从现实走到电影的网络攻击 无人机的安全漏洞
上回说到无人机已渐渐融入了我们的生活,回想从前看电影,也会出现特工利用无人机的情节,去入侵一些难以到达的地方,现在看来已经不再是「不可能的任务」了。到了近年的《蜘蛛侠》电影,也用到无人机作为题材:电影中无人机最初是以国防为目的制造出来,但蜘蛛侠透过人工智能系统「EDITH」来控制无人机,最初的恶作剧差点弄出人命,后来更被坏人利用来做出不同的「骗局」。
说到底无人机本身的设计就没有安全考量,所以大部份的无人机都没有任何防护入侵的功能。这次让我们试从「CIA Traid」的角度去分析无人机的安全漏洞。
Confidentiality (机密性)
Ground control station (GCS),GCS 是无人机的控制台,主要目的单纯是用来控制无人机,本身可能就不带任何防护软件,一旦被恶意软件 (Malware)或木马 (Trojans)程式入侵,就可以窃取 (Eavesdropping)无人机的资料,例如是你的GPS 位置,或是控制台和无人机通讯的频道的加密的方法。
Integrity (完整性)
控制台和无人机的通讯协定(Mavlink)不带加密,只要有中间人攻击(Man-in-the-Middle) ,基本上都可以容易做到无人机骑劫的效果。即使无人机的技术日渐完熟,但就算有加密的通讯协定,也不会用上很强的加密演说法。
Availability (可用性)
从Confidentiality 和Integrity 来看,你会看到很多耳熟能详的攻击名称,一台会移动但有如小型电脑似的无人机,不论硬件或软件在没有安全性考量下,都不难被传统的攻击攻破,缺口被打开后,当然对控制台或无人机的DDOS 的攻击也不难做到。
举一个例子,原本设计成作运送医疗物资的无人机,假如其控制台被骇,黑客可以从无人机修改目的地的GPS 位置,改变送货位置。
无人机之间的通讯被中间人攻击,无人机和控制台之间的通讯会被攻击者完全拦截,如果有一些敏感的数据传送,那就被看得一清二楚了。
其实透过电影和以上分析,值得我们反思科技和人类。利用科技制造「幻象」的高新科技,而电影中的他所使用的技术(AR、无人机、全息投影仪等) 都是现代的科技。或许有人会利用这些科技发展的成果来 「欺骗」和「操控」我们,这正正是结合了科技时代技术发展可能带来的威胁。
网络安全在很多方面还需要注意,如有任何疑问欢迎加入我们的 Cybersec Infohub 计划,让行业里的网络安全专家为您解决,如果您怀疑自己或公司的电脑被骇或有可疑的行为,亦请尽快联络网络安全专家求助。
