Sikkerhedseksperten Samy Kamkar har udviklet en drone, der kan overtage kontrollen med andre droner fra en af industriens største producenter, Parrot.
Ifølge Samy Kamkar understøtter Parrots droner hverken kryptering eller autentificering af de wifi-data, som sendes til og fra dronerne.
Ifølge BBC er virksomheden ved at undersøge påstanden.
Samy Kamkar finder det væsentligt, at droner har indbygget et lag sikkerhed, og så betyder det mindre, at der er tale om produkter til et massemarked.
»Der stadig tale om ubemandede flyvende fartøjer, og det, at de er så lette at overtage, er skræmmende. Særligt når de snart bliver allestedsnærværende,« siger han til BBC.
I et blogindlæg med titlen Skyjack fortæller Kamkar, hvordan han har kombineret en Parrot-drone med lommecomputeren Raspberry Pi, en wifi-sender, en batteripakke og eksisterende hacker-software i kombination med egenudviklet og frit tilgængelig kode kaldet Skyjack.
Samy Kamkar forklarer, hvordan han ved at sniffe de såkaldte Mac-adresser – identifikationsnumre tilknyttet netværkshardware – kan finde frem til droner fra Parrot, da Mac-adresse-serierne er offentligt tilgængelige i forhold til, hvem der har fået tildelt hvilke adresser, .
Når han så finder en drone ved at scanne MAC-adresser med sin egen Raspberry Pi-udstyrede drone, afbryder han forbindelse til den legitime ejer via frit tilgængeligt software.
Dronen, som Kamkar anvender til stuntet, er af typen Parrot AR.Drone 2. Samme typer af droner kan hans egen drone opspore og overtage kontrollen med. Den kan også finde droner af typen Parrot AR.Drone version 1.
Når det kan lade sig gøre at drone-nappe Parrot-enhederne i første omgang, skyldes det ifølge Samy Kamkar, at der faktisk ikke finder hverken kryptering eller en egentlig autentifikation sted mellem controller og drone.
Derfor er løsningen for producenten Parrot også enkel, og den bliver anvendt i mange andre sammenhænge: Brug en hemmelig nøgle mellem enhed og controller og krypter datatrafikken mellem enhederne.
Nedenstående video er lagt på Youtube og fundet via Samy Kamkars blog:
Leave a Reply