Der IT-Sicherheitsberater Nils Rodday hat während der RSA Conference demonstriert, wie sich eine für den kommerziellen Einsatz konzipierte Drohne – Preis je nach Konfiguration: zwischen 25.000 und 30.000 Euro – mit Hardware im Wert von knapp über 40 Euro unter Kontrolle bringen lässt.

Rodday zufolge wurde ihm das unbemannte Luftfahrzeug vom nicht genannten Hersteller zur Verfügung gestellt, um es auf Sicherheitsprobleme zu untersuchen – von denen der Forscher einige fand. Nach seiner Einschätzung betrifft mindestens eines der Probleme eine ganze Reihe von Anbietern ähnlicher Produkte.

Funk als Einfallstor

Zielgruppe für die Drohne, die bis zu drei Kilogramm schwere Lasten transportieren und bis zu 45 Minuten in der Luft bleiben kann, sollen unter anderem Feuerwehren und Polizeiorganisationen sein. Das wohl schwerwiegendste Sicherheitsproblem steckt in der Funktechnik: Die Drohne lässt sich nicht nur mit einer im 2,4-GHz-Bereich funkenden manuellen Fernbedienung steuern, sondern auch mittels einer Telemetriebox.

Diese dient als Mittler zwischen einer Android-App zur Flugplanung und dem Flugobjekt. In diesem Fall kommt anstelle der auf knapp 100 Meter Reichweite beschränkten 2,4-GHz-Technik Hardware auf Basis der proprietären XBee-Chips (868LP) zum Einsatz, deren Reichweite bis zu zwei Kilometer betragen soll. Auf diesem Weg finden auch die von der Drohne erfassten Daten – durch Erweiterungen erfasst das Modell beispielsweise Hitzesignaturen per Infrarot-Kamera oder entdeckt Gase mittels entsprechender Sensoren – den Weg zurück zum Tablet.

Man in the Middle steuert Drohne

Rodday gelang es, einen einzelnen XBee-Chip – Ladenpreis ab 30 Euro – mittels eines Seriell-zu-USB-Adapters (15 Euro) an ein Laptop anzuschließen und sich mit einer selbstgeschriebenen Software als Man in the Middle in die Kommunikation von in Funkreichweite befindlichen Drohnen und den Telemetrieboxen zu schmuggeln. Dabei kam ihm zugute, dass sich der Chip in den sogenannten API-Modus versetzen lässt. In diesem genügt ein einzelnes Broadcastsignal, um alle in Funkreichweite befindlichen XBee-Chips eine Antwort samt ihrer Hardwareadresse schicken zu lassen.

Die XBee-Chips sind mittels Seriell-nach-USB-Adapter mit dem Notebook des Hackers verbunden. (Bild: heise online)

Im nächsten Schritt schickt Rodday ein AT-Kommando an die Adressen der Telemetriebox und der Drohne, um ihnen so die Adresse des Angreifer-Chips als Zieladresse sämtlicher Kommunikation mitzuteilen; die Akzeptanz dieses Kommandos sei kein Bug, sondern ein Feature, um in Mesh-Netzwerken auf freie Kanäle wechseln zu können.

Als Man in the Middle kann ein Angreifer dann nicht nur sämtlicher Datenverkehr mitscheiden, sondern auch beliebige Kommandos an die Drohne schicken. Rodday demonstrierte dies, indem er vom Laptop aus den Befehl zum Start der Rotoren versandte – was auch prompt funktionierte. Die jeweiligen Kommandos lernte er durch das Dekompilieren des Android-APKs der Flugplanungs-App.

WEP-Standard-Schlüssel

Auch die Kommunikation zwischen der Telemetriebox und dem Tablet lässt sich leicht belauschen: Sie findet per WLAN statt und wird durch das längst als untauglich eingestufte Sicherungsverfahren WEP geschützt. Damit nicht genug, verwendet der Hersteller der von Rodday untersuchten Drohne bei allen ausgelieferten Boxen den gleichen WEP-Schlüssel.

Während sich die WLAN-Schwäche leicht durch ein Update außer Gefecht setzen lässt, scheint das Beheben des XBee-Problems nicht ganz so trivial. Laut Rodday beherrscht der Chip zwar eine AES-Verschlüsselung, die das Einschleusen von AT-Kommandos – die ja Grundlage aller weiteren Schritte sind – verhindern würde. Dem Hersteller der Drohne nach würde dies jedoch die Latzenzzeit so weit heraufsetzen, dass sich das Fluggerät nicht mehr ordentlich steuern ließe.

Andere Maßnahmen wie eine externe Krypto-Hardware oder eine Verschlüsselung auf Anwendungsebene seien dem Experten zufolge auch keine Allheilmittel. Es dürfte daher auf eine Kombination verschiedener Techniken hinauslaufen. (des)