Pek çok havayolu pilotunun kritik uçuş planlaması amacıyla kullandığı mobil uygulama, içerdiği devre dışı bırakılan güvenlik özelliği nedeniyle güvenli kalkış ve iniş prosedürlerini etkileyebilecek saldırılara açıktı.
LACİVERTUygulamayı geliştiren Airbus’a ait BT hizmetleri şirketi, geçen yıl İngiltere merkezli Pen Test Partners’taki (PTP) araştırmacıların şirketi konu hakkında bilgilendirmesinin ardından sorunu düzeltti.
Ve bu hafta PTP bulgularının ayrıntılarını yayınladı Airbus’ın uygulamayı başarılı bir şekilde iyileştirmesinin ardından.
Elektronik Uçuş Çantası Uygulamaları
Güvenlik açığı, Elektronik Uçuş Çantası (EFB) platformları olarak adlandırılan daha geniş bir Flysmart+ uygulamaları paketinin parçası olan Flysmart+ Manager uygulamasında mevcuttu. Temel olarak bir EFB cihazı (genellikle bir iPad veya başka bir tablet bilgisayar) Uçuş mürettebatının uçuş planlama hesaplamaları için kullandığı uygulamaları barındırır ve kullanım kılavuzları, seyir haritaları ve uçak kontrol listeleri gibi çeşitli dijital belgelere erişim için. Bazı EFB’ler doğrudan modern uçakların aviyonik sistemlerine entegre edilir ve gerçek zamanlı hava durumu bilgileri sağlamak ve uçağın navigasyon sistemleri üzerindeki konumunu takip etmek gibi bir dizi daha karmaşık özellik sağlar.
Flysmart+ özellikle NAVBLUE’ya göre uçak performansı, ağırlık ve dengeyle ilgili hesaplamalara yardımcı olan bir iOS uygulamaları paketidir. Airbus’ın standart işletim prosedürleriyle tamamen entegre olabiliyor, uçuşun tüm aşamalarında kullanılabiliyor ve pilotlara çeşitli aviyonik parametrelere erişim sağlıyor. Pen Test Partners’ın güvenlik sorununu bulduğu Flysmart+ Manager uygulaması, Flysmart+ paketi genelinde verilerin senkronizasyonunu sağlayan bir uygulamadır.
Devre Dışı Güvenlik Ayarı
Pen Test Partners’tan araştırmacılar, Flysmart+ Manager’da, uygulamayı HTTPS kullanmaya zorlayacak bir Uygulama Aktarım Güvenliği (ATS) özelliğinin etkinleştirilmediğini buldu. Uygulamanın herhangi bir sertifika doğrulama biçimi de yoktu, bu da uygulamayı açık ve güvenilmeyen ağlarda müdahaleye açık hale getiriyordu. PTP bu haftaki raporunda, “Bir saldırgan, bu zayıflığı, aktarım sırasında potansiyel olarak hassas bilgilere müdahale etmek ve şifrelerini çözmek için kullanabilir.” dedi.
Kalem testi firmasının ortaklarından Ken Munro, en büyük endişenin uygulamaya yönelik saldırı potansiyeli ile ilgili olduğunu ve bu saldırıların sözde pist gezilerine (ya da sapmalara ve pistten çıkmalara) ve kalkışta olası kuyruk saldırılarına neden olabileceğini söylüyor. Munro, “EFB, kalkış için motorlardan gereken gücü ve ayrıca iniş sırasında gerekli frenlemeyi hesaplamak için kullanılıyor” diyor. “Eksik ATS ayarının bir sonucu olarak, pilotlara verilen verilere potansiyel olarak müdahale edilebileceğini gösterdik. Bu veriler, bu ‘performans’ hesaplamaları sırasında kullanıldı, böylece pilotlar yetersiz güç uygulayabilir veya yeterli frenleme eylemi gerçekleştiremezdi. ,” diyor.
Flysmart+ Manager’daki ATS sorunu, PTP’nin son yıllarda EFB’lerde ortaya çıkardığı çeşitli güvenlik açıklarından yalnızca bir tanesidir. Örneğin Mayıs 2023’te firma bir rapor yayınladı. bütünlük denetimi atlama hatası Lufthansa EFB’nin Lido eRouteManual adlı uygulamasında, saldırganlara, uygulamayı kullanan pilotların aldığı uçuş planlama verilerini değiştirmenin bir yolu verildi. Temmuz 2022’de PTP’deki araştırmacılar bunu nasıl yapabileceklerini gösterdiler. EFB’deki kılavuzları değiştirme Uçak kanatlarında buz çözme prosedürlerinin etkinliği ile ilgili.
İstismarı Zor
Pratik açıdan bakıldığında, PTP’nin Airbus EFB’de tespit ettiği engelli ATS ayarı sorununun istismar edilmesi pek de kolay değildi. Saldırganın bunu başarabilmesi için öncelikle güvenlik açığı bulunan uygulamanın bulunduğu EFB’nin Wi-Fi menzilinde olması gerekiyordu. Daha da önemlisi, saldırı yalnızca uygulama güncellemesi sırasında mümkün olabilirdi; yani tehdit aktörünün, süreç sırasında kötü amaçlı kodlarını ekleyebilmesi için güncellemenin ne zaman gerçekleştiğini bilmesi gerekecekti.
PTP’ye göre bu koşullar pilotların konaklamaları sırasında meydana gelebilir. Firma, “Havayolu EFB’leri, pilot konaklama otellerinin iyi bilindiği ve her gece tutarlı bir şekilde kullanıldığı göz önüne alındığında, güvenilmeyen ağlar üzerinde müdahaleye maruz kalabilir” dedi.
Munro, cihazların elektronik listelerini de içermesi nedeniyle pilotların genellikle bekleme sırasında EFB’lerini yanlarında getirdiğini söylüyor. Yani saldırgan bir oteldeki cihazın Wi-Fi kapsama alanı içindeyse potansiyel olarak bir saldırı başlatabilir. “ATS’nin eksik olması, Wi-Fi üzerinden ortadaki adam saldırısına izin verecektir; bu noktada saldırgan, tahrif edilmiş bir veritabanı güncellemesini EFB’ye iletebilir” diyor.
Bir saldırı yalnızca uygulama güncellemesi sırasında gerçekleşebilirken, bu tür güncellemelerin düzenli olarak gerçekleşmesi gerektiğini de ekliyor. Munro, bunun başarılı bir saldırı olasılığını artırdığını belirtiyor. “Havacılık sektörünün bir tuhaflığı, yazılımın yasal kalması için her 30 günde bir güncellenmesi GEREKLİ olduğu anlamına geliyor” diyor. “Havaalanında konaklama otellerinin bilindiği ve her gece her birinde çok sayıda pilotun kalacağı göz önüne alındığında, olasılıklar ve pratiklik artmaya başlıyor.”