外界对无人机对抗的想象长期停留在射频干扰、激光毁伤这些物理手段。真正能实现"无声控制"的攻击面不在天线、电机或飞控硬件本身。它在无人机机载系统内部的软件与指令链路里。包括固件、实时操作系统、通信协议栈、加密与认证机制的实现层。这些底层逻辑一旦被渗透或篡改,就会直接改变无人机的行为方式。无人机会在空中偏离既定控制轨迹。
一、控制路径 : 从链路对抗到软件对抗
无人机的飞行控制依赖一条完整路径。地面站经过测控链路向机载计算机发送指令,指令由RTOS解析后驱动电机和舵面。传统防护集中在链路加密和跳频。这种防护隐含一个假设:信道不可注入,系统就是安全的。这个假设有一个根本漏洞。机载计算机自身如果被攻陷,链路层防护全部失效。
一次固件篡改或远程代码执行,就能让无人机在物理链路完全正常的情况下执行一套完全不同的飞行剖面。2025年12月,上海警方破获多起为无人机提供破解服务的案件。犯罪嫌疑人通过境外非法软件,直接篡改无人机飞控固件中的禁飞区数据和限高参数。无人机启动后仍然通过校验,但原本的飞行限制已经被移除。地面站显示的遥测数据经过伪造,操作员看到的是一架正常飞行的无人机,事件反映出一个现实问题:当控制逻辑本身被修改时,传统安全机制并不一定能够发现异常。
二、 固件逆向工程:从行为规则到控制权限
固件中的控制逻辑缺陷
指令解析函数是固件的关键控制点。解析函数如果缺乏边界检查,特定构造的输入数据可以触发栈溢出,改变程序执行流。签名校验机制如果只覆盖固件头部而非完整镜像,代码尾部可被修改而不触发告警。部分固件中还残留开发阶段的调试通道。这些通道没有对外关闭,通过特定格式的指令可以绕过正常的飞行限制。
三类典型可利用构造
第一类是硬编码的调试后门。为了便于开发和测试,部分设备会保留调试接口、维护命令或特殊工作模式。如果这些功能在量产阶段未被彻底移除,就可能成为绕过飞行限制和安全校验的入口。
******第二类是内存破坏漏洞。**PX4 Autopilot飞控系统在处理MAVLink日志请求时,输入数据直接被拷贝到栈分配的缓冲区,未执行长度校验。
第三类是签名校验逻辑中的实现缺陷。校验逻辑仅覆盖固件头部或特定段。校验使用可预测的随机数或状态变量。这些缺陷让篡改后的固件仍然能够通过系统的完整性检查。
持久化控制权限的获得
完成固件逆向并植入恶意代码后,控制权限不再是逐条指令的注入。它是对设备行为规则的全局改写。攻击者可以在任意时刻改写飞行参数,篡改传感器融合输出,甚至将无人机变为僵尸网络中的一个节点。固件级别的控制是控制路径上的最高权限。它比任何一个地面指令都高,因为它修改了指令的解析规则本身。
******三、**嵌入式RTOS:干预控制执行的入口
无人机机载计算机通常运行在FreeRTOS、VxWorks、ThreadX等RTOS之上。姿态解算、导航控制、通信处理和数据记录等功能均依赖 RTOS 完成任务调度。控制逻辑的执行顺序、资源分配方式以及任务优先级管理,均由 RTOS 决定。
飞控任务通常运行在固定大小的栈空间内。MAVLink解析、传感器处理以及姿态控制任务发生边界检查缺失时,异常输入可能触发栈溢出,影响任务执行流程。任务控制块(TCB)保存任务状态、优先级和调度信息,内存破坏问题一旦触及相关数据结构,飞控任务的执行顺序和运行状态都可能受到影响。
消息队列与信号量承担飞控内部的数据传递和任务同步。参数更新、状态上报以及控制指令处理均依赖这些机制完成。队列数据异常、同步机制失效或共享内存被篡改时,控制算法没有发生变化,但算法运行所依赖的数据与执行环境已经发生变化。
部分飞控平台支持 MPU 内存保护机制,用于隔离不同任务的访问权限。实际工程中出于资源限制和开发复杂度考虑,相关能力并非全部启用。攻击者获得单个任务执行权限后,往往能够继续向控制系统内部扩展访问范围。
四、 测控协议实现缺陷:合法链路中的控制权漂移
MAVLink已经成为无人机领域应用最广泛的测控协议之一。航点上传、参数修改、任务控制、固件升级等操作均依赖协议消息完成交互。
Message Signing机制部署后,协议安全问题开始从密码算法转向实现细节。固定密钥长期使用、签名功能未启用、会话状态管理异常以及重放窗口配置不当,均可能影响控制指令的可信性。部分设备完成链路加密后,仍保留默认认证配置,控制报文进入飞控处理流程的门槛并未同步提升。
协议解析模块持续处理遥测数据、Mission Upload、Parameter Protocol以及固件升级数据。字段长度校验缺失、消息重组异常、状态同步错误等问题,多次出现在公开披露的协议栈漏洞中。相关问题出现后,影响范围通常不会停留在通信模块,而会继续传递至参数管理、任务规划和飞行控制环节。
控制路径中的风险并不总表现为链路中断。遥测数据正常回传,飞控持续响应控制指令,任务流程保持运行状态,但航线参数、飞行限制条件或任务配置已经发生变化。控制链路保持可用,控制逻辑已经偏离原始设计目标。
结语
控制路径安全关注的并非链路是否中断,而是控制逻辑是否仍按照设计目标运行。
当无人机攻防从物理对抗走向软件对抗,控制权的风险正在向软件栈的每一个层面渗透。