Угон по телефону: Перехватить контроль над самолетом
На конференции по информационной безопасности Hack In The Box, проходившей на этой неделе в Амстердаме, ни один доклад (а среди них было немало весьма интересных) не привлек такого внимания, как выступление Хьюго Тесо (Hugo Teso), посвященное «взлому» системы управления самолета. Для того чтобы перехватить контроль над авиалайнером, Тесо разработал приложение для Android-смартфона и продемонстрировал его эффективность — конечно, не на настоящем самолете, а на виртуальной машине, работающей на том же ПО, что и реальные авиалайнеры. Тесо, используя смартфон, как пульт дистанционного управления, захватил контроль над штурвалом самолета, когда был включен автопилот. В качестве демонстрации возможностей приложения он также активировал систему, выбрасывающую кислородные маски.
PlaneSploit (приложение, разработанное Тесо) использует уязвимости систем ACARS и ADS-B, служащих для связи, навигации, получения метеоданных и других целей. К 2020 году правительство США планирует запретить полеты без ADS-B, однако эта система не защищена как от пассивных (сбор данных, прослушивание), так и от активных (создание помех, изменение передаваемой информации) атак. А система связи ACARS, основанная на приеме и передаче коротких сообщений, не способна отличить подлинное сообщение от подложного. При условии, что эти сообщения настолько просты, что их может составить и послать человек, не обладающий специальными знаниями, а частоты ACARS общеизвестны, это серьезная уязвимость.
Всего за две недели до выступления Тесо представители FAA выразили надежду, что вскоре можно будет ослабить контроль за использованием электронных устройств на борту пассажирских авиалайнеров. Видимо, теперь им придется пересмотреть свою позицию.
По сообщению The Economic Times