通过舱内娱乐系统短暂控制飞机 - APT防御产品

通过舱内娱乐系统短暂控制飞机

安全研究人员克里斯罗伯茨Chris Roberts上月曾向美国联邦调查局(FBI)承认,他曾通过舱内娱乐系统短暂入侵了飞机的电子监控系统而控制飞机,导致飞机做出了侧向飞行的动作。

一条惹祸的推特

让克里斯惹上麻烦的是一条有他自己发出的推特,他“开玩笑”称控制了飞机。联邦特工立刻发现了这条推特,然后认真评估了克里斯确实具备这种攻击能力。结果飞机降落后, FBI带走了克里斯,约谈了四小时左右,同时没收了其所有电子设备。之后克里斯还被航空公司拒载,差点没参加成RSA大会。

上周五,FBI提交的书面陈述首次公开——克里斯于今年早些时候告诉FBI自己不只一次而是经常在乘飞机时入侵舱内娱乐系统(IFE)。

“在这次谈话过程中,罗伯茨先生说……他在飞机飞行时,利用IFE系统漏洞。在2011年到2014年期间,他大约入侵IFE系统15到20次,他最后一次利用该漏洞的时间为2014年中期。”

他是怎么黑了飞机的?

文件中显示克里斯通过一根经过改装的网线,将自己的笔记本电脑连接到了飞机上的IFE系统,从而使他能够访问其他飞机系统。

据报道,在乘坐飞机时克里斯重写了飞机上推力管理计算机的代码,从而成功地控制了用以发出上升指令的系统。在发出上升指令(CLB)后,克里斯“引起一个飞机引擎盘升,导致飞机做出了了侧向飞行运动”。

克里斯:并没有系统受到伤害

他通过推特表示,旅行中并没有(飞机的)系统受到受害。此外,克里斯在一个采访中就FBI对其言论的断章取义行为进行了辩解。

克里斯表示他这么做只是为了看飞机上的数据流量,并且他认为此类攻击是可能发生的,因此他才尝试在虚拟环境下进行攻击。

但是克里斯此举还是引起了极大的争议。雅虎首席信息安全官亚历克斯·斯塔莫斯(Alex Stamos)在推特上说:

“你不能一边为这类把几百名无辜乘客置于危险处境的研究辩护,一边宣扬安全研究让人类受益。”

目前,克里斯还未因任何罪名被FBI逮捕。

美联航空漏洞奖励计划:100万英里飞行里程

此安全事件发生以来,美国联合航空公司启动了一项漏洞奖励计划,邀请安全研究人员和白帽子们报告网站及app的漏洞。最高可获100万英里的飞行里程奖励,奖励标准依据提交的漏洞类型而分。

美联航空寻求的是与其网站相关的特定漏洞,而入侵和DDoS系统均属上了“禁飞名单”的攻击行为。其中还包括:暴力破解、代码注入在线系统、入侵或测试别人的飞行里程账户、在飞机上测试航空系统(如娱乐系统或WiFi)、威胁或强迫(勒索)内部工作人员和乘客,以及扫描联合航空的服务器。


转载请注明出处 APT防御产品 » 通过舱内娱乐系统短暂控制飞机

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址