Pen Test Partners’ın beyaz şapkalı bilgisayar korsanları, Airbus’ın Flysmart+ Manager paketinde kritik bir sorun tespit etti ve bu sorun, ilk açıklamadan 19 ay sonra düzeltildi.
Penetrasyon testi firması Pen Test Partners’taki siber güvenlik araştırmacıları, çeşitli elektronik uçuş çantası (EFB), IoT ve araç uygulamalarının güvenliğini test ediyor Birkaç yıldır. Kapsamlı araştırmaları sonucunda Airbus’ın Flysmart+ Manager paketinde önemli bir sorun tespit edildi ve ilk açıklamadan 19 ay sonra düzeltildi.
LACİVERTAirbus’a ait bir BT hizmetleri şirketi olan Airbus, havayolu verilerini EFB’ler dahil diğer uygulamalara senkronize eden ve yükleyen iPad için Flysmart+ Manager uygulamasını geliştirdi. Pentestpartners’ın bir raporuna göre, bu uygulamanın devre dışı bırakılmış bir güvenlik kontrolü var ve bu da uygulamanın güvenli olmayan yöntemler kullanarak sunucularla iletişim kurmasına olanak tanıyor ve potansiyel olarak bir saldırganın uçak performans verilerini değiştirmesine veya havaalanı bilgilerini ayarlamasına olanak tanıyor.
Bilginiz olsun diye söylüyorum, Flysmart+ pilot EFB’lere yönelik bir uygulama paketidir. EFB’ler, kritik uçuş verilerini ve bilgilerini depolamak için çok önemlidir, ancak operasyonları aksatmak veya uçak sistemlerini tehlikeye atmak için kullanılabilirler. Havayolu EFB’leri, bilinen pilot konaklama otelleri nedeniyle güvenilmeyen ağlara maruz kalabilir ve standart işletim prosedürleri, kurcalamayı tespit edemeyebilir.
1 Şubat 2024’te yayınlanan araştırma, ortaya çıkarır paketin iOS uygulamalarından birinde Uygulama Aktarım Güvenliği (ATS) özelliğinin kasıtlı olarak devre dışı bırakıldığı. Bu sorun, onu Wi-Fi engelleme saldırılarına açık hale getiriyor ve potansiyel olarak motor performansı hesaplamalarını değiştirerek kuyruk saldırısına veya pist dışına çıkmaya yol açıyor.
Flysmart+ uygulaması, şifrelenmemiş iletişimleri önleyen ATS korumasının olmaması nedeniyle daha önce devre dışı bırakılmıştı. Bu güvenlik açığı, saldırganların aktarım sırasında hassas bilgilere müdahale etmesine ve şifrelerini çözmesine olanak tanır. ATS’nin devre dışı bırakılması nedeniyle güvenli olmayan iletişim meydana gelir ve bu da uygulamayı müdahaleye açık hale getirir. info.plist dosyasındaki bir giriş, herhangi bir etki alanına güvenli olmayan HTTP yüklemelerine izin verir.
Havayolları, konaklama pilotları için sıklıkla aynı oteli kullanıyor ve saldırganların, hedeflenen Wi-Fi ağları aracılığıyla uçak performans verilerini değiştirmesine olanak tanıyor. Bunun nedeni, konaklama otellerindeki pilotların, kullanacakları havayolu şirketi ve EFB uygulamaları paketiyle birlikte kolayca belirlenebilmesidir.
Bu, Pen Test Ortaklarının, uçak bilgileri ve kalkış performans verilerini (PERF) içeren SQLite veritabanları da dahil olmak üzere, belirli tablo adlarıyla NAVBLUE Sunucularından verilere erişmesine yardımcı oldu.
Minimum Ekipman Listesi (MEL) ve Standart Aletli Kalkış (SID) dahil olmak üzere veritabanı tablolarının uçak performansı için çok önemli olduğunu belirtmekte fayda var. MEL ve SID’deki yanlış anlamalar, Gimli Planörde yakıt yetersizliği gibi güvenlik sorunlarına yol açabilir. ABD galonu, İngiliz galonu, litre, kilogram ve pound gibi birimler arasındaki karışıklık da güvenlik sorunlarına neden olabilir.
“Şimdi Boeing, Lufthansa ve Airbus ile açıklamalar üzerinde çalıştık. Havacılık emniyeti ve güvenliği açısından bir kazanç olan güvenlik açığının başarıyla kapatılmasından gerçekten memnunuz.”
Antonio Cassidy – Kalem Testi Ortakları
Araştırmacılar, güvenlik açığı raporunu 28 Haziran 2022’de Airbus ile paylaştı ve ertesi gün Airbus, sorunu doğruladı. Şirket, 25 Temmuz 2022 itibarıyla sorunu tekrarladı ve 2022 sonuna kadar Flysmart+’ın bir sonraki sürümü için bir düzeltme sözü verdi.
22 Şubat 2023’te Airbus VDP ekibi, sorunun Flysmart+’ın en son sürümünde düzeltildiğini doğruladı ve etki azaltma önlemi 26 Mayıs 2023’te müşterilere iletildi. Bulgular, 2023’te Las Vegas’taki DEF CON 31’de sunuldu. Dublin’deki Havacılık ve Uzay Köyü ve Havacılık ISAC’ta.
İLGİLİ KONULAR
- Muhabirin E-postası Uçakta Hacklendi
- Küçük uçaklar hacklenmeye karşı savunmasız olduğu için uyarı
- Akıllı alarm kusuru, bilgisayar korsanlarının araba motorunu takip etmesine ve kapatmasına olanak tanıyor
- Smartwatch kusuru, bilgisayar korsanlarının demans hastalarına aşırı doz vermesine izin veriyor
- Uçaklarda WiFi Sağlayan Cihazlarda Kritik Kusurlar Bulundu