03.02.2024 | Airbus: "Простите, мы больше не будем". История одной халатности |
Специалисты из компании Pen Test Partners , которые в течение нескольких лет проводили комплексные исследования безопасности авиационных решений, выявили серьезную уязвимость в пакете приложений Flysmart+ Manager от корпорации Airbus . Эта проблема создавала риски для безопасности полетов, однако была устранена только спустя 19 месяцев после ее первоначального обнаружения экспертами. Приложение Flysmart+ Manager для iPad было разработано компанией NAVBLUE, подразделением Airbus. Оно предназначено для синхронизации и установки актуальных авиационных данных на электронные планшеты пилотов (EFB), а также другие программы и устройства. Как выяснили специалисты Pen Test Partners , в Flysmart+ Manager был намеренно отключен один из основных механизмов безопасности. Из-за этого приложение могло обмениваться данными с серверами по незащищенным каналам, что открывало широкие возможности для хакерских атак. Электронные планшеты пилотов (EFB) используются для хранения и оперативного доступа к важной информации, необходимой для выполнения полётов. Однако во время стоянок в аэропортах и отелях, используя уязвимость, к ним можно было получить доступ через Wi-Fi сети. При этом, скорее всего, вмешательство осталось бы незамеченным, так как стандартные процедуры авиакомпаний не рассчитаны на обнаружение подобного рода угроз. В iOS-версии Flysmart+ Manager была отключена защита App Transport Security (ATS). Благодаря проведенному анализу, специалистам Pen Test Partners удалось получить доступ к конфиденциальным данным на серверах NAVBLUE. В числе прочего они смогли изучить структуру баз данных SQLite, содержащих важнейшие сведения о характеристиках самолётов и параметрах взлётной производительности. Таблицы критически важны для корректного расчёта возможностей воздушного судна, особенно при взлете и посадке. Например, ошибки в таблицах минимального перечня оборудования или стандартных процедур вылета могут привести к опасным инцидентам, связанным с недостатком топлива. Искаженные расчеты производительности двигателя спровоцируют, например, выезд за пределы взлетно-посадочной полосы, и это самый безобидный сценарий. "Мы уже сотрудничали с Boeing, Lufthansa и Airbus по вопросам уязвимостей. И очень рады, что проблема была успешно устранена – это значительное достижение в области безопасности и защиты в авиации", - говорят исследователи. Отключение ATS также позволяло злоумышленникам перехватывать и дешифровать любую конфиденциальную информацию. После сообщения об уязвимости, отправленного в Airbus 28 июня 2022 года, компания признала проблему и пообещала устранить её в следующей версии Flysmart+ Manager до конца 2022 года. 22 февраля 2023 года эксперты Airbus официально подтвердили, что приложение обновлено и самолетам больше ничего не грозит. 26 мая того же года подробная информация о решении проблемы была передана заказчикам корпорации. Результаты исследования были представлены специалистами Pen Test Partners на крупных конференциях, посвящённых вопросам кибербезопасности, включая DEF CON 31 в Лас-Вегасе. Основной темой выступления стал подробный анализ обнаруженной уязвимости и хронология ее устранения компанией Airbus. Также специалисты Pen Test Partners представили результаты на мероприятиях Aerospace Village и Aviation ISAC, организованных в 2023 году в Дублине.
|
Проверить безопасность сайта