Приложение для Android позволяет его обладателю на расстоянии управлять воздушным судном, в том числе изменять курс полета лайнера и его скорость.
Приложение для Android позволяет его обладателю на расстоянии управлять воздушным судном, в том числе изменять курс полета лайнера и его скорость.
Хакеры нашли возможность перехватить управление современным авиалайнером при помощи обычного смартфона на базе Android. Сенсационный доклад, демонстрирующий уязвимость бортовых компьютеров самолетов, которые могут быть взломаны в любой момент, был представлен на конференции по компьютерной безопасности в Амстердаме Hack In The Box.
Опыт поставил пилот коммерческой авиации с 12–летним стажем Хуго Тесо, который работает консультантом по вопросам безопасности в одной из немецких компаний.
Тесо работает в ИТ–индустрии последние 11 лет, но его опыт коммерческого пилота позволило ему совместить две своих профессии и изучить состояние дел с безопасностью авиационных компьютерных систем и коммуникационных протоколов. Воспользовавшись преимуществом двух новых авиационных систем для обнаружения уязвимости, сбора информации и эксплуатации, создав фреймворк (SIMON) и приложение для Android (PlaneSploit), которые доставляют атакующее сообщение системе управления полетом самолета (Flight Management Systems), он продемонстрировал возможность получить полный контроль над самолетом, заставив виртуальный самолет «танцевать под свою дудку».
Одна из двух технологий, которыми он злоупотребил, является Automatic Dependent Surveillance–Broadcast (ADS–B). Она посылает информацию о каждом самолете (идентификатор, текущую позицию, высоту и т.д.) через бортовой передатчик диспетчеру воздушного движения, позволяя самолетам, оснащенным этой системой, получать полетную и погодную информацию о всех других судах, находящихся сейчас в воздухе в текущем районе. Вторая – это Aircraft Communications Addressing and Reporting System (ACARS), которая используется для обмена сообщениями между самолетом и диспетчером по радио или через спутник, а также для того, чтобы автоматически доставлять в центр информацию о каждой фазе полета.
Тесо на конференции показал некоторый функционал своего приложения:
• полет к заданной хакером точке;
• задание фильтров – точек в пространстве, при приближении к которым самолет будет делать что–либо;
• встреча с землей;
• оповещение пилотов о неполадках.
Тесо по понятным причинам не разгласил много подробностей об инструментах, которые он использовал для атаки, и уязвимостях, которые еще предстоит пофиксить. Однако он отмечает, что был приятно удивлен реакцией отрасли на свои исследования, которая не стала отрицать их наличие, а обещала помочь ему в его исследованиях.