Развлекательные системы в самолетах оказались уязвимы для взлома - исследование

Развлекательные системы Panasonic Aero, используемые в пассажирских самолетах многими авиакомпаниями, оказались уязвимы для взлома.

К такому выводу пришел Рубен Сантамарта, исследователь в компании по кибербезопасности IOActive, сообщает веб-портал N+1 со ссылкой на блог исследователя.

Для безопасности полета обнаруженные уязвимости угрозы не представляют, однако с их помощью злоумышленники могут подменять данные о полете, выводимые на экраны развлекательных систем, управлять индивидуальным освещением в салоне и даже похищать данные кредитных карточек пассажиров.

Все существующие компьютерные системы в той или иной степени уязвимы для хакерских атак. Обнаруживаемые уязвимости обычно быстро исправляются производителями и устраняются с каждым новым обновлением. Тем не менее, даже регулярное обновление программного обеспечения не делает систему принципиально не взламываемой, но усложняет хакерам поиск новых еще не устраненных уязвимостей. В некоторых случаях успешному взлому способствует халатное отношение самих производителей к безопасности.

Согласно исследованию Сантамарты, во время одного из полетов из Варшавы в Дубай ему случайно удалось вывести отладочную информацию на экран мультимедийной системы Panasonic Aero, встроенной в спинку переднего пассажирского кресла. Отладочная информация, в частности, содержала себе данные об установленной на устройство прошивке, разрешении экрана и сетевом адресе в локальной сети самолета. По названию прошивки исследователю удалось найти в интернете сайт с обновлениями микропрограмм для Panasonic Aero.

Благодаря обнаруженному сайту, Сантамарта узнал, что устройства Panasonic Aero используются на самолетах большого числа авиакомпаний, включая Virgin, Emirates, American Airlines, KLM и FinnAir. Обновления для прошивок развлекательных систем были каталогизированы по названиям авиакомпаний. По данным Сантамарты, прошивки до сих пор можно скачать с сайта, хотя производитель и убрал открытый доступ к каталогу. Скачав файлы микропрограмм, исследователь сумел изучить их структуру.

Выяснилось, что системы Panasonic Aero работают на ядре Linux, а все дополнительное оборудование — дистанционные пульты, клавиатуры, индивидуальное освещение и кондиционирование (состав системы может меняться в зависимости от заказа авиакомпании) — управляется посредством дополнительно установленных скриптов. При этом с точки зрения безопасности вся система практически не оптимизирована, так что злоумышленник может получить доступ к индивидуальному устройству, так и к центральному серверу Panasonic Aero.

По данным исследователя, обнаруженные им уязвимости в программном обеспечении позволят злоумышленнику воспользоваться платными услугами бесплатно, получить доступ к любому файлу в системе и провести атаку на систему методом SQL-инъекции. Последняя атака наиболее опасна, поскольку может позволить хакеру взять под контроль любое устройство Panasonic Aero на борту самолета, получить доступ к серверу этой системы и к личным данным пассажирам, хранящимся на сервере, включая данные о кредитных карточках.

Кроме того, взломав систему злоумышленник сможет отправлять внутренние сообщения пассажирам на модули Panasonic Aero в спинках кресел, управлять индивидуальным освещением (лампами на креслами пассажиров), а также подменять полетную информацию, отображаемую на экранах развлекательных систем, включая скорость и высоту полета, а также пункт назначения. Наконец, через систему Panasonic Aero хакер может получить доступ к устройствам пассажиров, подключенных к ней, например, посредством Wi-Fi.

В целом для безопасности полета обнаруженные исследователем уязвимости угрозы не представляют. Дело в том, что на современных пассажирских самолетах действуют четыре компьютерных сети, две из которых физически изолированы от двух других. Речь идет о сетях управления самолетом и его оборудованием, сбора и обработки полетных данных, бортовой развлекательной системы и для устройств пользователей. Первые две изолированы, а последние — имеют физическую связь через шлюз.