春节所到之处的流量,别乱“蹭”;|黑客揭露空客EFB应用漏洞,飞行数据面临风险

发布于 作者:

春节所到之处的流量,别乱“蹭”;|黑客揭露空客EFB应用漏洞,飞行数据面临风险

黑白之道 2024-02-13 08:09

春节所到之处的流量,别乱“蹭”

春节小长假也是外出旅行的必选

去到其他城市

感受不一样的春节风俗

在交通等候区、景区、酒店等场所

全覆盖的免费公共WiFi

让我们随时网上冲浪

“蹭”到wifi,即是
雪中送炭

春节所到之处的流量,别乱“蹭”;|黑客揭露空客EFB应用漏洞,飞行数据面临风险 -3

可是有些

免费公共WiFi

在带来便捷的情况下

它真的安全吗?

春节所到之处的流量,别乱“蹭”;|黑客揭露空客EFB应用漏洞,飞行数据面临风险 -4

有机构通过测试

用手机连接场所提供的

公共免费WiFi

通过特殊的设备

手机所浏览的内容

都清楚的在另一台电脑上显示

甚至银行卡、网络账号密码等

各类个人信息

春节所到之处的流量,别乱“蹭”;|黑客揭露空客EFB应用漏洞,飞行数据面临风险 -5

某地市民张先生,在旅行入住宾馆时,通过搜索链接提供的免费WiFi,页面通过弹窗跳转相关导向性网页,经过点击等填写信息后,第二天午夜时银行卡被盗刷上千元!

另一位网友也讲述称,自己在某场所使用免费Wifi,手机不正常弹窗,之后账户里面的钱被多次小金额转走。

春节所到之处的流量,别乱“蹭”;|黑客揭露空客EFB应用漏洞,飞行数据面临风险 -6

外出的旅行

免费公共WiFi的覆盖

方便着我们的生活

春节所到之处的流量,别乱“蹭”;|黑客揭露空客EFB应用漏洞,飞行数据面临风险 -7

但是

在“蹭”WiF、流量时

网络安全风险不得不防

别让你的个人信息和金钱

暴露在巨大的风险之中

网警提醒

在外需要连接

公共免费WiFi时

一定要注意安全

春节所到之处的流量,别乱“蹭”;|黑客揭露空客EFB应用漏洞,飞行数据面临风险 -9

1、警惕同一地区多个相同相似WiFi

这种情况,很有可能是黑客搭建钓鱼WiFi,以官方WiFi的名称命名,诱骗用户点击,最终截获手机中的密码等高敏感信息。同时公共场所尽量不使用未加密或者无密码的免费公共WiFi。

2、购物支付尽量在手机客户端上用4G、5G网操作

在酒店、景区、购物中心、机场等公共WiFi下最好不要使用涉及支付、财产等相关账户密码,建议切换成手机流量网络。手机网购、银行客户端等多采用如客户端绑定、SSL加密技术
、超时退出等多重加密手段,防止被他人截获,确保交易安全。相比登录网页操作的安全性更高。

3、谨慎使用公共场合的热点,认证官方安全WiFi

酒店、景区、购物中心、机场等官方机构会提供的且有安全验证机制的WiFi,可以找酒店工作人员确认后连接使用。

4、密码要定期更改

如果长期需要连接免费公共WiFi,自己的账号密码、网银密码都要定期修改,防止因其他网站信息泄露而造成支付账户的资金损失,尽量复杂化密码。

5、养成关闭WiFi开关习惯

手机会把使用过的WiFi热点都记录下来,一旦遇到同名的热点就会自动链接。在公共区域不使用WiFi时尽量不要打开WiFi功能,避免在自己不知道的情况下链接上恶意WiFi。

最后

也不必过于紧张

只是要提高自我网络安全意识

保护自己的网络信息安全

春节所到之处的流量,别乱“蹭”;|黑客揭露空客EFB应用漏洞,飞行数据面临风险 -10

黑客揭露空客EFB应用漏洞,飞行数据面临风险

多年来,渗透测试公司Pen Test Partners的网络安全研究人员致力于测试各种电子飞行包(EFB)、物联网和车载应用程序的安全性。基于深入研究,他们发现了空客Flysmart+管理套件中的一个重要漏洞,并在漏洞披露后的19个月内进行了修复。

春节所到之处的流量,别乱“蹭”;|黑客揭露空客EFB应用漏洞,飞行数据面临风险 -11

Flysmart+ 是空客旗下的IT服务公司NAVBLUE专为飞行员电子飞行包(EFB)设计的应用程序套件,用于同步和安装航空公司数据到其他应用中。而电子飞行包主要用于存储关键的飞行数据和信息,用途尤其重要。

2024年2月1日,Pen Test Partners发表的研究表示,该套件中的一个iOS应用程序故意禁用了应用传输安全(ATS)功能。这一问题容易使应用程序受到Wi-Fi拦截攻击,从而干扰发动机性能计算,导致机尾撞击或跑道偏离事故发生,并且现行的标准操作流程可能无法有效检测出任何篡改行为。

之前,Flysmart+应用程序由于缺乏ATS(应用传输安全)保护而被禁用。ATS保护的目的是防止未加密的通信,因为缺乏该功能,不安全的通信就会发生,Flysmart+允许攻击者拦截并解密传输中的敏感信息。在info.plist文件中,一个设置项允许应用程序加载任何域的不安全的HTTP内容。

航空公司通常为中转停留的飞行员安排同一家酒店,使得攻击者可以通过定向的Wi-Fi网络修改飞机的性能数据。Pen Test Partners利用这一机会访问了NAVBLUE服务器上的数据,包括含有飞机信息和起飞性能数据(PERF)的SQLite数据库,以及具有特定表名的数据。

春节所到之处的流量,别乱“蹭”;|黑客揭露空客EFB应用漏洞,飞行数据面临风险 -12

研究员从NAVBLUE服务器下载的数据(来源:Pen Test Partners)

需要注意的是,数据库表对于飞机性能至关重要,包括最小设备清单(MEL)和标准仪表离场程序(SID)。比如吉姆利滑翔机燃油耗尽事件中对MEL和SID的误解。另外,像美国加仑
、英制加仑、升、千克和磅单位之间的混淆也可能造成安全问题。

渗透测试合作伙伴安东尼奥·卡西迪表示:“我们已经与波音、汉莎航空和空客合作就安全漏洞进行了披露,并且成功修复这一漏洞,对我们而言,这是航空安全性和保障性的一大进步。”

2022年6月28日,研究人员向空客提交了漏洞报告,空客在次日确认了这一漏洞。直至2022年7月25日,该公司复现了这一漏洞,并承诺将在2022年底之前在Flysmart+新版本中修复此漏洞。

2023年2月22日,空中客车VDP(漏洞披露计划)团队确认已在Flysmart+的最新版本中修复了该漏洞,并于2023年5月26日向客户通报了缓解措施。这些研究成果在2023年于拉斯维加斯举行的DEF CON 31安全会议以及在都柏林的航空村和航空信息共享与分析中心(Aviation ISAC)上进行了展示。

文章来源 :公安部网安局、freebuf****

精彩推荐

乘风破浪|华盟信安线下网络安全就业班招生中!

web渗透入门基础篇|充电

始于猎艳,终于诈骗!带你了解“约炮”APP