یک برنامه تلفن همراه که بسیاری از خلبانان خطوط هوایی از آن برای اهداف مهم برنامه ریزی پرواز استفاده می کنند، در معرض حملاتی بود که می توانستند به دلیل ویژگی امنیتی غیرفعال موجود در آن، در مراحل برخاست و فرود ایمن اختلال ایجاد کنند.
NAVBLUE، یک شرکت خدمات فناوری اطلاعات متعلق به ایرباس که این برنامه را توسعه داده است، سال گذشته پس از اینکه محققان شرکت Pen Test Partners (PTP) مستقر در بریتانیا این مشکل را به شرکت اطلاع دادند، این مشکل را برطرف کرد.
و این هفته، PTP جزئیات یافته های خود را منتشر کرد پس از اصلاح موفقیت آمیز ایرباس از برنامه.
برنامه های الکترونیکی کیف پرواز
این آسیبپذیری در Flysmart+ Manager وجود داشت، برنامهای که بخشی از مجموعه گستردهتر برنامههای Flysmart+ برای پلتفرمهای به اصطلاح Electronic Flight Bag (EFB) است. یک دستگاه EFB - معمولاً یک iPad یا رایانه لوحی دیگر - اساساً میزبان برنامه هایی است که خدمه پرواز برای محاسبات برنامه ریزی پرواز استفاده می کنند و برای دسترسی به انواع اسناد دیجیتالی مانند دفترچه راهنمای عملیات، نمودارهای ناوبری و چک لیست هواپیما. برخی از EFB ها مستقیماً در سیستم های اویونیک هواپیماهای مدرن ادغام می شوند و مجموعه ای از ویژگی های پیچیده تر دیگر را ارائه می دهند، مانند ارائه اطلاعات آب و هوای لحظه ای و ردیابی موقعیت هواپیما در سیستم های ناوبری.
Flysmart+ به طور خاص مجموعه ای از برنامه های iOS است که طبق NAVBLUE به عملکرد هواپیما، وزن و محاسبات مربوط به تعادل کمک می کند. این می تواند به طور کامل با رویه های عملیاتی استاندارد ایرباس ادغام شود، می تواند در تمام مراحل پرواز مورد استفاده قرار گیرد و خلبانان را به طیف وسیعی از پارامترهای اویونیک دسترسی می دهد. Flysmart+ Manager، برنامهای که Pen Test Partners مشکل امنیتی را در آن پیدا کرد، برنامهای است که همگامسازی دادهها را در مجموعه Flysmart+ امکانپذیر میکند.
غیرفعال کردن تنظیمات امنیتی
محققان Pen Test Partners دریافتند که یک ویژگی App Transport Security Security (ATS) در Flysmart+ Manager که برنامه را مجبور به استفاده از HTTPS میکند، فعال نشده است. این برنامه هیچ گونه اعتبار سنجی گواهی را نیز نداشت، و آن را در معرض رهگیری در شبکه های باز و غیرقابل اعتماد قرار داد. PTP در گزارش این هفته خود گفت: "یک مهاجم می تواند از این ضعف برای رهگیری و رمزگشایی اطلاعات بالقوه حساس در حین انتقال استفاده کند."
کن مونرو، یکی از شرکای شرکت تست قلم، میگوید که بزرگترین نگرانی مربوط به احتمال حملات به برنامه است که میتواند باعث به اصطلاح گشت و گذار در باند فرودگاه شود - یا انحراف و دور زدن - و حملات احتمالی دم در هنگام برخاستن. مونرو میگوید: «EFB برای محاسبه قدرت مورد نیاز موتورها برای خروج و همچنین ترمز مورد نیاز هنگام فرود استفاده میشود. ما نشان دادیم که در نتیجه تنظیمات ATS گم شده، میتوان به طور بالقوه دادههایی را که به خلبانان داده میشود دستکاری کرد. این دادهها در طول این محاسبات «عملکرد» استفاده میشوند، بنابراین خلبانها میتوانند قدرت کافی یا ترمز کافی را اعمال نکنند.»
مشکل ATS در Flysmart+ Manager تنها یکی از چندین آسیب پذیری است که PTP در سال های اخیر در EFB ها کشف کرده است. به عنوان مثال، در ماه مه 2023، این شرکت گزارش داد نقص بای پس بررسی یکپارچگی در یک برنامه Lufthansa EFB به نام Lido eRouteManual که به مهاجمان راهی برای تغییر داده های برنامه ریزی پروازی که خلبانان با استفاده از برنامه دریافت می کردند، می داد. در جولای 2022، محققان PTP نشان دادند که چگونه می توانند کتابچه راهنمای EFB را اصلاح کنید مربوط به اثربخشی روش های یخ زدایی بر روی بال های هواپیما.
سخت برای بهره برداری
از نقطه نظر عملی، مشکل تنظیم ATS غیرفعال که PTP در ایرباس EFB شناسایی کرده بود، به خصوص به راحتی قابل استفاده نبود. برای از بین بردن آن، یک مهاجم ابتدا باید در محدوده Wi-Fi یک EFB با برنامه آسیب پذیر باشد. مهمتر از آن، حمله فقط در طول یک به روز رسانی برنامه امکان پذیر بود - به این معنی که عامل تهدید باید بداند چه زمانی به روز رسانی انجام می شود تا بتواند کد مخرب خود را در طول فرآیند وارد کند.
با توجه به PTP، این شرایط می تواند در طول توقف خلبان رخ دهد. این شرکت میگوید: «EFBهای خطوط هوایی میتوانند در شبکههای نامعتبر در معرض رهگیری قرار گیرند، زیرا هتلهای خلبانی به خوبی شناخته شدهاند و بهطور مداوم هر شب استفاده میشوند.»
مونرو میگوید خلبانها معمولاً EFBهای خود را در حین توقف با خود میآورند، زیرا این دستگاهها فهرست الکترونیکی آنها را نیز دارند. بنابراین، اگر یک مهاجم در محدوده Wi-Fi دستگاه در یک هتل قرار داشته باشد، به طور بالقوه می تواند یک حمله را آغاز کند. او میگوید: «مفقود شدن ATS باعث میشود که یک حمله انسان در وسط از طریق Wi-Fi انجام شود، در این مرحله مهاجم میتواند یک بهروزرسانی پایگاه داده دستکاری شده را به EFB ارسال کند.
او می افزاید در حالی که حمله فقط در حین به روز رسانی برنامه اتفاق می افتد، چنین به روز رسانی هایی باید به طور منظم انجام شوند. مونرو خاطرنشان می کند که این شانس یک حمله موفق را بهبود می بخشد. او میگوید: «یک عجیب و غریب صنعت هوانوردی به این معنی است که نرمافزار باید هر 30 روز یکبار بهروزرسانی شود تا قانونی بماند». با توجه به اینکه هتلهای فرودگاهی شناخته شدهاند و خلبانان متعددی هر شب در هر یک اقامت خواهند داشت، شانس و عملی بودن شروع به افزایش میکند.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/ics-ot-security/crucial-airline-flight-planning-app-interception-risks
- : دارد
- :است
- :نه
- $UP
- 2022
- 2023
- 30
- a
- درباره ما
- دسترسی
- دسترسی
- مطابق
- در میان
- عمل
- اضافه کردن
- می افزاید:
- پس از
- ایرباس
- هواپیما
- شرکت هواپیمایی
- فرودگاه
- معرفی
- اجازه دادن
- همچنین
- an
- و
- هر
- نرم افزار
- کاربرد
- درخواست
- برنامه های
- هستند
- صف
- AS
- کمک می کند
- At
- ATS
- حمله
- مهاجم
- حمله
- حمله
- هوانوردی
- کیسه
- اساسا
- اساس
- BE
- زیرا
- بوده
- بزرگترین
- به ارمغان بیاورد
- گسترده تر
- گذرگاه
- محاسبه
- محاسبات
- نام
- CAN
- علت
- گواهی نامه
- نمودار
- بررسی
- رمز
- شرکت
- پیچیده
- کامپیوتر
- نگرانی
- شرایط
- همواره
- شامل
- موجود
- میتوانست
- بسیار سخت
- داده ها
- پایگاه داده
- روز
- رمزگشایی کنید
- جزئیات
- توسعه
- دستگاه
- دستگاه ها
- DID
- دیجیتال
- اسناد دیجیتال
- مستقیما
- غیر فعال
- do
- اسناد و مدارک
- دو
- در طی
- هر
- ساده
- اثر
- هر دو
- الکترونیکی
- فعال
- را قادر می سازد
- موتورهای حرفه ای
- کافی
- به خصوص
- اتر (ETH)
- هر
- بهره برداری
- قرار گرفتن در معرض
- ویژگی
- امکانات
- شرکت
- نام خانوادگی
- ثابت
- پرواز
- پیروی
- برای
- مجبور
- فرم
- یافت
- از جانب
- کاملا
- به
- داده
- بود
- رخ دادن
- اتفاق می افتد
- سخت
- آیا
- he
- هتل
- هتل ها
- چگونه
- HTTPS
- شناسایی
- if
- را بهبود می بخشد
- in
- صنعت
- اطلاعات
- اطلاع
- وارد کردن
- نمونه
- ناکافی
- یکپارچه
- به
- IOS
- برنامه های iOS
- اپل
- موضوع
- IT
- ITS
- JPG
- جولای
- تنها
- فقط یکی
- دانستن
- شناخته شده
- فرود
- نام
- پارسال
- ترک
- قانونی
- LIDO
- لوفت هانزا
- مخرب
- مدیر
- بسیاری
- ممکن است..
- معنی
- به معنی
- گم
- موبایل
- برنامه موبایل
- مدرن
- تغییر
- بیش
- باید
- نیاز
- ضروری
- شبکه
- شب
- یادداشت
- متعدد
- رخ می دهد
- شانس
- of
- خاموش
- on
- یک بار
- ONE
- فقط
- باز کن
- عملیاتی
- or
- دیگر
- روی
- پارامترهای
- بخش
- شریک
- شرکای
- کارایی
- مربوط
- فاز
- خلبان
- خلبانان
- برنامه ریزی
- سیستم عامل
- افلاطون
- هوش داده افلاطون
- PlatoData
- نقطه
- موقعیت
- ممکن
- پتانسیل
- بالقوه
- قدرت
- عملی
- در حال حاضر
- روش
- روند
- ارائه
- فراهم می کند
- ارائه
- اهداف
- فشار
- محدوده
- زمان واقعی
- اخذ شده
- اخیر
- منظم
- ماندن
- تصفیه
- گزارش
- گزارش
- ضروری
- محققان
- نتیجه
- خطرات
- فهرست
- باند فرودگاه
- s
- امن
- سعید
- می گوید:
- تیم امنیت لاتاری
- حساس
- خدمات
- شرکت خدمات
- محیط
- چند
- نشان داد
- به طور قابل توجهی
- So
- نرم افزار
- برخی از
- به طور خاص
- حمایت مالی
- استاندارد
- دیدگاه
- شروع
- اقامت
- اعتصاب
- موفق
- چنین
- دنباله
- هماهنگ سازی
- سیستم های
- قرص
- برخاست
- آزمون
- تست
- که
- La
- امنیت
- شان
- آنها
- سپس
- اینها
- آنها
- این
- این هفته
- کسانی که
- تهدید
- به
- پیگردی
- عبور
- حمل و نقل
- کشف
- بروزرسانی
- به روز شده
- به روز رسانی
- استفاده کنید
- استفاده
- با استفاده از
- معمولا
- اعتبار سنجی
- تنوع
- آسیب پذیری ها
- آسیب پذیری
- آسیب پذیر
- بود
- مسیر..
- we
- ضعف
- هوا
- هفته
- وزن
- خوب
- چه زمانی
- که
- وای فای
- اراده
- با
- در داخل
- خواهد بود
- سال
- سال بعد
- سال
- زفیرنت