Dat goedkopere ‘recreatieve’ drones die iedereen voor 100 tot 500 euro kan kopen, relatief makkelijk te hacken zijn, is al een tijdje bekend, zegt student informatica Nils Rodday. ‘Ik heb aangetoond dat ook professionele drones van 20 tot 25 duizend euro eenvoudig over te nemen zijn.’
UT-onderzoeker Ricardo de Oliveira Schmidt begeleidde Rodday bij zijn afstudeeronderzoek dat hij vorige maand verdedigde. Hij noemt de bevindingen van zijn student ‘een groot probleem, dat niet makkelijk is op te lossen’.
Communicatie onderscheppen
Rodday onderzocht bij adviesbureau KPMG op verzoek van een fabrikant van drones voor professioneel gebruik hoe veilig zo’n drone is. Absoluut niet veilig, concludeerde de student. Zijn begeleider: ‘Nils kon de communicatie tussen controller en drone onderscheppen en commando’s geven alsof hij de controller was. Dat kon tot op twee kilometer afstand van de drone.’
De belangrijkste zwakke plek is de communicatiechip die de drone gebruikt voor alle radiocommunicatie. Daarnaast kampt het systeem met enkele kleinere maar niet minder cruciale bugs, legt De Oliveira Schmidt uit.
Niet iedereen zal zomaar de drone kunnen platleggen, vertelt Rodday. ‘Maar,’ zegt hij, ‘studenten elektrotechniek of informatica die mijn thesis lezen, zullen vrij eenvoudig de chip kunnen hacken en de besturing overnemen.’
‘Zeer gevaarlijk’
De Oliveira Schmidt noemt het ‘zeer gevaarlijk’ dat een onveilige chip wordt gebruikt in dure drones die voor professionele doelen worden ingezet. In verschillende landen neemt de politie de drones af die Rodday heeft onderzocht. Ze kunnen bijvoorbeeld worden gebruikt voor surveillance en grenscontroles.
De informaticastudent heeft één drone van één merk onderzocht, maar hij weet dat er meer soorten professionele drones op de markt zijn die dezelfde kwetsbare communicatiechip maken. Welke fabrikant de drones levert, maken de onderzoekers niet bekend. Voor het afstudeeronderzoek is een geheimhoudingsverklaring getekend.
Hardware aanpassen
Een makkelijke oplossing voor het probleem met de drone is er niet, zeggen Rodday en De Oliveira Schmidt. Die laatste: ‘Een software-upgrade is niet genoeg. Je zult de hardware moeten aanpassen. Wil je dat doen, dan moet je alle verkochte drones terugroepen. Dat is nogal wat.’
Nils Rodday en Ricardo de Oliveira Schmidt willen binnenkort de beveiligingslekken van de drone publiceren op een wetenschappelijke conferentie. Ook hopen ze een lezing over het onderzoek te geven op een congres over beveiliging.
