纯干货！阿里安全谢君：如何黑掉无人机

在研究 IOT 设备时谈到最多的词就是能否 root 这台设备，root 设备意味着可以获得系统很高的控制权。为什么要 root 无人机？目的是扩大攻击面，更好的研究无人机。

而在研究的过程中，我们发现 root 无人机最好的办法是利用合适的漏洞，执行打开 Adb 接口功能，就能得到系统的 root shell 了。如果没有漏洞该怎么办？有意思的是我们发现不用漏洞也可以 root 无人机。

其实此方法可以运用到诸多领域，比如某些路由器。研究过程中我们发现启动脚本里有一个变量控制 ADB 功能能否打开，默认出厂 ADB 不能打开。ADB 功能接口在安卓手机应用广泛，怎样打开此 ADB 功能，一种是利用漏洞执行 ADB_en.sh 的脚本，另一种方法是直接修改该启动脚本的变量。

同样，我们不通过漏洞的方式 root 无人机，因为安卓系统存在三星 EMCP 里面，是集内存和存储于一体的 EMCP 芯片，如果我们可以修改这个芯片里面的内容就可以直接root无人机了。

具体操作步骤是：首先找到这块存储芯片的位置，用电热风枪把它吹下来，然后用 eMMC的读书卡读取内容，此时即找到 eMMC 读卡器，把 eMMC 插到电脑可以看到一个弹出显示存储器里面的空间和内容，找到设置调试变量的地方，修改后再写到 eMCP 里面焊回来。

有一个小细节是，因为存储器里的内容有分区，需要将这些系统分区用 Ext4 的方式挂载，修改后保存，再剪辑切回 EMCP 的芯片里，后续我们需要把它焊回去。再运行直接 ADB 打开，就可以得到 root 权限，成功后可以看到它的系统信息和进程。

这一过程涉及到许多复杂问题，比如要手工脱焊和焊接的过程，此芯片是 BGA 封装，引脚多，引脚间距小，且芯片底座里面人为灌入黑胶，对操作过程带来很大不便，操作不当易使芯片废掉，手工操作难度极高。

飞控系统

飞控系统，是无人机里面的核心。因为会搜集到无人机各个传感器模块的一系列数据，通过一些综合算法来判断飞控系统应该如何操作。

飞控系统核心芯片是 ATSAME70Q21，其不需要外置存储器存储它的部件以及算法，与之相关有两块 IMU 陀螺仪以及加速度计，检测飞机处于什么状态。

气压计，主要为了检测飞机的高度，作为一个飞机高度的判断因素。

Ublox GPS模块，是一个可编程的模块，因为飞控和 GPS 通讯有一个协议交互，并不是说任何一个 GPS模块都可以替换它，但可以做一些欺骗 GPS 的事情。

指南针模块，主要用于方向的定位。

智能电源，智能电源是用德州仪器 MSP430G2755 16 位的微控制芯片，它主要是收集电源现在状态，保持了何时放电，何时通过飞控系统在电量低于某值时返航。

电调芯片，因为无人机有四个螺旋桨，四个马达，每一个马达需要一个电调的芯片控制转速，控制不同的马达的转速，来达到控制飞行姿态以及速度的操作。

视觉系统

视觉系统，这是无人机里面非常重要的功能，里面核心处理芯片是英特尔的 MA2155 深度学习处理芯片。

飞机搭载摄像头首先可以进行视频录制、拍照，图像内容输出给视觉处理芯片来完成视觉识别等功能，其中一个功能是飞行跟随，即在手机屏幕上选点跟随飞行的目标，无人机可以跟随他/它飞行，此时时候就利用芯片强大的深度学习能力，对感兴趣的区域进行识别。

还有一个功能是测距，通过 MA2155 这块深度学习芯片来完成视觉测距的功能，飞机前后障碍物的距离通过图象识别的方式识别出来。

另一个功能是双目避障，这是观测倾斜度 70 度是否有障碍物，通过发射端发射出去的光反射回来在接收端接受。

超声波可检测下方障碍物以及检测地面。

无线通信系统架构

无线通讯，是无人机里面最核心的一块功能，也是最复杂的一块功能，涉及到控制系统和图象传输。基本原理就是前端的收发器收到信号，通过基带系统进行解码，解码后通过摇控器的 LPC1549 芯片处理进而通过 Cypress 的 USB 芯片反馈到手机上。

无线通讯是通过 OFDM 方式进行图传以及数控的传输，其特点是控制通道数据通过遥控器通过 1Mhz 带宽的跳频发送，飞机回传的图象和控制通道回传数据通过 10Mhz 带宽进行定频传输。

为了保证数控通道及时性，采取定时跳频的方式。因为有可能信号会被干扰，在某一个特定频点时会被干扰，如果被干扰的话，飞机可能收不到遥控器的一些数据，此时我们需要切换不同的频点，找信噪比高的地方，保证它的可靠性。

它在 FCCID 通信管理局申请的 5G 频段的频宽执照在 5727-5821Mhz，但实际上，其操作已超过通讯管理局规定的频段。在我们研究过程中发现滥用这个频段的资源已达 5845Mhz。遥控器与飞机如何进行识别，需要配对及连接过程。

配对的唯一信息来自遥控器，所有信息都是遥控发给无人机，配对成功后可以在操作过程中识别到哪个是我控制的无人机，且这些控制配对信息皆通过摇控器芯片 LPC1549 的序列号生成。

基本上无线通讯架构的过程，首先是摇控器先初始化芯片，然后初始化基站系统各个寄存器，寄存器里存入了唯一可以配对码的信息。这个配对码有五个字节，写入到寄存器里面，真正用到只有三个字节，所以就有可能无线期劫持无人机。

无线通讯传输的过程其实是非对称传输，无人机遥控器发的信息跳频传输给飞机，接收端也是跳频接收，但是图传和下行通道是由飞机以定频的方式发送，且这些跳频算法都是通过代码来实现的。

下图即遥控器用于检测飞机是否配对的算法检测基带芯片 SPI 地址 0xE4、0xE5、0xE6进行比较。所以劫持一台无人机，我们可以通过暴力破解的方式，用所有的密钥空间进行离线的破解，找到配对码，去控制无人机，在控中时候就可以动态改掉配对码，让这个无人机属于你。

无人机反调对抗技术

我们也发现了一些硬件的反调技术和软件的反调技术，比如说用 atmel 芯片的安全位置1，可以阻止外置硬件仿真器的挂载调试，遥控器的 LPC1549 通过 ADC 的粒度检测来检测调试器，LightBridge 用的 stm32F103 芯片通过 remap SWD IO 来使用 swd 调试接口失效，通过遥控器的硬件开关电路来阻止 LPC1549 芯片硬件仿真调试。