黑客揭露空客EFB应用漏洞，飞行数据面临风险

多年来，渗透测试公司Pen Test Partners的网络安全研究人员致力于测试各种电子飞行包（EFB）、物联网和车载应用程序的安全性。基于深入研究，他们发现了空客Flysmart+管理套件中的一个重要漏洞，并在漏洞披露后的19个月内进行了修复。

Flysmart+ 是空客旗下的IT服务公司NAVBLUE专为飞行员电子飞行包（EFB）设计的应用程序套件，用于同步和安装航空公司数据到其他应用中。而电子飞行包主要用于存储关键的飞行数据和信息，用途尤其重要。

2024年2月1日，Pen Test Partners发表的研究表示，该套件中的一个iOS应用程序故意禁用了应用传输安全（ATS）功能。这一问题容易使应用程序受到Wi-Fi拦截攻击，从而干扰发动机性能计算，导致机尾撞击或跑道偏离事故发生，并且现行的标准操作流程可能无法有效检测出任何篡改行为。

之前，Flysmart+应用程序由于缺乏ATS（应用传输安全）保护而被禁用。ATS保护的目的是防止未加密的通信，因为缺乏该功能，不安全的通信就会发生，Flysmart+允许攻击者拦截并解密传输中的敏感信息。在info.plist文件中，一个设置项允许应用程序加载任何域的不安全的HTTP内容。

航空公司通常为中转停留的飞行员安排同一家酒店，使得攻击者可以通过定向的Wi-Fi网络修改飞机的性能数据。Pen Test Partners利用这一机会访问了NAVBLUE服务器上的数据，包括含有飞机信息和起飞性能数据（PERF）的SQLite数据库，以及具有特定表名的数据。

研究员从NAVBLUE服务器下载的数据（来源：Pen Test Partners）

需要注意的是，数据库表对于飞机性能至关重要，包括最小设备清单（MEL）和标准仪表离场程序（SID）。比如吉姆利滑翔机燃油耗尽事件中对MEL和SID的误解。另外，像美国加仑、英制加仑、升、千克和磅单位之间的混淆也可能造成安全问题。

渗透测试合作伙伴安东尼奥·卡西迪表示：“我们已经与波音、汉莎航空和空客合作就安全漏洞进行了披露，并且成功修复这一漏洞，对我们而言，这是航空安全性和保障性的一大进步。”

2022年6月28日，研究人员向空客提交了漏洞报告，空客在次日确认了这一漏洞。直至2022年7月25日，该公司复现了这一漏洞，并承诺将在2022年底之前在Flysmart+新版本中修复此漏洞。

2023年2月22日，空中客车VDP（漏洞披露计划）团队确认已在Flysmart+的最新版本中修复了该漏洞，并于2023年5月26日向客户通报了缓解措施。这些研究成果在2023年于拉斯维加斯举行的DEF CON 31安全会议以及在都柏林的航空村和航空信息共享与分析中心（Aviation ISAC）上进行了展示。

原文来自: freebuf.com