Fallas en el protocolo ExpressLRS permiten hackear drones

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El protocolo para drones controlados por radio (RC), llamado ExpressLRS, se ve afectado por vulnerabilidades que pueden permitir la toma de control del dispositivo.

ExpressLRS es un enlace de control de radio de código abierto de alto rendimiento que proporciona un enlace de control de radio de baja latencia al mismo tiempo que logra el máximo alcance.

Según un boletín publicado recientemente, un atacante puede tomar el control de cualquier receptor observando el tráfico desde el transmisor asociado.

Usando solo un transmisor estándar compatible con ExpressLRS, es posible tomar el control de cualquier receptor después de observar el tráfico desde un transmisor correspondiente.

Los problemas de seguridad en la fase de vinculación pueden permitir que un atacante extraiga parte del identificador compartido entre el receptor y el transmisor. El análisis de esta parte, junto con el ataque de fuerza bruta, puede permitir a los atacantes descubrir la parte restante del identificador. Una vez que el atacante ha obtenido el identificador completo, puede hacerse cargo de la nave que contiene el receptor, sin conocimiento de la frase vinculante, mediante el uso de un transmisor. Este escenario de ataque es factible en software que utiliza hardware estándar compatible con ExpressLRS.

"ExpressLRS usa una 'frase vinculante', integrada en el firmware en tiempo de compilación para vincular un transmisor a un receptor. ExpressLRS afirma que la frase vinculante no es por seguridad, es anticolisión".

"Debido a debilidades relacionadas con la fase de vinculación, es posible extraer parte del identificador compartido entre el receptor y el transmisor. Se puede utilizar una combinación de análisis y fuerza bruta para determinar la parte restante del identificador. Una vez que se descubre el identificador completo, es posible usar el transmisor de un atacante para controlar la nave que contiene el receptor sin conocer la frase vinculante. Esto es completamente posible en software que utiliza hardware estándar compatible con ExpressLRS".

La frase utilizada por el protocolo ExpressLRS se cifra mediante el algoritmo hash MD5, que se sabe que está criptográficamente roto.

Los expertos observaron que los "paquetes de sincronización" que se intercambian entre el transmisor y el receptor a intervalos regulares con fines de sincronización filtran una parte importante del identificador único (UID) de la frase vinculante. Un atacante puede determinar la parte restante a través de ataques de fuerza bruta o mediante la observación de paquetes por aire sin aplicar fuerza bruta a las secuencias.

"Se identificaron tres debilidades que permiten descubrir los cuatro bytes del UID requerido para tomar el control del enlace. Dos de estos problemas se relacionan con el contenido del paquete de sincronización.
El paquete de sincronización contiene los últimos tres bytes del UID. Estos bytes se utilizan para verificar que el transmisor tenga la misma frase vinculante que el receptor, para evitar colisiones. La observación de un solo paquete de sincronización proporciona el 75% de los bytes necesarios para hacerse cargo del enlace.
    El inicializador de CRC utiliza los dos bytes finales del UID enviado con el paquete de sincronización, lo que facilita enormemente la creación de una verificación de CRC".

La tercera debilidad ocurre en la generación de secuencias FHSS

"Debido a las debilidades del generador de números aleatorios, los segundos 128 valores del último byte de la semilla de 4 bytes producen la misma secuencia FHSS que los primeros 128."

El aviso recomienda evitar enviar el UID a través del enlace de control. Los datos utilizados para generar la secuencia FHSS no deben enviarse por aire. También recomienda mejorar el generador de números aleatorios utilizando un algoritmo más seguro o ajustando el algoritmo existente para evitar secuencias repetidas.

Fuente:
SecurityAffairs
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta