গুরুত্বপূর্ণ এয়ারলাইন ফ্লাইট প্ল্যানিং অ্যাপ ইন্টারসেপশন ঝুঁকির জন্য উন্মুক্ত

একটি মোবাইল অ্যাপ যা অনেক এয়ারলাইন পাইলট গুরুত্বপূর্ণ ফ্লাইট পরিকল্পনার উদ্দেশ্যে ব্যবহার করেন এমন আক্রমণের জন্য উন্মুক্ত ছিল যা এতে থাকা একটি অক্ষম সুরক্ষা বৈশিষ্ট্যের কারণে নিরাপদ টেকঅফ এবং অবতরণ পদ্ধতিতে হস্তক্ষেপ করতে পারে।

নেভিব্লু, একটি এয়ারবাস-মালিকানাধীন আইটি পরিষেবা সংস্থা যা অ্যাপটি তৈরি করেছে, যুক্তরাজ্য-ভিত্তিক পেন টেস্ট পার্টনারস (পিটিপি) এর গবেষকরা এই সমস্যা সম্পর্কে কোম্পানিকে অবহিত করার পরে গত বছর সমস্যাটির সমাধান করেছে।

এবং এই সপ্তাহে, PTP তার ফলাফলের বিশদ প্রকাশ করেছে এয়ারবাসের আবেদনের সফল প্রতিকার অনুসরণ করে।

ইলেকট্রনিক ফ্লাইট ব্যাগ অ্যাপস

দুর্বলতা Flysmart+ ম্যানেজারে উপস্থিত ছিল, একটি অ্যাপ যা তথাকথিত ইলেকট্রনিক ফ্লাইট ব্যাগ (EFB) প্ল্যাটফর্মের জন্য Flysmart+ অ্যাপগুলির একটি বিস্তৃত স্যুটের অংশ। একটি EFB ডিভাইস - সাধারণত একটি iPad বা অন্যান্য ট্যাবলেট কম্পিউটার - মূলত ফ্লাইট ক্রুরা ফ্লাইট পরিকল্পনা গণনার জন্য ব্যবহার করে এমন অ্যাপ হোস্ট করে এবং অপারেটিং ম্যানুয়াল, নেভিগেশনাল চার্ট এবং বিমানের চেকলিস্টের মতো বিভিন্ন ডিজিটাল নথি অ্যাক্সেস করার জন্য। কিছু EFB আধুনিক বিমানের এভিওনিক্স সিস্টেমে সরাসরি একত্রিত হয় এবং অন্যান্য জটিল বৈশিষ্ট্যের একটি অ্যারে প্রদান করে, যেমন রিয়েল-টাইম আবহাওয়ার তথ্য প্রদান করা এবং নেভিগেশনাল সিস্টেমে বিমানের অবস্থান ট্র্যাক করা।

ফ্লাইস্মার্ট+ বিশেষ করে আইওএস অ্যাপের একটি স্যুট যা NAVBLUE অনুযায়ী বিমানের কার্যক্ষমতা, ওজন এবং ভারসাম্য-সম্পর্কিত গণনার সাথে সহায়তা করে। এটি এয়ারবাসের স্ট্যান্ডার্ড অপারেটিং পদ্ধতির সাথে সম্পূর্ণরূপে একত্রিত করা যেতে পারে, একটি ফ্লাইটের সমস্ত পর্যায়ে ব্যবহার করা যেতে পারে এবং পাইলটদের অ্যাভিওনিক্স প্যারামিটারের একটি পরিসরে অ্যাক্সেস প্রদান করে। Flysmart+ ম্যানেজার, যে অ্যাপে পেন টেস্ট পার্টনাররা নিরাপত্তা সমস্যা খুঁজে পেয়েছে, সেটি হল একটি অ্যাপ যা Flysmart+ স্যুট জুড়ে ডেটা সিঙ্ক্রোনাইজেশন সক্ষম করে।

অক্ষম নিরাপত্তা সেটিং

পেন টেস্ট পার্টনারদের গবেষকরা দেখেছেন যে Flysmart+ ম্যানেজারে একটি অ্যাপ ট্রান্সপোর্ট সিকিউরিটি (ATS) বৈশিষ্ট্য যা অ্যাপটিকে HTTPS ব্যবহার করতে বাধ্য করবে তা সক্ষম করা হয়নি। অ্যাপটিতে সার্টিফিকেট যাচাইকরণের কোনো ফর্মও ছিল না, এটি খোলা এবং অবিশ্বস্ত নেটওয়ার্কগুলিতে বাধার সম্মুখীন হয়ে পড়ে। "একজন আক্রমণকারী ট্রানজিটে সম্ভাব্য সংবেদনশীল তথ্য আটকাতে এবং ডিক্রিপ্ট করতে এই দুর্বলতা ব্যবহার করতে পারে," পিটিপি এই সপ্তাহে তাদের প্রতিবেদনে বলেছে।

পেন টেস্টিং ফার্মের একজন অংশীদার কেন মুনরো বলেছেন, সবচেয়ে বড় উদ্বেগের বিষয় ছিল অ্যাপটিতে আক্রমণের সম্ভাব্যতা যা তথাকথিত রানওয়ে ভ্রমণের কারণ হতে পারে — বা ভিয়ার-অফ এবং ওভাররান — এবং টেকঅফের সময় সম্ভাব্য লেজ স্ট্রাইক। "EFB প্রস্থানের জন্য ইঞ্জিনগুলি থেকে প্রয়োজনীয় শক্তি গণনা করতে ব্যবহৃত হয়, এছাড়াও অবতরণে প্রয়োজনীয় ব্রেকিং," মুনরো বলেছেন। "আমরা দেখিয়েছি যে, এটিএস সেটিং অনুপস্থিত হওয়ার ফলে, কেউ সম্ভাব্যভাবে পাইলটদের দেওয়া ডেটার সাথে টেম্পার করতে পারে। এই 'পারফরম্যান্স' গণনার সময় সেই ডেটা ব্যবহার করা হয়, তাই পাইলটরা অপর্যাপ্ত শক্তি প্রয়োগ করতে পারে বা পর্যাপ্ত ব্রেকিং অ্যাকশন প্রয়োগ করতে পারে না," তিনি বলেছেন।

Flysmart+ ম্যানেজারে ATS সমস্যাটি সাম্প্রতিক বছরগুলিতে EFB-তে PTP উন্মোচিত কয়েকটি দুর্বলতার মধ্যে একটি মাত্র। 2023 সালের মে মাসে, উদাহরণস্বরূপ, ফার্মটি একটি রিপোর্ট করেছে অখণ্ডতা চেক বাইপাস ত্রুটি Lido eRouteManual নামক একটি Lufthansa EFB অ্যাপে যা আক্রমণকারীদের ফ্লাইট পরিকল্পনা ডেটা পরিবর্তন করার একটি উপায় দেয় যা পাইলটরা অ্যাপ ব্যবহার করে প্রাপ্ত হন। 2022 সালের জুলাই মাসে, PTP-এর গবেষকরা দেখিয়েছিলেন যে তারা কীভাবে পারে একটি EFB এ ম্যানুয়াল পরিবর্তন করুন বিমানের ডানাগুলিতে ডি-আইসিং পদ্ধতির কার্যকারিতা সম্পর্কিত।

শোষণ করা কঠিন

একটি ব্যবহারিক দৃষ্টিকোণ থেকে অক্ষম ATS সেটিং ইস্যু যা PTP এয়ারবাস EFB-তে চিহ্নিত করেছে বিশেষ করে শোষণ করা সহজ ছিল না। এটি বন্ধ করার জন্য, একজন আক্রমণকারীকে প্রথমে দুর্বল অ্যাপের সাথে একটি EFB-এর Wi-Fi সীমার মধ্যে থাকতে হবে। আরও উল্লেখযোগ্যভাবে, আক্রমণটি শুধুমাত্র একটি অ্যাপ আপডেটের সময়ই সম্ভব হতো - যার অর্থ হুমকি অভিনেতাকে জানতে হবে যে আপডেটটি কখন ঘটছে যাতে তারা প্রক্রিয়া চলাকালীন তাদের দূষিত কোড সন্নিবেশ করতে পারে।

পিটিপি অনুসারে, পাইলট লেওভারের সময় এই অবস্থাগুলি ঘটতে পারে। "এয়ারলাইন ইএফবিগুলি অবিশ্বস্ত নেটওয়ার্কগুলিতে বাধার সম্মুখীন হতে পারে কারণ পাইলট লেওভার হোটেলগুলি সুপরিচিত এবং প্রতি রাতে ধারাবাহিকভাবে ব্যবহৃত হয়," ফার্মটি বলেছে৷

পাইলটরা সাধারণত লেওভারের সময় তাদের EFB নিয়ে আসে কারণ ডিভাইসগুলিতে তাদের ইলেকট্রনিক রোস্টারও থাকে, মুনরো বলেছেন। সুতরাং, যদি কোনও আক্রমণকারী কোনও হোটেলে ডিভাইসের Wi-Fi সীমার মধ্যে থাকে তবে তারা সম্ভাব্য আক্রমণ শুরু করতে পারে। "নিখোঁজ ATS Wi-Fi এর মাধ্যমে একজন ম্যান-ইন-দ্য-মিডল অ্যাটাকের অনুমতি দেবে, যে সময়ে আক্রমণকারী EFB-তে একটি টেম্পারড ডাটাবেস আপডেট করতে পারে," তিনি বলেছেন।

যদিও একটি আক্রমণ শুধুমাত্র একটি অ্যাপ আপডেটের সময় ঘটতে পারে, এই ধরনের আপডেটগুলি নিয়মিতভাবে ঘটতে হবে, তিনি যোগ করেন। এটি একটি সফল আক্রমণের সম্ভাবনাকে উন্নত করে, মুনরো নোট করেন। "এভিয়েশন ইন্ডাস্ট্রির একটি ছদ্মবেশের মানে হল যে সফ্টওয়্যারটি আইনি থাকার জন্য প্রতি 30 দিনে একবার আপডেট করা আবশ্যক," তিনি বলেছেন। "বিমানবন্দর লেওভার হোটেলগুলি পরিচিত এবং অসংখ্য পাইলট প্রতি রাতে প্রতিটিতে থাকবেন, প্রতিকূলতা এবং ব্যবহারিকতা যুক্ত হতে শুরু করে।"

• এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
• PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
• প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
• প্লেটোইএসজি। কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
• প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
• উত্স: https://www.darkreading.com/ics-ot-security/crucial-airline-flight-planning-app-interception-risks