安全研究员在飞机上娱乐系统中发现的漏洞之后会发生什么,然后通过建议黑客理论上进一步进一步进一步走动,以控制一些系统来控制一些系统?高戏剧。
Ioactive Security Chinese e Huben Santamarta表示,他发现了几种安全漏洞 - SQL注入(视频),信用卡检查旁路(视频)和任意文件访问(视频) - 在Panasonic Avionics'内娱乐(IFE)系统中。Panasonic的系统由若干航空公司使用,例如美国航空公司,统一和处女,基于一些搜索后他发现的公开的固件更新。Santamarta确实“不相信这些系统可以抵抗熟练的恶意演员的实体攻击。”
一个Ioactive新闻稿读取:
根据Santamarta的说法,一旦IFE系统漏洞已经被开发出来,黑客可能会控制乘客看到和听到飞行屏幕的哪些途径。例如,攻击者可能欺骗飞行信息值,例如高度或速度,或在交互式地图上显示虚假路线。攻击者也可能会损害“Crewapp”单元,它控制PA系统,照明,甚至在头等舱座椅上的躺椅。此外,由于有时提供对特定航空公司的支持“频繁飞行器/ VIP会员数据,如果没有正确康颇,则在技术上也可以捕获个人信息,包括信用卡详细信息,包括信用卡详细信息,包括信用卡详细信息。
添加了Santamarta,“如果所有这些攻击都被束缚,恶意演员至少可以为乘客创造令人困惑和令人讨厌的情况。”
ioactive.如果飞机的数据网络未正确被正确划分为四个域,则可能存在问题。Santamarta在ioactive,“只要有一个连接两个域的物理路径,我们就无法忽略攻击的潜力”。
新闻稿规定:
飞机的数据网络被推定为四个域,具体取决于他们处理的数据类型:乘客娱乐,乘客拥有设备,航空信息服务以及最终飞机控制。物理控制系统通常位于飞机控制结构域中,应与乘客域物理隔离;但是,这一直不会发生这种情况。这意味着只要有一个连接两个域的物理路径,就会有攻击潜力。至于在“乘客娱乐和拥有设备域”和“飞机控制域”之间跨越“红线”的能力,这大量依赖于在目标飞机上部署的特定设备,软件和配置。
Santamarta表示,漏洞是在服务器和客户组件上,但他没有利用错误。
漏洞在2015年3月负责对松下披露。现在,现在是2016年12月,Ioactive认为Panasonic已经有了“足够的时间来生产和部署补丁,至少可以获得最突出的漏洞。”
松下发行愤怒的蒸馏,反驳了Ioactive的报告
在Ioactive发表了其报告后,松下立即击中(PDF),反对“关于松下系统的不准确和误导性陈述”。“高度误导性和炎症陈述”包括“毫无根据,未经证实的结论。”该公司标有Santamarta关于信用卡盗窃的声明,“根本不是真的”。
松下补充说,Ioactive的声明是它的“研究揭示了它也可以理解这种漏洞可能会向更广泛的网络呈现一个切口点,包括飞机控制域名”只能为飞行公众发出错误的警报。“
“根据Panasonic Aviocics Corporation公布的声明,Ioactive给新闻稿的结论不是基于任何实际调查结果或事实。“暗示的潜在影响应该是最佳的理论上的理论上,最差,并且绝对不受任何由Ioactive发现的假设漏洞发现的理由。”
ioactive由其报告代表
但ioactive没有退缩,告诉InfoSecurity杂志:
即使是攻击者能够在连接的生态系统内的技术组件中攻击驻留的遗物(并且声称被声称被讨论)的攻击者(并且声称被声称被讨论)(即,说在一架平面上的IFE)中,并且生态系统是不适合突出并将各个域分离出来,然后在该组件中利用该组件中的漏洞,以便访问生态系统中的其他域在技术上是可行的并且“理论上”非常可能。因此,该研究中的理论陈述不仅是技术上可行和与研究主题相关的理论陈述,但它们对于解释在这种生态系统中的组件中的潜在程度和可能的漏洞可能影响以及对整体方法的需求很重要。在整个生态系统中管理和维护各级的最高安全措施。
在安全研究人员与漏洞中公开上市后,一家公司出来的摇摆并不少见。可能已经避免的高戏剧已经避免了松下通知Ioactive它在2015年5月和2016年5月再次进行了攻击研究,以确保Santamarta先生确定的少数小问题(无论是与飞机的控制相关)完全修复。“
松下呼吁研究人员参加其Bug赏金计划,以便他们可以获得“无限期的访问”,以便为松下产品的“深入安全测试和分析”。
至于Santamarta ......他听起来很沮丧,这么多媒体网点都在扭曲他所说的话。
鲁本圣达塔塔一些疯狂的头条新闻使它听起来像飞机可能会因缺陷而被劫持或坠毁。这可能已经参与了松下发出的强措辞声明。
简而言之,避免任何可能的混乱,看看Santamarta的钝器:
鲁本圣达塔塔版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。