無(wú)人機(jī)漏洞：可被黑客“劫持”輕松竊取圖像

綜藝節(jié)目《爸爸去哪兒》中，航拍器無(wú)人機(jī)受到孩子們的追逐；汪峰用無(wú)人機(jī)向章子怡送上婚戒求婚博頭條；亞馬遜嘗試用無(wú)人機(jī)快遞送貨；攝影愛(ài)好者購(gòu)買無(wú)人機(jī)拍攝鳥瞰美景……無(wú)人機(jī)的應(yīng)用日漸普及，火爆發(fā)展的同時(shí)卻遭遇了安全瓶頸。

       昨日，上?？萍即髮W(xué)信息科學(xué)與技術(shù)學(xué)院的師生，向記者演示了攻擊、操控?zé)o人機(jī)的過(guò)程。這些安全問(wèn)題已經(jīng)反饋給無(wú)人機(jī)廠商，目前正在修改更新產(chǎn)品。

可神不知鬼不覺(jué)潛入

上?？萍即髮W(xué)的科研樓實(shí)驗(yàn)室，書桌上擺著一臺(tái)白色的無(wú)人機(jī)、一個(gè)遙控器、一臺(tái)安裝關(guān)聯(lián)APP的手機(jī)。無(wú)人機(jī)和手機(jī)已經(jīng)通過(guò)WiFi連接在一起，在手機(jī)上可以看到拍攝的實(shí)時(shí)畫面。而1992年生的陳鵬正用一臺(tái)筆記本電腦，扮演攻擊者的角色,內(nèi)有自行開發(fā)的系統(tǒng)。

 “首先是被動(dòng)攻擊，好比偷聽偷看。”在教授陳浩的指示下，陳鵬飛速地按下鍵盤，電腦屏幕上出現(xiàn)密密麻麻的英文，隨后出現(xiàn)了和記者手機(jī)上一模一樣的實(shí)時(shí)拍攝畫面。不過(guò)，畫質(zhì)要比記者的差一些，有塊狀紋路，不夠清晰。“電腦攻擊者接入了，而你并不知情。”陳浩向記者解釋說(shuō)，“無(wú)人機(jī)通過(guò)無(wú)線網(wǎng)絡(luò)向手機(jī)傳視頻，由于該網(wǎng)絡(luò)沒(méi)有被保護(hù)，攻擊者能夠通過(guò)竊聽網(wǎng)絡(luò)獲得無(wú)人機(jī)發(fā)回的視頻。畫面模糊，是因?yàn)楣粽咴诮厝⌒畔⑦^(guò)程中，有些幀丟了。”

“接下來(lái)演示主動(dòng)攻擊，控制攝像頭。”陳浩下令后，果然，攝像頭上下挪動(dòng)了起來(lái)，隨之手機(jī)上拍攝到的視頻角度也在變化。攻擊者還可以打開或關(guān)閉攝像頭，竊取無(wú)人機(jī)上存儲(chǔ)的圖像，或者刪除無(wú)人機(jī)上的所有數(shù)據(jù)； 甚至是劫持無(wú)人機(jī)，讓它飛到任意的地方或墜毀。

記者注意到，在演示主動(dòng)攻擊時(shí)，手機(jī)上會(huì)顯示“已被攻擊”字樣。陳浩解釋說(shuō)，這僅僅是個(gè)學(xué)術(shù)研究，所以沒(méi)有做得特別完善精美，其實(shí)是可以讓擁有者不知曉的。

第三種演示則是攻擊者向手機(jī)發(fā)虛假視頻，欺騙用戶，制造無(wú)人機(jī)正常工作的假象。陳鵬把事先錄制的校園視頻插入，記者的手機(jī)上就顯示了這段視頻。

大部分產(chǎn)品都有漏洞

陳鵬是研一學(xué)生，這個(gè)系統(tǒng)是他本科的畢業(yè)設(shè)計(jì)，今年上半年共花費(fèi)了3個(gè)月完成，其中不僅有教授陳浩的指導(dǎo)，還有師兄吳源燚的幫忙。“無(wú)人機(jī)的漏洞是非擁有者能獲得控制權(quán)，這是把雙刃劍，可以被正面或負(fù)面地利用。我們制作的系統(tǒng)是正面的，為保護(hù)隱私而設(shè)計(jì)。”舉例來(lái)說(shuō)，有狗仔隊(duì)用無(wú)人機(jī)偷拍明星婚禮，用這套系統(tǒng)可以自動(dòng)檢測(cè)周圍是否有無(wú)人機(jī)，可連接上去獲得控制權(quán)。

上?？萍即髮W(xué)信息科學(xué)與技術(shù)學(xué)院的教授陳浩，帶領(lǐng)的課題組研究方向是信息安全和移動(dòng)APP。他時(shí)常把一句話掛在嘴上“做信息安全，要從身邊的信息安全做起。我們的目的不是挖掘漏洞，而是知道系統(tǒng)有什么漏洞，研究出更安全的系統(tǒng)。”

這臺(tái)無(wú)人機(jī)是目前市場(chǎng)上的主流牌子，號(hào)稱“擁有70%的市場(chǎng)份額”，大部分產(chǎn)品都有類似漏洞。今年9月，陳浩帶著陳鵬赴無(wú)人機(jī)廠商深圳公司，拿出報(bào)告講述無(wú)人機(jī)安全隱患的每個(gè)細(xì)節(jié)、如何預(yù)防,如通過(guò)設(shè)置WiFi密碼對(duì)視頻加密。

目前，廠商正在更新產(chǎn)品的固件和軟件，并且邀請(qǐng)師生為未來(lái)的新產(chǎn)品做安全測(cè)試。