnen bleiben ohne Update ab 1.9.2017 am Boden<\/a> im Blog, wo es um ein neues Firmware-Update f\u00fcr No-Fly-Zonen ging. Das Update sollte sicherstellen, dass die Drohnen nicht in Flugverbotszonen gesteuert werden k\u00f6nnen. Wer das Update nicht installierte, sah sich damit konfrontiert, dass die Drohne nicht mehr fliegen konnte. Und 2018 hatte ich im Blog-Beitrag Schwachstelle bei Drohnenplattform DJI entdeckt<\/a> drauf hingewiesen, dass es mit der Sicherheit bei DJI-Drohnen nicht so weit her sei.<\/p>\n

AeroScope unverschl\u00fcsselt<\/h2>\n

Im Rahmen des Ukraine-Kriegs bekommt das Thema Drohnen und deren Manipulierbarkeit ein besonderes Gewicht. Mir war bekannt, dass ukrainische Drohnenpiloten sich dem Risiko ausgesetzt sahen, dass ihre Position vom Feind ermittelt und beschossen werden konnte. Es war 2022 ein Ger\u00e4t entwickelt worden, welches den GPS-Standort des Drohnenpiloten um mehrere Hundert Meter virtuell verschob, um dieses Risiko auszuschalten.<\/p>\n

Trotzdem beschuldigte der ukrainische Vize-Premierminister Mykhailo Fedorov DJI letzten Monat, Russland dabei zu helfen, ukrainische Zivilisten auf ungew\u00f6hnliche Weise zu t\u00f6ten. Es sei Russland erlaubt, ein Drohnen-Tracking-System namens DJI AeroScope ungehindert zu nutzen, um den genauen Standort ukrainischer Drohnenpiloten zu bestimmen und sie angeblich mit M\u00f6rserangriffen und Raketen zu t\u00f6ten.<\/p>\n

Es geht dabei um die Funktion AeroScope der DJI-Drohnen. \u00dcber ein Funkprotokoll DroneID (als AeroScope vermarket) erlaubte das Unternehmen Strafverfolgungsbeh\u00f6rden den Standort des Drohnenpiloten auf bis zu 50 km Entfernung zu ermitteln. Es gibt dazu eine spezielle Software, die dann die Daten des Protokolls mitschneiden kann. DJI hatte eigentlich behauptet, dass die Daten des DroneID-Protokolls (AeroScope) inzwischen verschl\u00fcsselt seien, so dass unbefugte Dritte die Position und Daten nicht ermitteln k\u00f6nnen.<\/p>\n

\"DJI-Drohnen<\/a><\/p>\n

Dem ist aber wohl nicht der Fall. Bereits im April 2022 hatte Kevin Finisterre darauf hingewiesen (siehe obigem Tweet<\/a>), dass die Aussage des DJI-Management, dass das DroneID-Protokoll inzwischen verschl\u00fcsselt sei, Schall und Rauch ist. Der Hacker Kevin Finisterre konnte nachweisen, dass sich in den \u00fcbertragenen Daten Informationen im Klartext auslesen<\/a> lassen.<\/p>\n

The Verge hat es detaillierter im Beitrag DJI insisted drone-tracking AeroScope signals were encrypted \u2014 now it admits they aren't<\/a> aufgedr\u00f6selt. Das medium schreibt, dass es nicht v\u00f6llig \u00fcberraschend sei, dass die AeroScope-Signale unverschl\u00fcsselt sind. Der Hersteller DJI hatte urspr\u00fcnglich vor, Drone ID (jetzt AeroScope) als eine Technologie zu entwickeln, die auch andere Drohnenhersteller nutzen k\u00f6nnen. Und Regierungen (z.B. der USA) planen, bis 2023 vorzuschreiben, dass Drohnen ihren Standort \u00fcbermitteln m\u00fcssen. Und das wird dann unverschl\u00fcsselt erfolgen. Hei\u00dft:\u00a0 Regierungen und andere technisch Versierte brauchen kein AeroScope, um die genaue Position jeder DJI-Drohne und den genauen Standort jedes Piloten in der N\u00e4he zu sehen. Es reicht, die Funksignale mitzuschneiden und auf die unverschl\u00fcsselten Daten zu scannen.<\/p>\n

Neue Erkenntnisse deutscher Sicherheitsforscher<\/h2>\n

Was zuerst wie ein \"exotisches\" Thema ausschaut, verursacht handfeste praktische Probleme f\u00fcr Personen und Unternehmen, die DJI-Drohnen einsetzen. Denn Drohnen m\u00fcssen aus regulatorischen Gr\u00fcnden in den meisten L\u00e4ndern eine feste ID (feste Seriennummer) zur Identifikation aufweisen und d\u00fcrfen auch nicht in No-Fly-Zones (z.B. um Flugh\u00e4fen) gesteuert werden k\u00f6nnen. Diese Vorgaben werden aber durch verschiedene DJI-Drohnen nicht erf\u00fcllt.<\/p>\n

\"DJI-Drohnen<\/a><\/p>\n

Das Thema ging die Tage durch verschiedene Medien<\/a> (siehe obigen Tweet). Forschende aus Bochum und Saarbr\u00fccken haben k\u00fcrzlich weitere schwerwiegende Sicherheitsl\u00fccken in mehreren Drohnen des Herstellers DJI entdeckt, wie es in der Mitteilung hier hei\u00dft<\/a> und auf GitHub dokumentiert<\/a> ist.<\/p>\n

Diese Sicherheitsl\u00fccken erm\u00f6glichen beispielsweise, die Seriennummer der Drohne zu \u00e4ndern oder die Mechanismen au\u00dfer Kraft zu setzen, mit denen sich die Drohnen und ihre Piloten durch Sicherheitsbeh\u00f6rden orten lassen. In bestimmten Angriffsszenarien k\u00f6nnen die Drohnen sogar im Flug aus der Ferne zum Absturz gebracht werden.<\/p>\n

Das Team testete drei DJI-Drohnen verschiedener Kategorien: die kleine DJI Mini 2, die mittelgro\u00dfe Air 2, und die gro\u00dfe Mavic 2. Sp\u00e4ter reproduzierten die IT-Expertinnen und -Experten die Ergebnisse auch f\u00fcr das neuere Modell Mavic 3. Sie f\u00fctterten die Hard- und Firmware der Drohnen mit einer gro\u00dfen Anzahl an zuf\u00e4lligen Inputs und \u00fcberpr\u00fcften, welche davon die Drohnen zum Absturz brachten oder unerw\u00fcnschte Ver\u00e4nderungen in den Drohnen-Daten wie der Seriennummer erzeugten \u2013 eine Methode, die sich Fuzzing nennt. Daf\u00fcr mussten sie zun\u00e4chst einen neuen Algorithmus entwickeln.<\/p>\n

Vier schwerwiegende Fehler<\/h3>\n

Der von der Forschungsgruppe entwickelte Fuzzer erzeugte DUML-Datenpakete, schickte diese an die Drohne und wertete aus, welche Eingaben die Software der Drohne zum Absturz brachten. Ein solcher Crash deutet dabei auf einen Fehler in der Programmierung hin. \u201eAllerdings haben nicht alle Sicherheitsl\u00fccken einen Absturz zur Folge gehabt\", sagt Thorsten Holz. \"Manche Fehler haben auch dazu gef\u00fchrt, dass sich Daten wie die Seriennummer ver\u00e4ndert haben.\" Um solche logischen Schwachstellen aufzusp\u00fcren, koppelte das Team die Drohne mit einem Handy, auf dem die DJI-App lief. So konnten sie in der App regelm\u00e4\u00dfig nachschauen, ob das Fuzzing den Zustand der Drohne ver\u00e4nderte.<\/p>\n

Alle vier getesteten Modelle wiesen Sicherheitsl\u00fccken auf. Insgesamt dokumentierten die Forschenden 16 Schwachstellen. Die Modelle DJI Mini 2, Mavic Air 2 und Mavic 3 besa\u00dfen vier schwerwiegende Fehler. Diese erlaubten zum einen, erweiterte Zugriffsrechte im System zu erlangen. \u201eSo kann ein Angreifer Log-Daten oder die Seriennummer \u00e4ndern und seine Identit\u00e4t verschleiern\", erkl\u00e4rt Thorsten Holz. \"Au\u00dferdem unternimmt DJI aufwendige Vorkehrungen, um zu verhindern, dass Drohnen \u00fcber Flugh\u00e4fen oder andere gesperrte Bereiche wie Gef\u00e4ngnisse fliegen k\u00f6nnen \u2013 auch diese Mechanismen k\u00f6nnte man umgehen.\" Des Weiteren konnte die Gruppe die fliegenden Drohnen aus der Luft abst\u00fcrzen lassen.<\/p>\n

Standortdaten werden unverschl\u00fcsselt \u00fcbermittelt<\/h3>\n

Zus\u00e4tzlich untersuchten die Forschenden das Protokoll, mit dem DJI-Drohnen den Standort der Drohne und ihres Piloten \u00fcbermitteln, damit autorisierte Stellen \u2013 etwa Sicherheitsbeh\u00f6rden oder Betreiber kritischer Infrastrukturen \u2013 darauf zugreifen k\u00f6nnen. Durch Reverse Engineering der DJI-Firmware und der von den Drohnen ausgesendeten Funksignale konnte das Forschungsteam das bereits weiter oben erw\u00e4hnte Tracking-Protokoll namens \"DroneID\" erstmals dokumentieren. \"Wir konnten zeigen, dass die \u00fcbermittelten Daten nicht verschl\u00fcsselt werden, sondern dass der Standort des Piloten und der Drohne mit relativ einfachen Mitteln praktisch durch jedermann ausgelesen werden kann\", res\u00fcmiert Nico Schiller.<\/p>\n

Ergebnisse in den USA vorgestellt<\/h3>\n

Das Team um Nico Schiller vom Horst-G\u00f6rtz-Institut f\u00fcr IT-Sicherheit der Ruhr-Universit\u00e4t Bochum und Prof. Dr. Thorsten Holz, fr\u00fcher in Bochum, jetzt am Helmholtz-Zentrum f\u00fcr Informationssicherheit CISPA in Saarbr\u00fccken, stellt die Ergebnisse auf dem Network and Distributed System Security Symposium (NDSS) vor. Die Konferenz fand vom 27. Februar bis 3. M\u00e4rz in San Diego, USA, statt.<\/p>\n

Die Forschenden haben DJI im Zuge des Responsible Disclosure Verfahrens vor der Ver\u00f6ffentlichung auf der Konferenz \u00fcber die Schwachstellen informiert. Der Hersteller arbeitet wohl immer noch daran, die gemeldeten Schwachstellen zu beheben. Wer die Drohnen einsetzt, hat daher wohl ein potentielles Problem.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Drohnen des chinesischen Herstellers DJI weisen Sicherheitsl\u00fccken auf, \u00fcber die Dritte den Funkverkehr mitlesen und den Standort des Drohnenpiloten ermitteln k\u00f6nnen. Diese Schwachstelle geht auf eine vom Hersteller f\u00fcr \"Strafverfolgungsbeh\u00f6rden\" entwickelte \u00dcberwachungsfunktion AeroScope zur\u00fcck, die es diesen erm\u00f6glichte, den Standort … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-278474","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/278474","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=278474"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/278474\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=278474"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=278474"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=278474"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}