Risk-driven Security Assessment of Quadcopter's Flight Controller

Abstract

Os veículos aéreos não tripulados (UAVs) já não são exclusivamente soluções militares e científicas. Estes veículos têm aumentado em popularidade entre utilizadores amadores e também como soluções industriais para actividades específicas. As características de voo e a ausência de uma tripulação a bordo destes dispositivos permitem que realizem uma ampla variedade de actividades, que podem ser inacessíveis para os seres humanos ou podem pôr em risco sua vida. Apesar das vantagens, eles também trazem grandes preocupações em relação a falhas de segurança no software do controlador de voo, que podem levar a problemas de segurança (por exemplo, sequestro de veículo por atacantes), protecção(por exemplo, colidir com o veículo em uma área ou prédio planeados) ou privacidade (por exemplo, espionagem ou roubo de imagens de vídeo). Como a criação de sistemas de software sem falhas é uma tarefa complicada, se não impossível, um teste de segurança abrangente é necessário para detectar e remover com eficácia as vulnerabilidades de segurança do controlador de voo. No entanto, executar um teste de segurança completo e exaustivo é muito caro e consome muito tempo. Por essa razão, usamos uma abordagem de teste de segurança orientada ao risco, a fim de identificar e focar nos componentes ou estados mais vulneráveis do sistema de controlador de voo. O principal objectivo deste estágio é divulgar as vulnerabilidades de segurança de um controlador de voo comummente usado pelos UAVs, o ArduCopter. As vulnerabilidades serão exploradas pela execução dos testes, que emularão um ataque, que será definido com base nos resultados de um processo de análise de risco. Neste relatório, apresentamos a arquitectura do Sistema Sob Avaliação (SSA), a modelação de ameaças e a análise de risco realizada para identificar os componentes mais vulneráveis, levando a uma avaliação de segurança eficiente e precisa. O resultado da avaliação de segurança levou ao teste do sistema sob ataques de GPS Spoofing, onde as mensagens de GPS recebidas pelos quadcopters são adulteradas ou atrasadas. É apresentada a configuração experimental usada nos testes, a análise dos respetivos resultados e a proposição de alguns mecanismos de defesa.

Unmanned Aerial Vehicles (UAVs) are no longer exclusively military and scientific solutions. These vehicles have been growing in popularity among hobbyist and also as industrial solutions for specific activities. The flying characteristics and the absence of a crew on board of these devices allow them to perform a wide variety of activities, which can be unaccessible to humans or may threat their life. Despite the advantages, they also bring up major concerns regarding security breaches in the flight controller software, which may lead to security (e.g., vehicle hijacking by attackers), safety (e.g., crashing the vehicle into a planned area or building), or privacy (e.g., eavesdropping or stealing video footage) problems. Since building a flawless software systems is a complicated task, if not impossible, a comprehensive security test is required to effectively detect and remove security vulnerabilities from the flight controller. However, executing a complete and exhaustive security test is very expensive and time consuming. For this reason, we use a riskdriven security testing approach, in order to identify and focus on the most risky components or states of the flight controller system. The main objective of this internship is to disclose the security vulnerabilities of a commonly used UAVs’ flight controller, namely ArduCopter. The vulnerabilities will be exploited by execution of the tests, which will emulate an attack, that will be defined based on the results of a risk analysis process. In this report, we present the architecture of the System Under Assessment (SUA), the threat-modeling and risk analysis performed to identify the most risky components, leading to an effective security assessment. The outcome of the security assessment led to the testing of the system under GPS Spoofing attacks, where the GPS messages received by the quadcopter are tampered or delayed. It is presented the experimental setup used for testing, the result’s analysis of the outcomes from the tests, and propose some defense mechanisms.