將此篇文章跟 Facebook 上的朋友分享將此篇文章跟 Plurk 上的朋友分享將此篇文章跟 Twitter 上的朋友分享列印轉寄
2018/12/11

物聯網飛行裝置安全疑慮多 捕獲空拍機追出幕後遙控者

針對無人機做數位鑑識 萃取飛控序列號各式跡證

中央警察大學資訊密碼暨建構實驗室(ICCL)
消費型無人機易於操控等特性吸引到犯罪者的注意,亦出現使用者操作不當肇事或誤飛入禁航區造成飛安問題,本文將介紹無人機組成操作及鑑識方式,並透過模擬情境說明其相關應用,藉以說明如何透過鑑識所得的證據證明無人機所有者與無人機之連結關係。


DJI SPARK無人機管理工具—DJI Assistant 2

DJI Assistant 2是DJI無人機的管理工具程式,將DJI無人機使用USB傳輸線與安裝DJI Assistant 2的電腦連結,可透過DJI Assistant 2進行下列功能(圖4):


▲圖4 DJI Assistant 2操作畫面。


‧Firmware Update:進行無人機韌體更新。

‧Data Upload:將無人機內存的飛行紀錄下載至電腦。

‧Black Box:將無人機的黑盒子資料下載至電腦。

‧WiFi Settings:設定修改無人機的Wi-Fi SSID和密碼。

實驗流程介紹

本文實驗以iOS行動設備安裝DJI Go 4 App操控DJI SPARK無人機進行飛行,並在飛行過程進行攝影和拍照,之後再分別對iOS行動設備、DJI SPARK無人機,以及DJI SPARK無人機上的microSD卡進行鑑識分析。

iOS鑑識

iOS鑑識方式採邏輯萃取,將iOS行動設備(iOS版本為12.0)使用iTunes(版本12.9.0.167,自Microsoft Store安裝)程式進行備份,備份檔案預設儲存在「%USERPROFILE%\Apple\MobileSync\Backup\{UDID}」資料夾內。透過Manifest.db可得知備份資料夾內檔案fileID及相對路徑(relativePath)的對應,如圖5所示。


▲圖5 開啟Manifest.db。


其中在「SystemConfiguration/com.apple.wifi.plist」檔案內可檢視iOS行動設備Wi-Fi連接過之SSID和BSSID,如圖6所示從中可以找出連接過DJI SPARK無人機SSID 「Spark-500***」與BSSID「60:60:1f:**:**:**」。


▲圖6 檢視com.apple.wifi.plist。


在「Library/Application Support/bindInfo.plist」檔案內,則可查詢到DJI SPARK的飛控序列號「0BMLE*********」,如圖7所示。


▲圖7 查看bindInfo.plist內容。


在「Documents/FlightRecords/」內有檔名為「DJIFlightRecord_yyyy-mm-dd_[hh-mm-ss].txt」的飛行紀錄檔案,該檔案為二進制檔案(Binary file),可使用CsvView程式(Version 3.6.1,下載網址為https://datfile.net)開啟匯出CSV檔案。

該CSV檔共有274個欄位,透過欄位「CUSTOM.updateTime」、「OSD.latitude」、「OSD.longitude」、「OSD.height [m]」、「DETAILS.droneType」、「DETAILS.aircraftSnBytes」以及「DETAILS.batterySn」的資訊可得知飛行時間、緯度、經度、高度、無人機機型Spark、無人機飛控序列號「0BMLE*********」以及電池序號「0C0AE9********」。其中要注意的是,「CUSTOM.updateTime」欄位顯示時間之時區為GMT,換算成台灣時間必須加8小時,如圖8所示。另外,也可以使用CsvView內的GeoPlayer程式將飛行紀錄視覺化,如圖9所示。


▲圖8 查看飛行紀錄檔案。



▲圖9 飛行紀錄視覺化。


這篇文章讓你覺得滿意不滿意
送出
相關文章
反向追查鑑識備份檔 解密竊盜手法還原真相
視覺化地圖還原定位紀錄 重現使用者移動軌跡
揮發性記憶體藏細節 找出帳密遏止數位犯罪
暗網深藏犯罪淵藪 TOR鑑識剝開洋蔥網路
MulVAL自動生成攻擊圖 安全弱點全面評估補強
留言
顯示暱稱:
留言內容:
送出
熱門點閱文章