綜藝節(jié)目《爸爸去哪兒》中,航拍器無人機受到孩子們的追逐;汪峰用無人機向章子怡送上婚戒求婚博頭條;亞馬遜嘗試用無人機快遞送貨;攝影愛好者購買無人機拍攝鳥瞰美景……無人機的應用日漸普及,火爆發(fā)展的同時卻遭遇了安全瓶頸。
昨日,上海科技大學信息科學與技術學院的師生,向記者演示了攻擊、操控無人機的過程。這些安全問題已經反饋給無人機廠商,目前正在修改更新產品。
可神不知鬼不覺潛入
上??萍即髮W的科研樓實驗室,書桌上擺著一臺白色的無人機、一個遙控器、一臺安裝關聯(lián)APP的手機。無人機和手機已經通過WiFi連接在一起,在手機上可以看到拍攝的實時畫面。而1992年生的陳鵬正用一臺筆記本電腦,扮演攻擊者的角色,內有自行開發(fā)的系統(tǒng)。
“首先是被動攻擊,好比偷聽偷看。”在教授陳浩的指示下,陳鵬飛速地按下鍵盤,電腦屏幕上出現(xiàn)密密麻麻的英文,隨后出現(xiàn)了和記者手機上一模一樣的實時拍攝畫面。不過,畫質要比記者的差一些,有塊狀紋路,不夠清晰。“電腦攻擊者接入了,而你并不知情。”陳浩向記者解釋說,“無人機通過無線網絡向手機傳視頻,由于該網絡沒有被保護,攻擊者能夠通過竊聽網絡獲得無人機發(fā)回的視頻。畫面模糊,是因為攻擊者在截取信息過程中,有些幀丟了。”
“接下來演示主動攻擊,控制攝像頭。”陳浩下令后,果然,攝像頭上下挪動了起來,隨之手機上拍攝到的視頻角度也在變化。攻擊者還可以打開或關閉攝像頭,竊取無人機上存儲的圖像,或者刪除無人機上的所有數據; 甚至是劫持無人機,讓它飛到任意的地方或墜毀。
記者注意到,在演示主動攻擊時,手機上會顯示“已被攻擊”字樣。陳浩解釋說,這僅僅是個學術研究,所以沒有做得特別完善精美,其實是可以讓擁有者不知曉的。
第三種演示則是攻擊者向手機發(fā)虛假視頻,欺騙用戶,制造無人機正常工作的假象。陳鵬把事先錄制的校園視頻插入,記者的手機上就顯示了這段視頻。
大部分產品都有漏洞
陳鵬是研一學生,這個系統(tǒng)是他本科的畢業(yè)設計,今年上半年共花費了3個月完成,其中不僅有教授陳浩的指導,還有師兄吳源燚的幫忙。“無人機的漏洞是非擁有者能獲得控制權,這是把雙刃劍,可以被正面或負面地利用。我們制作的系統(tǒng)是正面的,為保護隱私而設計。”舉例來說,有狗仔隊用無人機偷拍明星婚禮,用這套系統(tǒng)可以自動檢測周圍是否有無人機,可連接上去獲得控制權。
上??萍即髮W信息科學與技術學院的教授陳浩,帶領的課題組研究方向是信息安全和移動APP。他時常把一句話掛在嘴上“做信息安全,要從身邊的信息安全做起。我們的目的不是挖掘漏洞,而是知道系統(tǒng)有什么漏洞,研究出更安全的系統(tǒng)。”
這臺無人機是目前市場上的主流牌子,號稱“擁有70%的市場份額”,大部分產品都有類似漏洞。今年9月,陳浩帶著陳鵬赴無人機廠商深圳公司,拿出報告講述無人機安全隱患的每個細節(jié)、如何預防,如通過設置WiFi密碼對視頻加密。
目前,廠商正在更新產品的固件和軟件,并且邀請師生為未來的新產品做安全測試。