空客应用程序漏洞引入飞机安全风险
空客应用程序漏洞引入飞机安全风险
原创 何威风 祺印说信安 2024-02-13 06:07
安全咨询和测试公司 Pen Test Partners 报告称,入侵空客飞行员电子飞行包 (EFB) 的一套应用程序可能会对飞机安全构成风险。
Flysmart+ 应用程序套件由空客旗下 IT 服务公司 Navblue 开发,可帮助飞行员直接在 iPad 等平板电脑上进行性能计算并访问飞行操作手册。Pen Test Partners 表示,该应用程序有助于“提供高效、安全的航班出发和到达”。
在分析 Flysmart+ Manager iOS 应用程序(该应用程序使用户能够从中央解决方案更新 EFB 应用程序数据套件)时,
Pen Test Partners 发现
它禁用了应用程序传输安全性 (ATS)。
ATS 是为 Apple 平台构建的应用程序中的一项网络功能,它强制使用 HTTPS 来提高安全性,禁用它会导致通过不安全的方法进行通信,从而为中间人 (MitM) 攻击打开了大门。
Pen Test Partners 解释说,该问题允许攻击者查看从 Navblue 服务器下载的数据,这些数据主要由包含飞机信息和起飞性能数据的 SQLite 数据库组成。
该网络安全公司表示,攻击者可能能够“修改飞机性能数据或调整机场信息,例如跑道长度”,这可能导致“起飞时
尾部撞击
或偏离
跑道
”,此类事件可能对飞机造成严重后果。飞机及其乘客。
然而,要发动成功的攻击,威胁行为者必须等待飞行员通过潜在不安全的网络(例如酒店的 Wi-Fi 网络)更新 Flysmart+ EFB 应用程序。
然而,这是可能的,因为航空公司通常在目的地停留时使用同一家酒店,而且飞行员需要每月更新一次 EFB 应用程序以遵守法规。
还需要识别中途停留酒店的飞行员及其航空公司,以确定他们使用的 EFB 应用程序套件。
该问题于 2022 年 6 月报告给空中客车公司。飞机制造商在一个月内确认了该问题,并通知 Pen Test Partners,下一版本的 Flysmart+ 将解决该问题。2023 年 5 月,该公司表示已向客户传达了缓解措施。
—END—
精彩回顾:祺印说信安2024之前
>>>网络安全等级保护<<<
网络安全等级保护:等级保护工作、分级保护工作、密码管理工作三者之间的关系
>>>数据安全系列<<<
**>>>错与罚<<<
北京多家公司因不履行网络安全保护义务被处罚!“两高一弱”仍然是安全隐患重点
全国公安厅局长会议召开 忠实履行神圣职责 为扎实稳健推进中国式现代化贡献公安力量
公安部:纵深推进全面从严管党治警 着力锻造忠诚干净担当的新时代公安铁军
重庆璧山出现比缅甸还恐怖的新型背债人?警方:系某房产中介为博眼球造谣
中信银行被罚400万,涉信息安全风险隐患未得到整改、虚假演练等
公安部召开新闻发布会通报打击黑客类违法犯罪举措成效并答记者问
>>>其他<<<
网络安全团队友情如何增强安全性