Jump to navigation

Logo RUB
  • Energiesparen
  • Studium
  • Forschung
  • Transfer
  • News
  • Über uns
  • Einrichtungen
 
MENÜ
  • RUB-STARTSEITE
  • News
  • Wissenschaft
  • Studium
  • Transfer
  • Leute
  • Hochschulpolitik
  • Kultur und Freizeit
  • Vermischtes
  • Servicemeldungen
  • Serien
  • Dossiers
  • Bildergalerien
  • Presseinformationen
    • Abonnieren
  • RUB in den Medien
  • Rubens
  • Rubin
    • Abonnieren
    • Printarchiv
  • Archiv
  • English
  • Redaktion

Newsportal - Ruhr-Universität Bochum

  • Nico Schiller beschäftigte sich schon in seiner Masterarbeit an der Ruhr-Universität Bochum mit der Sicherheit von Drohnen. Aktuell promoviert er zu diesem Thema.
    © RUB, Marquard
  • Viele Privatleute besitzen heute Drohnen, die in bestimmten Bereichen – etwa in der Nähe von Flughäfen – ein Sicherheitsrisiko sein können.
    © RUB, Marquard
  • Die Forschenden suchten nach Sicherheitslücken in der Firmware und nahmen auch das Innenleben der Drohnen unter die Lupe.
    © RUB, Marquard
  /  
IT-Sicherheit

Sicherheitslücken in Drohnen des Herstellers DJI entdeckt

Drohnen sollten nicht über Flughäfen fliegen können und eine feste Seriennummer haben. Eigentlich.

In mehreren Drohnen des Herstellers DJI haben Forschende aus Bochum und Saarbrücken teils schwerwiegende Sicherheitslücken entdeckt. Diese ermöglichen es Anwenderinnen und Anwendern beispielsweise, die Seriennummer der Drohne zu ändern oder die Mechanismen außer Kraft zu setzen, mit denen sich die Drohnen und ihre Piloten durch Sicherheitsbehörden orten lassen. In bestimmten Angriffsszenarien können die Drohnen sogar im Flug aus der Ferne zum Absturz gebracht werden.

Das Team um Nico Schiller vom Horst-Görtz-Institut für IT-Sicherheit der Ruhr-Universität Bochum und Prof. Dr. Thorsten Holz, früher in Bochum, jetzt am Helmholtz-Zentrum für Informationssicherheit CISPA in Saarbrücken, stellt die Ergebnisse auf dem Network and Distributed System Security Symposium (NDSS) vor. Die Konferenz findet vom 27. Februar bis 3. März in San Diego, USA, statt.

Vier Modelle im Test

Das Team testete drei DJI-Drohnen verschiedener Kategorien: die kleine DJI Mini 2, die mittelgroße Air 2, und die große Mavic 2. Später reproduzierten die IT-Expertinnen und -Experten die Ergebnisse auch für das neuere Modell Mavic 3. Sie fütterten die Hard- und Firmware der Drohnen mit einer großen Anzahl an zufälligen Inputs und überprüften, welche davon die Drohnen zum Absturz brachten oder unerwünschte Veränderungen in den Drohnen-Daten wie der Seriennummer erzeugten – eine Methode, die sich Fuzzing nennt.

Das Bochumer-Saarbrücker Forschungsteam hat verschiedene Drohnenmodelle untersucht: Nico Schiller, Merlin Chlosta, Nils Bars, Moritz Schlögel, Lea Schönherr, Thorsten Eisenhofer und Thorsten Holz (von links)
© RUB, Marquard

Alle vier getesteten Modelle wiesen Sicherheitslücken auf. Insgesamt dokumentierten die Forschenden 16 Schwachstellen. Die Modelle DJI Mini 2, Mavic Air 2 und Mavic 3 besaßen vier schwerwiegende Fehler. Die Forschenden haben DJI vor der Veröffentlichung über die Schwachstellen informiert, und der Hersteller hat im Zuge des Responsible Disclosure Verfahrens, die gemeldeten Schwachstellen behoben.*

Standortdaten werden unverschlüsselt übermittelt

Zusätzlich untersuchten die Forschenden das Protokoll, mit dem DJI-Drohnen den Standort der Drohne und ihres Piloten übermitteln, damit autorisierte Stellen – etwa Sicherheitsbehörden oder Betreiber kritischer Infrastrukturen – darauf zugreifen können. Durch Reverse Engineering der DJI-Firmware und der von den Drohnen ausgesendeten Funksignale konnte das Forschungsteam das Tracking-Protokoll namens „DroneID“ erstmals dokumentieren. „Wir konnten zeigen, dass die übermittelten Daten nicht verschlüsselt werden, sondern dass der Standort des Piloten und der Drohne mit relativ einfachen Mitteln praktisch durch jedermann ausgelesen werden kann“, resümiert Nico Schiller.

* In der ursprünglichen Fassung dieses Textes stand: „Die Forschenden haben DJI vor der Veröffentlichung über die 16 gefundenen Schwachstellen informiert; der Hersteller arbeitet daran, diese zu beheben.“ Diese Angabe wurde am 3. März 2023 um 11.22 Uhr korrigiert, da der Hersteller die Sicherheitslücken bereits geschlossen hat.

Angeklickt
  • Ausführliche Presseinformation
Veröffentlicht
Donnerstag
2. März 2023
14.57 Uhr
Von
Julia Weiler (jwe)
Share
Teilen
Das könnte Sie auch interessieren
Felix Schuster
Interview

Daten abgeschirmt verarbeiten in der Cloud

Das Wissenschaftlerteam
Kryptografie

Sicherheit mit Sollbruchstelle

Kita-App auf Smartphone
IT-Sicherheit

Wie Kita-Apps Eltern und Kinder ausspionieren können

Derzeit beliebt
Belgacem Derbal steht hinter dem Tresen der Cafeteria und blickt freundlich in die Kamera.
Ruhestand

Jimmy macht Feierabend

Porträt Marc Nowaczyk
Biologie

Durchbruch auf dem Weg zur biologischen Solarzelle

Unterzeichnen den neuen Kooperationsvertrag: Karin Overlack stellvertretend für die Träger des Universitätsklinikums und Rektor Martin Paul
Universitätsmedizin

Die nächste Stufe der Weiterentwicklung ist erreicht

 
Mehr Wissenschaft
Ressort
 
Zur Startseite
News
  • A-Z
  • N
  • K
Logo RUB
Impressum | Kontakt
Ruhr-Universität Bochum
Universitätsstraße 150
44801 Bochum

Datenschutz
Barrierefreiheit
Impressum
Schnellzugriff
Service und Themen
Anreise und Lagepläne
Hilfe im Notfall
Stellenangebote
Social Media
Facebook
Twitter
YouTube
Instagram
Seitenanfang y Kontrast N
Impressum | Kontakt