Сотрудник компании IOActive Рубен Сантамарта (Ruben Santamarta) опубликовал в официальном блоге IOActive объемный доклад об уязвимостях, которые ему удалось обнаружить в бортовых развлекательных системах (In-Flight Entertainment, IFE), созданных разработчиками Panasonic Avionics.
По словам исследователя, на борту самолета хакер может перехватить управление над системой громкой связи, освещением и дисплеями, предназначенными для пассажиров. В некоторых случаях злоумышленник может даже получить доступ к информации о банковских картах пассажиров. При этом IFE-системы Panasonic используют тринадцать крупнейших авиакомпаний, в числе которых Emirates, Air France, United, American Airlines, Virgin и Qatar.
Все найденные векторы атак Сантамарта продемонстрировал на видео. Три ролика, которые можно увидеть ниже, показывают работу SQL-инъекции, обход проверки банковской карты, а также получение доступа к произвольному файлу. Исследователь заявил, что еще в прошлом году сообщил о проблемах представителям Panasonic, но так и не получил никакого ответа. Публично раскрыть данные об уязвимостях он решил в силу того, что «прошло уже достаточно времени для создания и применения патчей, по крайне мере для наиболее серьезных уязвимостей».
В своем докладе Сантамарта пишет, что атакующий может не только собрать данные пассажиров и взломать информационно-развлекательные системы, но в теории сможет получить доступ к другим, куда более критичным системам воздушного судна, если те не отгорожены от IFE должным образом. Исследователь считает, что «теоретически такое возможно, за счет физического доступа», хотя признает, что на практике этого не проверял.
Хотя исследователь описывал лишь теории, которые практически нереально осуществить на практике, множество СМИ отреагировали на доклад IOActive очень остро, выпустив материалы с заголовками в духе «Хакер может перехватить контроль над самолетом через развлекательные системы» (1, 2, 3, 4).
Паника, которую подняли СМИ, вынудила представителей компании Panasonic очень оперативно выпустить официальное заявление о происходящем. Представители компании подвергли IOActive и Сантамарту резкой критике, из-за того что в отчете исследователя реальные баги смешались с гипотетическими сценариями атак, которые вряд ли возможны на практике. Более того, как оказалось, все обнаруженные специалистом проблемы, были исправлены еще в прошлом году, после того как разработчики получили баг репорты Сантамарты (не совсем ясно, почему об этом не уведомили представителей IOActive).
«Заявления, появившиеся в прессе, после отчета IOActive о системах in-flight entertainment (IFE), разработанных Panasonic Avionics Corporation (“Panasonic”), содержат неточности и недостоверные данные о работе систем Panasonic. Эти ложные заявления и неточности ставят под вопрос многие утверждения, сделанные IOActive.
Что особенно важно, IOActive умышленно решили сделать ряд вводящих в заблуждение, провокационных заявлений, предположив, что хакеры «теоретически» могут перехватить контроль над самолетом, взломав IFE-системы Panasonic. В Panasonic категорически не согласны с предположениями IOActive о том, что подобные атаки возможны. Мы призываем IOActive прояснить ситуацию, указав, что их отчет не подразумевает подобных выводов», — пишут представители Panasonic.
Кроме того, в компании заявили, что Сантамарта ошибается и похитить данные чужих банковских карт нельзя, так как исследователь «сделал ряд некорректных допущений о том, где хранится информация о банковских картах и как она зашифрована». Также представители Panasonic заверили, что в ходе «несанкционированных эксплуатационных испытаний» исследователя, некоторые из которых тот проводил прямо на борту самолета, безопасности и комфорту других пассажиров ничто не угрожало, так как IFE-системы всегда надежно отделены от всего остального.