Schwerwiegende Fehler
16 Schwachstellen, davon vier schwerwiegende Fehler. So das Ergebnis einer Analyse der DJI-Modelle Mini 2, Mavic Air 2 und Mavic 3, die Wissenschaftlerinnen und Wissenschaftlern der Ruhr-Universität Bochum und des Helmholtz-Zentrums für Informationssicherheit CISPA in Saarbrücken mit Blick auf Sicherheitslücken in der Softwarestruktur untersuchten. Ihre Ergebnisse stellte das Team auf dem Network and Distributed System Security Symposium (NDSS) in San Diego vor. Hersteller DJI wiederum wurde im Rahmen des Responsible Disclosure Verfahrens vorab informiert und hat die gemeldeten Schwachstellen bereits behoben.
Von Jan Schönberg
Bei den Modellen DJI Mini 2, Mavic Air 2 und Mavic 3 war es der Untersuchung zufolge möglich, erweiterte Zugriffsrechte im System zu erlangen. „So kann ein Angreifer Log-Daten oder die Seriennummer ändern und seine Identität verschleiern“, erklärt Prof. Dr. Thorsten Holz vom Helmholtz-Zentrum für Informationssicherheit CISPA. „Außerdem unternimmt DJI aufwendige Vorkehrungen, um zu verhindern, dass Drohnen über Flughäfen oder andere gesperrte Bereiche wie Gefängnisse fliegen können – auch diese Mechanismen könnte man umgehen.“ In bestimmten simulierten Angriffsszenarien konnten die Drohnen aus der Ferne zum Absturz gebracht werden.
Die Forschenden suchten nach Sicherheitslücken in der Firmware und nahmen auch das Innenleben der Drohnen unter die Lupe
Die IT-Expertinnen und -Experten fütterten die Hard- und Firmware der Drohnen mit einer großen Anzahl an zufälligen Inputs und überprüften, welche davon die Drohnen zum Absturz brachten oder unerwünschte Veränderungen in den Drohnen-Daten wie der Seriennummer erzeugten – eine Methode, die sich Fuzzing nennt. „Oft haben wir für das Fuzzing die gesamte Firmware eines Geräts zur Verfügung. Das war hier aber nicht der Fall“, erklärt Nico Schiller vom Horst-Görtz-Institut für IT-Sicherheit der Ruhr-Universität Bochum. Daher musste zunächst ein spezieller Algorithmus entwickelt werden. „Wir haben die Drohne an einen Laptop angeschlossen und zunächst geschaut, wie wir mit ihr kommunizieren können und welche Schnittstellen uns dafür zur Verfügung stehen“, so der Bochumer Forscher. Dabei kam heraus, dass der Großteil der Kommunikation über das gleiche Protokoll erfolgt, welches Befehle paketweise an die Drohne sendet.
Das Forschungsteam aus Bochum und Saarbrücken (von links): Nico Schiller, Merlin Chlosta, Nils Bars, Moritz Schlögel, Lea Schönherr, Thorsten Eisenhofer und Thorsten Holz
Trotz der entdeckten Mängel beurteilt Schiller die DJI-Technik jedoch grundsätzlich durchaus positiv. „Alle Arten von komplexen technischen Systemen weisen Schwachstellen auf und können kompromittiert werden. DJI hat ein Whitepaper zum Thema Cybersecurity herausgebracht und diverse Anstrengungen übernommen, um die Sicherheit von Drohnen zu verbessern. Es besteht ein gewisser Nachholbedarf, viele gute Konzepte sind allerdings schon umgesetzt.”
Etwas kritischer fällt das Fazit an einer anderen Stelle aus: der unverschlüsselten Übermittlung der Positionsdaten des Piloten beziehungsweise der Pilotin. Das sei per se zunächst einmal keine Schwäche, sondern eine bewusste Entscheidung von DJI, so Nico Schiller auf Drones-Anfrage. Und mit Blick auf das künftig verpflichtende Remote ID-Protokoll ohnehin bald weithin üblich. „Was wir kritisieren ist der Fakt, dass die öffentliche Kommunikation von DJI über dieses Thema problematisch war, vor allem wenn man es aus Privacy-Sicht betrachtet“, sagt Nico Schiller, der aktuell an der Uni Bochum zum Thema Sicherheit von Drohnen promoviert. „DJI hatte hierzu an keiner
Stelle öffentlich klargestellt, dass diese Daten übertragen werden.“
