空客应用程序漏洞引入飞机安全风险

安全咨询和测试公司 Pen Test Partners 报告称，入侵空客飞行员电子飞行包 (EFB) 的一套应用程序可能会对飞机安全构成风险。

Flysmart+ 应用程序套件由空客旗下 IT 服务公司 Navblue 开发，可帮助飞行员直接在 iPad 等平板电脑上进行性能计算并访问飞行操作手册。Pen Test Partners 表示，该应用程序有助于“提供高效、安全的航班出发和到达”。

在分析 Flysmart+ Manager iOS 应用程序（该应用程序使用户能够从中央解决方案更新 EFB 应用程序数据套件）时，Pen Test Partners 发现它禁用了应用程序传输安全性 (ATS)。

ATS 是为 Apple 平台构建的应用程序中的一项网络功能，它强制使用 HTTPS 来提高安全性，禁用它会导致通过不安全的方法进行通信，从而为中间人 (MitM) 攻击打开了大门。

Pen Test Partners 解释说，该问题允许攻击者查看从 Navblue 服务器下载的数据，这些数据主要由包含飞机信息和起飞性能数据的 SQLite 数据库组成。

该网络安全公司表示，攻击者可能能够“修改飞机性能数据或调整机场信息，例如跑道长度”，这可能导致“起飞时尾部撞击或偏离跑道”，此类事件可能对飞机造成严重后果。飞机及其乘客。

然而，要发动成功的攻击，威胁行为者必须等待飞行员通过潜在不安全的网络（例如酒店的 Wi-Fi 网络）更新 Flysmart+ EFB 应用程序。

然而，这是可能的，因为航空公司通常在目的地停留时使用同一家酒店，而且飞行员需要每月更新一次 EFB 应用程序以遵守法规。

还需要识别中途停留酒店的飞行员及其航空公司，以确定他们使用的 EFB 应用程序套件。

该问题于 2022 年 6 月报告给空中客车公司。飞机制造商在一个月内确认了该问题，并通知 Pen Test Partners，下一版本的 Flysmart+ 将解决该问题。2023 年 5 月，该公司表示已向客户传达了缓解措施。

—END—

原文始发于微信公众号（祺印说信安）：空客应用程序漏洞引入飞机安全风险