大家读完觉得有帮助记得关注和点赞摘要随着信息物理系统CPS日益普及和自主化确保其嵌入式逻辑的韧性对于维护安全性和完整性至关重要。其中最隐蔽且破坏性最强的威胁之一是非侵入式故障注入攻击即硬件层面的干扰会传播到软件执行中并破坏控制逻辑。本文研究了无人机UAV自动驾驶仪故障安全机制对电压毛刺故障注入的脆弱性。我们引入了一种双重评估方法使用ARMORY进行基于软件的故障模拟以及使用电压毛刺平台Chip-Whisperer进行基于硬件的实验对运行UAV自动驾驶仪故障安全逻辑的STM32微控制器施加受控且精准定时的故障。我们对特定故障安全模式的有针对性分析揭示了时间敏感型漏洞这些漏洞可以抑制或改变安全响应例如在关键时刻禁用紧急故障安全激活从而可能实现无人机劫持。此外我们根据真实硬件行为验证了基于软件的故障注入结果展示了模拟攻击如何转化为对CPS安全性和可靠性的切实风险。I. 引言故障注入[16]是一种强大的评估技术通过在软件层面[26, 33]或通过物理硬件操作暂时干扰被测设备DUT的运行环境从而诱发非预期行为。硬件级故障注入方法包括时钟毛刺、电压故障注入VFI、电磁EM辐射和激光故障注入。这些技术会短暂中断设备的正常运行。其潜在后果被称为故障模型包括位翻转[31]、跳过机器指令[35]或改变设备内部存储器中存储的数据[19]。迄今为止大部分故障注入研究都集中在安全关键操作上例如加密实现如AES、RSA[4, 24, 40, 25]和安全启动机制[13]。这些研究表明精心定时的故障可以绕过固件验证、提取密钥或破坏可信执行环境。另一方面信息物理系统CPS安全[37, 12]这一更广泛的领域获得了显著关注研究人员展示了网络攻击如何操纵物理结果[38, 8, 7]。然而故障注入对信息物理系统CPS[10, 21]如无人机UAV的安全影响研究不足尤其是在高级应用逻辑层面[11, 9, 32, 3]。在这些系统中安全性和可靠性至关重要控制逻辑中的故障可能导致灾难性后果例如无人机劫持、任务失败甚至坠毁[1, 39]。故障注入测试在评估无人机系统韧性方面起着至关重要的作用。最广泛使用的开源自动驾驶仪平台之一PX4-Autopilot包含了安全关键组件例如设计用于在传感器错误或通信故障发生时防止事故的故障安全机制。这些例程是无人机在自主或半自主飞行中安全的基础。然而故障注入对无人机构成了严重的安全风险。攻击者能够在故障安全逻辑执行时注入故障导致不受控的行为或坠毁场景。随着现代无人机变得更加互联和复杂它们面临远程和物理攻击的风险也在增加。尽管存在这种风险先前尚无工作全面研究PX4或其他CPS平台上的硬件故障注入这在CPS系统安全研究中留下了一个关键空白[6, 36]。本文旨在通过研究广泛使用的无人机自动驾驶仪PX4-Autopilot及其安全机制对故障注入攻击的脆弱性来弥合这一空白。为此本研究将采用双重方法使用ARMORY进行基于软件的模拟以及使用ChipWhisperer配合STM32微控制器进行基于硬件的故障注入。主要目标是评估这些故障注入的有效性并表征其对系统行为的影响。本工作的贡献包括通过研究硬件级漏洞与已得到充分研究的软件级威胁相比这些漏洞常被忽视解决了信息物理系统CPS安全研究中的一个关键空白。针对PX4-Autopilot的双重方法故障注入活动结合了使用ARMORY的基于模拟的攻击和在STM32微控制器上的物理硬件毛刺攻击。对PX4故障安全例程进行安全评估识别时间敏感的攻击窗口并表征注入故障对决策逻辑的影响。展示了模拟和硬件测试的互补优势弥合了抽象故障模型与现实世界硬件行为之间的差距。II. 背景与相关工作II-A 无人机自动驾驶仪安全无人机UAV越来越多地应用于从农业、物流到监视和国防等领域。许多此类系统依赖于开源自动驾驶仪框架其中PX4由于其模块化架构和对多样化平台的支持而成为应用最广泛的之一。无人机日益增长的自主性和连接性伴随着不断升级的网络安全漏洞。现有的无人机安全研究主要集中在软件级威胁上。像MAVLink这样被PX4广泛用于遥测和控制的通信协议已被证明容易受到注入和拒绝服务DoS攻击[15]。此外软件模糊测试发现了关键漏洞即格式错误的消息可能导致无人机行为崩溃或被劫持[41, 18, 2, 22]。导航安全是另一个得到充分研究的领域研究重点是通过增强扩展卡尔曼滤波器EKF的异常检测来防御GPS欺骗[17]。虽然这种以软件为中心的研究很有价值但它往往忽视了硬件层面的威胁。基于PX4的无人机通常在资源受限的微控制器上运行这些控制器缺乏强大的物理保护。这些平台仍然暴露于故障注入FI攻击[16]之下这些攻击可以悄无声息地破坏控制逻辑或绕过安全机制而不会触发软件级警报。尽管其潜在严重性很高但在无人机自动驾驶仪韧性背景下基于硬件的故障注入研究仍然严重不足。请参阅图1标题​ 电压故障注入攻击及其潜在影响[34]II-B 硬件故障注入故障注入是一种用于评估嵌入式系统鲁棒性或破坏其安全性的强大技术。它涉及在设备运行时故意向其物理环境中引入瞬态故障以诱发非预期行为。这些攻击已被广泛应用于破坏加密硬件例如从AES或RSA实现中提取密钥[4, 24]以及破坏微控制器和物联网设备中的安全启动机制[20, 27]。故障可以通过各种环境操作诱发包括时钟毛刺、电磁干扰和基于激光的注入[5]。这些干扰通常会导致故障模型该模型描述了物理攻击的逻辑结果。常见的故障模型包括内存中的位翻转、寄存器中存储的数据损坏或关键机器指令的跳过。当针对控制流逻辑时这些故障允许攻击者重定向程序执行从而有效绕过安全检查或安全例程。II-C 基于电压的故障注入在各种故障注入方法中电压毛刺通常称为电源故障由于其较低的成本和对广泛嵌入式目标的有效性而经常受到青睐[5]。它涉及向处理器电源VCC引入短暂、有意的干扰或毛刺。这种短暂的电压下降会破坏数字逻辑门的正常时序导致指令跳过或错误分支等效果。电源故障的成功取决于电压稳定性与数字操作精确时序之间的关键关系。如图1所示有效的毛刺需要足够的电压降和精心控制的时序。以下参数[27, 34]对于配置成功的电压毛刺至关重要触发信号​ 启动毛刺序列的外部事件或信号。这作为攻击的时间起点。起始偏移​ 触发信号与同步点之间的时间延迟通常以时钟周期测量。同步​ 目标系统执行过程中的特定时间参考点用于将故障与特定指令对齐。相位偏移​ 用于相对于时钟边沿移动毛刺的精细延迟。正偏移发生在上升沿之后而负偏移发生在上升沿之前。宽度​ 电压下降的持续时间。这决定了毛刺对目标逻辑门的总体影响以及故障是导致复位还是成功的毛刺。通过精确调整这些参数的时间使其与关键决策逻辑如PX4故障安全例程重合攻击者可以从根本上颠覆无人机的预期安全状态。在图1中绿色区域代表设备的正常工作电压范围而红色阴影区域表示设备运行可能变得不可靠或故障的电压水平。分隔这些范围的电压水平是设备特定的取决于微控制器架构、制造工艺和工作频率等因素。II-D PX4-AutopilotPX4是一个开源、专业级的飞行控制系统设计用于广泛的无人机UAV[23]。如图2所示PX4固件运行在基于STM32的飞行控制器上。该控制器与机载传感器接口与伴侣计算机如NVIDIA或树莓派板通信并通过PWM或CAN协议控制无人机的电机。故障安全机制作为固件的关键部分直接嵌入在飞行控制逻辑中。请参阅图2标题​ 基于PX4的无人机系统架构展示了基于STM32的飞行控制器与伴侣板之间的交互。故障安全机制发生在STM32微控制器上的PX4固件层内。II-E 故障安全机制概述PX4中的故障安全逻辑是在系统状态降级期间保障飞行安全的最后一道防线[30]。它监控关键输入例如无线电连接性、GPS有效性和电池电量并执行恢复操作以防止灾难性坠毁。默认情况下PX4进入临时悬停模式以允许飞行员干预如果没有发生覆盖系统则执行最终安全操作。这些操作按严重程度分类包括返航RTL、降落、解除武装或飞行终止等。表II介绍了PX4文档中定义的可能故障安全操作按严重程度递增排序。表 I故障安全操作模式操作模式操作模式代码描述无/禁用action 0不触发任何响应忽略故障安全。警告action 1仅发出警告消息例如通过QGroundControl。悬停action 5飞行器保持位置多旋翼悬停固定翼盘旋。返航RTLaction 6飞行器使用安全的预定路径返回起飞点。降落action 7飞行器在当前或指定的安全位置降落。解除武装action 9电机立即停止。飞行终止action 10所有控制器被禁用PWM输出设置为故障安全值例如用于降落伞展开。这些机制的有效性完全依赖于微控制器执行流的完整性。然而对PX4的源代码级分析显示管理这些状态的逻辑是复杂的并且包含未记录的行为例如内部回退模式和特定的ActionOptions属性。因为这些例程依赖于机器代码层面的简单条件检查所以它们对前面描述的电源故障高度敏感。攻击者针对故障安全检查的决策窗口可能迫使系统忽略关键的传感器故障导致任务失败或坠毁。III. 威胁模型III-A 攻击场景黑盒假设该威胁模型的一个核心要素是其操作隐蔽性它利用硬件的物理外壳作为安全盲点。商业飞行控制器通常被最终用户和系统集成商视为黑盒设备。不信任的供应链涵盖制造商、分销商和零售商的复杂、多阶段性质为攻击者提供了多个切入点。在运输过程中攻击者可以拦截设备拆开其外部外壳以安装硬件植入物并在产品到达客户手中之前无缝地重新密封外壳。由于恶意PCB在最终交付前安装在外壳内部汲取寄生电源并且物理隐藏在内腔中因此视觉上无法检测。标准的操作程序、目视检查和常规飞行前诊断检查不需要打开工厂密封的外壳。因此物理外壳充当了有效的屏障使得隐蔽的硬件修改能够在无人机的整个生命周期内持久且完全隐藏。III-B 攻击者能力与假设我们假设攻击者能够设计和制造小型化、特定应用的印刷电路板PCB。这个独立的恶意板在功能上等同于专门的故障注入工具如本地化的ChipWhisperer但明确针对尺寸、自主性和在目标物理外壳内的原位部署进行了优化而非受控的实验室环境。此外我们假设攻击者获取一个相同的参考飞行控制器进行离线分析。这使他们能够通过实验映射目标的执行流并在最终确定植入物设计之前确定成功故障注入所需的精确触发条件、毛刺偏移和毛刺宽度。III-C 攻击向量主要的攻击机制是一个物理植入飞行控制器外壳内的隐蔽次级PCB。为了绕过高度受限的内部空间限制攻击者采用集成技术例如角落隐藏利用结构安装支柱旁边的小空间空隙或组件替换用小型化的柔性PCB有效载荷替换良性的无源组件。为了自主执行攻击隐蔽的恶意PCB必须直接从目标板的主电压轨获取电源。然而由于攻击依赖于瞬间短路这个共享的主电压轨以产生毛刺所需的电压降植入物需要一个自我保护机制。恶意PCB上实现了一个专用的滤波和电容隔离级作为本地化的能量储存器。这确保其自身的微控制器保持稳定并且不受其故意针对目标产生的突然电压崩溃的影响。IV. 方法为了系统地评估电源故障如何通过无人机系统传播我们采用了两阶段方法软件模拟以分析机器代码层面函数的脆弱性随后是基于硬件的故障注入以验证物理可利用性。图3展示了集成的工作流程。ARMORY[14]是一个基于软件的故障注入框架它提供了广泛的故障模型覆盖、测试用例的高可重复性以及对故障功能影响的详细洞察而无需物理硬件仪器。分析的源代码可以直接作为在STM32架构上执行的编译二进制文件进行评估。模拟之后使用精确的电压毛刺在STM32微控制器上进行基于硬件的故障注入。实验使用一个完好的STM32目标板以非破坏性方式配置未移除去耦电容和一个ChipWhisperer板[27, 29, 28]。这种专用的自主流程允许我们迭代多个毛刺参数集以进行全面的下游分析。请参阅图3标题​ 集成模拟工作流程。IV-A 软件模拟ARMORY是一个开源的自动化框架用于对ARM-M二进制文件执行故障模拟。它模拟ARM处理器的行为允许在机器代码层面注入各种故障模型以分析它们对程序执行的影响。由于STM32微控制器常用于PX4飞行控制器基于ARM Cortex-M4架构ARMORY是此分析的理想模拟环境。利用了ARMORY框架提供的所有瞬态故障模型来全面映射漏洞。这些模型分为指令故障和寄存器故障每个模型都旨在表示特定的硬件诱发错误指令故障​ 此类别包括指令跳过、指令字节置位、指令字节清除和指令位翻转。这些模型模拟在执行过程中改变指令二进制编码的中断导致控制流、计算逻辑或数据处理被强制改变。寄存器故障​ 这些模型模拟CPU寄存器值内的损坏这可能严重影响程序逻辑和内存操作。探索了两个特定的时间类别瞬态故障和直到覆盖故障。瞬态寄存器故障表示仅影响使用故障值的立即指令的临时损坏之后寄存器恢复到其原始状态。直到覆盖故障会持续存在于寄存器中直到被后续指令显式更新。注入的具体故障类型包括寄存器清除、寄存器填充、寄存器字节置位、寄存器字节清除和寄存器位翻转。在ARMORY模拟中同步是通过基于感兴趣代码区域定义符号执行窗口来实现的。ARMORY不依赖实时硬件信号而是使用从目标二进制文件反汇编输出中提取的手动分配的起始和停止符号。对于本研究中的所有模拟起始点始终定义为与被测场景相关的目标辅助函数的起始符号。IV-B 硬件表征ChipWhisperer是一种专为对嵌入式系统执行故障注入攻击而设计的开源设备。它配备了一个专用的毛刺模块和一个基于MOSFET的撬棒电路该电路直接连接到目标设备的VDD线以诱发电压降。由于实验设计为非破坏性的即保留目标板的工厂去耦电容与默认的ChipWhisperer设置相比需要更长的毛刺宽度才能成功拉低电压。为了实现这一点我们将ChipWhisperer配置为仅启用模式该模式在整个时钟周期内激活毛刺电路而不是子周期分数。ChipWhisperer的频率配置为32 MHz利用外部偏移和重复计数参数来精确控制故障时序和持续时间。飞行控制器板直接管理基本的物理操作使其成为安全分析的高价值目标。在PX4生态系统中STM32微控制器特别是STM32H7和STM32F系列是用于主处理器和故障安全协处理器的最普遍架构。为了准确模拟此环境同时保持实验控制选择STM32F407-Discovery板作为主要硬件平台。它比完全组装的飞行控制器提供了更低层次的抽象为可靠的同步提供了对微控制器引脚的直接访问。为了进一步隔离目标函数并确保分析期间基础程序可预测地运行暂时移除了PX4 API层简化了执行环境。IV-C 实验设置实验设置由两个核心组件组成ChipWhisperer-Lite故障注入工具和STM32F407-Discovery目标板。物理架构如图5所示。图4标题​ 硬件故障注入实验的物理设置。图5​ 实验硬件设置为了保证精确、可重复的故障注入建立了用于同步和数据传输的关键连接。此实现遵循严格的两阶段同步工作流程详见图6。请参阅图6标题​ 说明STM32F407-Discovery和ChipWhisperer-Lite之间协调故障注入过程的工作流程。阶段1 – 执行启动​ 为了启动每个测试迭代将ChipWhisperer-Lite上的TIO1输出引脚连接到STM32F407上配置为通用输入的PD14引脚。这允许外部系统控制代码执行的开始。阶段2 – 毛刺触发​ 在程序执行期间STM32F407在其PD12输出引脚上生成一个上升沿触发信号该信号被路由到ChipWhisperer-Lite的输入引脚TIO4。该触发信号作为外部偏移计数器的参考点确保故障注入脉冲的精确时间对齐。UART数据传输​ 为了传输注入尝试的结果将STM32F407上的PA2发送引脚USART2连接到ChipWhisperer-Lite上的TIO2接收引脚。这使得目标的故障响应数据能够传输回主机计算机进行下游分析。最后将示波器探头直接连接到STM32F407微控制器上的一个备用VDD引脚以监控实时电压行为并直观地验证注入的故障脉冲相对于电容网络的幅度和持续时间。V. 评估为了系统地评估电压毛刺的影响我们分析了飞行控制器故障安全模块内三种不同操作场景的结果RC信号丢失、关键电池电量低和紧急电池电量低。该评估比较了通过软件模拟ARMORY识别的理论漏洞与从物理硬件注入STM32和ChipWhisperer收集的经验数据。V-A 实验对齐此评估的一个关键组成部分是将模拟的时间执行与物理硬件对齐。STM32微控制器以168 MHz运行而ChipWhisperer平台配置为32 MHz。由于ARMORY准确地模拟了STM32环境ChipWhisperer上的一个时钟周期偏移大约对应于ARMORY模拟内的5.25个执行周期。此外ARMORY模拟和硬件实验中定义的起始点并不完全对齐。必须考虑STM32和ChipWhisperer之间的传输延迟。对于隔离函数测试RC信号丢失和关键电池场景中的switch-case逻辑和集成测试紧急电池场景在STM32生成触发信号与实际到达目标switch-case函数之间会执行若干条指令。目标的VDD线需要有限的时间才能物理衰减到故障显现的关键风险范围。最后为了确保非破坏性测试毛刺宽度被人为延长通常导致电压不稳定持续超过辅助函数的执行时间。因此本次评估的主要目标是分析软件漏洞与硬件可利用性之间的趋势相关性而不是寻求精确的周期到周期复制。承认这一物理约束也证明了我们从分析隔离的辅助函数进展到测试完全集成的故障安全模块场景1的合理性以观察这些延长的、不可预测的硬件故障在现实环境中的传播方式。。V-B 场景1RC信号丢失此场景模拟无人机与操作员之间通信完全丢失。PX4固件使用专用的故障安全辅助函数评估此状态通常触发返航RTL协议。对于此评估如果观察到的输出参数ActionOptions: Action, Cause, AllowUserTakeover, ClearCondition偏离无故障执行下的预期结果则注入的故障被分类为成功。V-B1 软件模拟发现ARMORY如图7所示成功的故障在执行过程中表现出强烈的时间聚集性。显著的峰值出现在时钟周期3–4、24–25和50–52之间。这些峰值主要由寄存器级损坏驱动特别是瞬态寄存器位翻转和覆盖前寄存器位翻转故障模型。图7​ RC信号丢失场景中成功故障的时间分布V-B2 硬件验证硬件实验图5.2验证了这些关键时间窗口的存在。偏移量为4和5个周期的硬件实验在多个毛刺宽度下 consistently 表现出较高的故障成功率。应用时钟比率这些物理偏移与在模拟周期21–26附近观察到的漏洞集群很好地吻合。此外偏移量为2个周期对应于ARMORY周期11需要更长的毛刺宽度才能产生更高的成功率蓝色条。数据表明更长的毛刺更可靠地损坏关键指令执行增加了硬故障触发复位橙色条和可利用故障的可能性。偏移量0被排除在主数据集之外因为早期测试显示它导致100%的复位率经常导致STM32意外挂起。(a) 1.66 µs(b) 1.69 µs(c) 1.72 µs图8​ RC信号丢失场景中的故障注入结果V-B3 故障效果关联通过将模拟数据图9与观察到的硬件行为图10关联我们可以将特定的故障结果直接映射到其对应的执行周期。我们的分析集中在模拟周期11和周期21–25因为这些与硬件实验中成功注入故障的时间窗口紧密对应。在模拟结果中无操作和正确操作但带有其他错误字段都很突出无操作的发生频率略高。然而在硬件实验中操作分析表明成功的利用几乎完全是在较早的物理偏移处完全绕过无操作。在物理偏移为5个周期对应于ARMORY中的周期25并施加较长毛刺宽度时硬件在无操作结果上达到峰值同时伴有正确操作但带有其他错误字段RTL带有元数据错误、错误操作和无效状态的实例。这直接反映了模拟数据因为ARMORY中的周期25也观察到了完全相同的多样化结果分布。图9​ RC信号丢失场景中按行为结果分类的故障效果时间分布(a) 1.66 µs(b) 1.69 µs(c) 1.72 µs图10​ 不同毛刺持续时间下RC信号丢失场景中故障诱发操作的分布。V-C 场景2电池电量低临界当无人机的电池容量降至预定义的阈值水平以下时电池电量故障安全被激活。在临界状态下PX4通常建议配置系统使用RTL模式以安全返回无人机。与场景1类似如果观察到的输出行为偏离预期ActionOptions结果则认为故障成功。V-C1 软件模拟发现ARMORY如图11所示主要的漏洞峰值出现在周期4–6、26–27和66–69之间。在周期33–58之间观察到一个次要的、连续的故障密度其中有几个较小的峰值但集中度显著低于前三个窗口。图11​ 电池临界场景中成功故障的时间分布V-C2 硬件验证硬件实验图12成功验证了早期和晚期的执行漏洞。物理偏移为1个周期在多个毛刺宽度下 consistently 表现出较高的故障成功率与在模拟周期4–6附近观察到的漏洞集群紧密吻合。有趣的是偏移量为0个周期在特定的毛刺宽度1.63 µs下产生了显著的成功率。在执行后期物理偏移为5个周期对应于ARMORY周期26–27在施加较长毛刺宽度时产生了高成功率。与RC信号丢失场景一致增加毛刺宽度提高了可利用故障和硬故障触发复位的可能性。(a) 1.59 µs(b) 1.63 µs(c) 1.66 µs(d) 1.69 µs(e) 1.72 µs图12​ 电池临界场景中聚合故障结果成功、复位与外部偏移的分布。V-C3 故障效果关联将模拟的故障效果图13映射到观察到的物理硬件效果图14揭示了细微的执行行为。在模拟中在周期4–6注入的故障导致无操作的频率略高于其他两类且无效状态的实例为零。在硬件实验中偏移1无操作仍然是最突出的结果但也观察到了几个无效状态。这种差异证实了我们方法论的约束由于毛刺引起的电压不稳定是持久的实际的指令故障可能不可预测地在执行流水线的后期触发导致这些物理无效状态。对于模拟周期26–27数据显示无操作是主要结果其次是正确操作但带有其他错误字段。然而在物理实验中偏移5更容易诱发这种次要状态在硬件发现中记录为RTL元数据错误。图13​ 电池临界场景中按行为结果分类的故障效果时间分布(a) 1.59 µs (偏移 0-3)(b) 1.63 µs (偏移 0-3)(c) 1.66 µs (偏移 0-7)(d) 1.69 µs (偏移 0-7)(e) 1.72 µs (偏移 0-7)图14​ 电池临界场景中特定观察到的故障安全操作模式和结果与外部偏移的分布。V-D 场景3电池电量低紧急此场景评估与更广泛的故障安全模块代码协同工作的电池电量故障安全功能。在紧急状态下PX4建议配置系统使用降落模式命令无人机立即降落。如果观察到的行为偏离预期的立即降落协议则认为故障成功。V-D1 软件模拟发现ARMORY与之前孤立的测试不同此模拟图15从switch-case函数标签开始包含了更广泛的执行上下文。在注入的26,976个故障中1,363个导致了可利用的结果。最突出的故障活动发生在跟踪的早期周期0到73直接对应于电池辅助函数的执行。此后跟踪进入一个处理循环反映在大约130到370个时钟周期之间的故障活动循环模式中。图15​ 电池紧急场景中成功故障的时间分布当仅提取辅助函数进行聚焦分析时图16可利用的结果 heavily 集中在初始时钟周期3到7和窗口的后期部分45到64主要由针对寄存器和指令的位翻转故障驱动。图16​ 电池紧急场景中辅助函数执行窗口内成功故障的时间分布V-D2 硬件验证由于此场景在目标函数之前包含了额外的故障安全逻辑因此需要调整时间对齐。直到偏移量为15个时钟周期才记录到成功的物理利用。如图17所示当测试窗口缩小到物理偏移13到21个周期时在一个4个周期的窗口内以ChipWhisperer时序出现了密集的物理故障集群。应用时钟比率这对应于STM32框架内大约21个时钟周期逻辑上与ARMORY模拟中识别的高度脆弱的45到64时钟周期窗口对齐。(a) 1.69 µs(b) 1.72 µs(c) 1.75 µs(d) 1.78 µs图17​ 电池紧急场景中聚合故障结果成功、复位与外部偏移的分布。V-D3 故障效果关联评估利用的严重性图18最常观察到的物理响应是无/禁用和警告。这表明在辅助逻辑内的几乎任何脆弱点诱发故障都能成功降低系统触发紧急降落的能力。此外如硬件实验结果图19详述最突出的故障诱发结果是无。在紧急电池电量期间迫使飞行控制器进入完全无行动状态被证明是此场景中最可靠且最具破坏性的利用。图18​ 电池紧急场景中按行为结果分类的故障效果时间分布(a) 1.69 µs(b) 1.72 µs(c) 1.75 µs(d) 1.78 µs图19​ 电池紧急场景中特定观察到的结果与外部偏移的分布。V-E 电压毛刺对PX4系统行为的影响表II电压毛刺影响的模拟结果场景毛刺后行为预期行为RC信号丢失保持返航电池临界保持返航电池紧急降落降落我们使用Gazebo Classic模拟器在软件在环仿真中评估了成功电压毛刺对PX4系统的影响。为了模拟成功电压毛刺的效果我们手动将选定的故障安全操作强制设置为无从而丢弃故障安全逻辑选择的行为。在RC信号丢失和电池临界场景下伪毛刺成功扰乱了预期的RTL行为。然而在电池紧急场景下毛刺并未阻止系统降落这表明在PX4系统中降落控制逻辑的优先级高于RTL。结论本文提出了一种新颖的、高度本地化的针对无人机UAV的物理威胁模型一种自主、离散的电压毛刺植入物旨在绕过关键的飞行控制器故障安全机制。为了验证此威胁的可行性我们采用了严格的两阶段方法将通过ARMORY软件模拟识别的机器码级别漏洞与使用ChipWhisperer设备攻击基于STM32的飞行控制器板收集的经验性故障注入数据进行关联。我们在三个关键的PX4故障安全场景中的评估证明了此攻击向量的严重实用性。研究结果揭示了时间敏感型漏洞在这些漏洞中精确注入的故障可靠地损坏了故障安全辅助逻辑内的关键指令执行。最令人担忧的是物理实验揭示了硬件完全绕过预期安全协议的强烈倾向。此外这些物理实验暴露了系统对引发硬故障异常的扩展瞬态故障的脆弱性这些复杂的物理行为仅通过ARMORY是无法观察到的这强调了基于硬件的经验性分析的绝对必要性。最终能够使无人机的最后一道防线失效突显了当前飞行控制器架构中的一个关键盲点表明未来的缓解策略必须采用硬件-软件协同设计来保护底层处理器。