Drones: kinderlijk simpel te hacken
Een van de populairste drones blijkt kinderlijk eenvoudig te hacken. Door het ontbreken van basale beveiliging kan een kwaadwillende de besturing van het toestel overnemen.
Doordat de drone niet is beveiligd met een wachtwoord, kan een hacker met een relatief eenvoudige handeling de bestaande verbinding verbreken en zelf contact leggen met de drone, een quadcopter met vier motoren. Doordat de overname ongemerkt gebeurt, kan iemand met kwade bedoelingen het toestel bijvoorbeeld in een menigte laten neerstorten, terwijl de formele verantwoordelijkheid bij de eigenaar ligt.
Op het moment dat de drone is gekaapt, zijn zowel de besturing als de videobeelden te onderscheppen. De hack is aangetoond door Nicky van Rijsbergen, student computer security aan de Nederlandse Radboud Universiteit en momenteel werkzaam als stagiair bij het security en privacyteam van Deloitte. De enige beveiliging van het apparaat is dat het slechts verbinding met één smartphone of tablet accepteert, zegt hij. Zodra die verbinding wordt verbroken, kan willekeurig elke andere smartphone in de buurt contact leggen met het toestel.
AirCrack
De methode is eenvoudig: wanneer het zogenoemde mac-adres (een unieke 'kentekenplaat' dat elk online-apparaat heeft) van de smartphone van de eigenaar bekend is, kan met behulp van het programma AirCrack de bestaande verbinding worden verbroken. Smartphones en tablets die online zijn, zenden het mac-adres constant uit, waardoor het makkelijk te onderscheppen is. Door vervolgens continu het commando 'verbinding verbreken' te versturen naar de drone, kan de eigenaar de controle niet meer terugkrijgen. De enige voorwaarde voor kaping is dat de hacker binnen het wifibereik van de drone is.
Naast het ontbreken van een veilige authenticatiemethode zijn ook de commando's en de videobeelden niet versleuteld, stelt Van Rijsbergen. De beveiligingsexpert toont zich verrast over het ontbreken van zo goed als enige vorm van beveiliging in de drone. "Mijn eerste reactie was er een van verontwaardiging", zegt hij.
Deloitte wil de naam van de fabrikant van de drone niet bekendmaken. "Het gaat ons er vooral om bewustwording te creëren bij makers van dit soort producten", verduidelijkt een woordvoerster.