阿里安全資深專家謝君如何黑掉無人機

2023年11月18日，看雪安全開發者峰會在北京舉行。阿里安全資深專家謝君做了題為《如何黑掉無人機》的演講，並現場演示如何遠端劫持一台無人機，引發現場熱烈的掌聲。

以下為謝君的現場演講內容。

如何黑掉無人機

今天我分享的議題是如何黑掉某品牌的無人機。我在研究無人機的過程中從物理接觸和非物理接觸兩個方面對整個無人機進行系統化的研究，研究的過程中其實也是乙個學習的過程，所以今天我想跟大家分享一下我在這個研究過程中的一些收穫和所學到的一些東西。

對它有整體的感官，我整個系統全部拆開，發現裡面應用了哪些硬體，哪些感測器，哪些晶元。無人機這一塊涉及到不同的感測器以及控制系統，很多嵌入式晶元沒有這個os的概念，所有**是直接上位機執行，通過實時中斷以及計時器和io的控制來完成整個系統的實時操作。

無人機的核心中心橋的控制板，主要是基於lc1860 soc外加影象識別晶元，雙目避障，無線收發器，無線基帶，lightbridge，它的主要功能是整個系統的協調以及韌體更新和攝像內容資料編碼和圖象深度學習，roi檢測之類的。這個lc1860晶元執行的是嵌入式linux系統，下面是三星的emcp，是集lpddr和emmc於一體的儲存晶元，作業系統就存放在這個晶元裡面。下面這一塊晶元intel movidus ma2155，這是英特爾影象深度學習晶元，因為無人機不能聯網，無人機需要做實時的機器視覺分析，需要用到大量的向量執行，這個時候這個晶元的優勢就體現出來了，這個晶元在這個無人機上面的應用有視覺測距，障礙物識別，還有roi，比如說你的飛機進行跟隨飛行的時候，跟隨乙個人飛行的時候，通過cnn建立好的深度學習模型，來精確判斷。lattice的這塊fpga晶元，主要是用於雙目避障功能，通過可見光反射回來檢測障礙物的存在。

root無人機，我們在研究iot裝置的時候說的最多乙個詞就是能否root這台裝置，root掉裝置意味著我們可以獲得系統很高的控制權。我們為什麼要root無人機，我們root無人機目的是擴大它的攻擊面，更好研究無人機。我們在研究的過程中發現要root無人機，最好的辦法就是利用乙個合適的漏洞，執行開啟adb這個介面功能，就能得系統的root shell了。如果你要是沒有漏洞的話，這個時候怎麼辦。這個時候我們在研究過程中發現有意思的辦法：可以不利用漏洞也可以root無人機。其實這個辦法也可以運用到很多的領域。像一些路由器。研究的過程中發現啟動指令碼裡面有乙個變數是控制adb功能開啟與否的，預設出出廠是這個adb是不開啟的，adb功能介面在安卓手機應用廣泛，怎麼開啟這個adb功能，一種是利用漏洞執行adb_en.sh的指令碼，另外一種就是方法就是直接修改這個啟動指令碼的變數。

我們不通過漏洞的方式來root無人機，因為安卓系統是存在三星emcp裡面，是集記憶體和儲存於一體的emcp的晶元，如果我們可以修改這個晶元裡面的內容，我們就可以直接root無人機了。

基本上無線通訊架構的過程，首先是遙控器先初始化的晶元，初始化基帶系統各個暫存器，暫存器裡面存入了唯一可以配對碼的資訊。這個配對碼是有五個位元組，寫入到暫存器裡面，真正用到只有三個位元組，所以在未來需要無線劫持這個無人機，就有了可能。無線通訊傳輸的過程其實是非對稱的傳輸，無人機遙控器發的資訊是跳頻傳輸給飛機，接收端也是跳頻接收，但是圖傳和下行的通道是由飛機是乙個定頻的方式來發到，而且這些跳頻演算法都是通過**來實現的。旁邊這張圖就是遙控器用於檢測飛機是否配對上的演算法檢測基帶晶元spi位址0xe4、0xe5、0xe6進行比較。所以劫持一台無人機，其實我們是通過可以暴力破解的方式，用所有的金鑰空間進行離線的破解，找到配對碼，去控制這個無人機，在空中的時候就可以動態改掉這個配對碼，然後這個無人機就屬於你了。

我們也發現了一些硬體的反調技術和軟體的反調技術，比如說用atmel晶元的安全位置1，可以阻止外接硬體**器的掛載除錯，遙控器的lpc1549通過adc的粒度檢測來檢測偵錯程式，lightbridge用的stm32f103晶元通過remap swd io來使用swd除錯介面失效，通過遙控器的硬體開關電路來阻止lpc1549晶元硬體**除錯。

最後還有很多任務作還沒有來得及做，未來會更加深入的研究各個硬體模組的功能hacking與未來一些想法的驗證工作。

謝謝大家。

阿里安全資深專家謝君如何黑掉無人機

關於阿里安全筆試題（1）

阿里安全工程師（實習）面試回顧

如何在團隊建設工程師文化？阿里資深技術專家這麼做

阿里安全資深專家謝君 如何黑掉無人機

關於阿里安全筆試題（1）

阿里安全工程師（實習）面試回顧

如何在團隊建設工程師文化？阿里資深技術專家這麼做

相關推薦

阿里安全資深專家謝君如何黑掉無人機