沪大学生发现"航拍神器"漏洞:能控制摄像头 改变着陆点

04.12.2015  08:04

原标题:无人机可被黑客“劫持”轻松窃取图像大学生发现“航拍神器”安全漏洞:能控制摄像头,甚至改变着陆地点

带摄像头的迷你民用无人机/新华社

  东方网12月4日消息:综艺节目《爸爸去哪儿》中,航拍器无人机受到孩子们的追逐;汪峰用无人机向章子怡送上婚戒求婚博头条;亚马逊尝试用无人机快递送货;摄影爱好者购买无人机拍摄鸟瞰美景……无人机的应用日渐普及,火爆发展的同时却遭遇了安全瓶颈。昨日,上海科技大学信息科学与技术学院的师生,向记者演示了攻击、操控无人机的过程。这些安全问题已经反馈给无人机厂商,目前正在修改更新产品。

   可神不知鬼不觉潜入

  上海科技大学的科研楼实验室,书桌上摆着一台白色的无人机、一个遥控器、一台安装关联APP的手机。无人机和手机已经通过WiFi连接在一起,在手机上可以看到拍摄的实时画面。而1992年生的陈鹏正用一台笔记本电脑,扮演攻击者的角色,内有自行开发的系统。

  “首先是被动攻击,好比偷听偷看。”在教授陈浩的指示下,陈鹏飞速地按下键盘,电脑屏幕上出现密密麻麻的英文,随后出现了和记者手机上一模一样的实时拍摄画面。不过,画质要比记者的差一些,有块状纹路,不够清晰。“电脑攻击者接入了,而你并不知情。”陈浩向记者解释说,“无人机通过无线网络向手机传视频,由于该网络没有被保护,攻击者能够通过窃听网络获得无人机发回的视频。画面模糊,是因为攻击者在截取信息过程中,有些帧丢了。

  “接下来演示主动攻击,控制摄像头。”陈浩下令后,果然,摄像头上下挪动了起来,随之手机上拍摄到的视频角度也在变化。攻击者还可以打开或关闭摄像头,窃取无人机上存储的图像,或者删除无人机上的所有数据;甚至是劫持无人机,让它飞到任意的地方或坠毁。

  记者注意到,在演示主动攻击时,手机上会显示“已被攻击”字样。陈浩解释说,这仅仅是个学术研究,所以没有做得特别完善精美,其实是可以让拥有者不知晓的。

  第三种演示则是攻击者向手机发虚假视频,欺骗用户,制造无人机正常工作的假象。陈鹏把事先录制的校园视频插入,记者的手机上就显示了这段视频。

  大部分产品都有漏洞

  陈鹏是研一学生,这个系统是他本科的毕业设计,今年上半年共花费了3个月完成,其中不仅有教授陈浩的指导,还有师兄吴源燚的帮忙。“无人机的漏洞是非拥有者能获得控制权,这是把双刃剑,可以被正面或负面地利用。我们制作的系统是正面的,为保护隐私而设计。”举例来说,有狗仔队用无人机偷拍明星婚礼,用这套系统可以自动检测周围是否有无人机,可连接上去获得控制权。

  上海科技大学信息科学与技术学院的教授陈浩,带领的课题组研究方向是信息安全和移动APP。他时常把一句话挂在嘴上“做信息安全,要从身边的信息安全做起。我们的目的不是挖掘漏洞,而是知道系统有什么漏洞,研究出更安全的系统。

  这台无人机是目前市场上的主流牌子,号称“拥有70%的市场份额”,大部分产品都有类似漏洞。今年9月,陈浩带着陈鹏赴无人机厂商深圳公司,拿出报告讲述无人机安全隐患的每个细节、如何预防,如通过设置WiFi密码对视频加密。

  目前,厂商正在更新产品的固件和软件,并且邀请师生为未来的新产品做安全测试。