Une application mobile que de nombreux pilotes de ligne utilisent à des fins cruciales de planification de vol était exposée à des attaques qui auraient pu interférer avec les procédures de décollage et d'atterrissage en toute sécurité en raison d'un dispositif de sécurité désactivé qu'elle contenait.
BLEU NAVIGABLE, une société de services informatiques appartenant à Airbus qui a développé l'application, a résolu le problème l'année dernière après que des chercheurs de Pen Test Partners (PTP), basé au Royaume-Uni, ont informé l'entreprise du problème.
Et cette semaine, PTP a publié les détails de ses conclusions suite à la correction réussie de l'application par Airbus.
Applications de sacs de vol électroniques
La vulnérabilité était présente dans Flysmart+ Manager, une application qui fait partie d'une suite plus large d'applications Flysmart+ pour les plates-formes dites Electronic Flight Bag (EFB). Un appareil EFB – généralement un iPad ou une autre tablette – essentiellement héberge des applications que les équipages de conduite utilisent pour les calculs de planification de vol et pour accéder à une variété de documents numériques tels que des manuels d'utilisation, des cartes de navigation et des listes de contrôle d'avion. Certains EFB sont directement intégrés aux systèmes avioniques des avions modernes et offrent un ensemble d'autres fonctionnalités plus complexes, telles que la fourniture d'informations météorologiques en temps réel et le suivi de la position de l'avion sur les systèmes de navigation.
Flysmart+ il s'agit spécifiquement d'une suite d'applications iOS qui facilite les calculs liés aux performances, au poids et au centrage de l'avion selon NAVBLUE. Il peut être entièrement intégré aux procédures opérationnelles standard d'Airbus, peut être utilisé pendant toutes les phases d'un vol et permet aux pilotes d'accéder à une gamme de paramètres avioniques. Flysmart+ Manager, l'application dans laquelle les partenaires de Pen Test ont trouvé le problème de sécurité, est une application qui permet la synchronisation des données dans la suite Flysmart+.
Paramètre de sécurité désactivé
Les chercheurs de Pen Test Partners ont découvert qu'une fonctionnalité App Transport Security (ATS) dans Flysmart+ Manager qui aurait forcé l'application à utiliser HTTPS n'avait pas été activée. L'application ne disposait pas non plus d'aucune forme de validation de certificat, ce qui la rendait exposée aux interceptions sur des réseaux ouverts et non fiables. "Un attaquant pourrait utiliser cette faiblesse pour intercepter et déchiffrer des informations potentiellement sensibles en transit", a déclaré PTP dans son rapport de cette semaine.
Ken Munro, associé de la société de tests d'intrusion, affirme que la plus grande préoccupation concernait le potentiel d'attaques sur l'application qui pourraient provoquer ce que l'on appelle des sorties de piste - ou des déviations et des dépassements - et d'éventuels impacts de queue au décollage. "L'EFB est utilisé pour calculer la puissance requise des moteurs au décollage, ainsi que le freinage requis à l'atterrissage", explique Munro. « Nous avons montré qu’en raison de l’absence de réglage de l’ATS, il était possible de falsifier les données qui sont ensuite fournies aux pilotes. Ces données sont utilisées lors de ces calculs de « performances », de sorte que les pilotes pourraient appliquer une puissance insuffisante ou ne pas suffisamment freiner », explique-t-il.
Le problème ATS dans Flysmart+ Manager n'est que l'une des nombreuses vulnérabilités que PTP a découvertes dans les EFB ces dernières années. En mai 2023, par exemple, la société a signalé un faille de contournement du contrôle d'intégrité dans une application Lufthansa EFB appelée Lido eRouteManual qui donnait aux attaquants un moyen de modifier les données de planification de vol reçues par les pilotes utilisant l'application. En juillet 2022, des chercheurs du PTP ont montré comment ils pouvaient modifier les manuels sur un EFB concernant l'efficacité des procédures de dégivrage des ailes d'avion.
Difficile à exploiter
D'un point de vue pratique, le problème de paramétrage ATS désactivé identifié par PTP dans l'EFB d'Airbus n'était pas particulièrement facile à exploiter. Pour y parvenir, un attaquant aurait d'abord dû se trouver à portée Wi-Fi d'un EFB avec l'application vulnérable. Plus important encore, l'attaque n'aurait été possible que lors d'une mise à jour de l'application, ce qui signifie que l'auteur de la menace aurait besoin de savoir quand la mise à jour avait lieu afin de pouvoir insérer son code malveillant pendant le processus.
Selon PTP, ces conditions peuvent se produire lors des escales des pilotes. "Les EFB des compagnies aériennes peuvent être exposés à des interceptions sur des réseaux non fiables étant donné que les hôtels d'escale des pilotes sont bien connus et utilisés de manière cohérente chaque nuit", a déclaré la société.
Les pilotes apportent généralement leurs EFB avec eux lors des escales, car les appareils contiennent également leur liste électronique, explique Munro. Ainsi, si un attaquant se trouvait à portée Wi-Fi de l’appareil dans un hôtel, il pourrait potentiellement lancer une attaque. "L'absence d'ATS permettrait une attaque de l'homme du milieu via le Wi-Fi, auquel cas l'attaquant pourrait envoyer une mise à jour de base de données falsifiée à l'EFB", explique-t-il.
Même si une attaque ne peut se produire que lors d’une mise à jour d’une application, ces mises à jour doivent avoir lieu régulièrement, ajoute-t-il. Cela améliore les chances de réussite d'une attaque, note Munro. "Une bizarrerie de l'industrie aéronautique signifie que le logiciel DOIT être mis à jour une fois tous les 30 jours pour rester légal", dit-il. "Étant donné que les hôtels d'escale à l'aéroport sont connus et que de nombreux pilotes y séjourneront chaque nuit, les chances et l'aspect pratique commencent à s'additionner."
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/ics-ot-security/crucial-airline-flight-planning-app-interception-risks
- :possède
- :est
- :ne pas
- $UP
- 2022
- 2023
- 30
- a
- A Propos
- accès
- accès
- Selon
- à travers
- Action
- ajouter
- Ajoute
- Après
- Airbus
- avion
- compagnie aérienne
- aéroport
- Tous
- permettre
- aussi
- an
- ainsi que le
- tous
- appli
- Application
- Appliquer
- applications
- SONT
- tableau
- AS
- aide
- At
- ATS
- attaquer
- attaquant
- attaquants
- Attaques
- aviation
- sac
- En gros
- base
- BE
- car
- était
- Le plus grand
- apporter
- plus large
- contourner
- calculer
- calculs
- appelé
- CAN
- Causes
- certificat
- Charts
- vérifier
- code
- Société
- complexe
- ordinateur
- PROBLÈMES DE PEAU
- conditions
- régulièrement
- contiennent
- contenu
- pourriez
- crucial
- données
- Base de données
- jours
- Décrypter
- détails
- développé
- dispositif
- Compatibles
- DID
- numérique
- documents numériques
- directement
- handicapé
- do
- INSTITUTIONNELS
- deux
- pendant
- chacun
- Easy
- efficacité
- non plus
- Electronique
- activé
- permet
- Moteurs
- assez
- notamment
- Ether (ETH)
- Chaque
- Exploiter
- exposé
- Fonctionnalité
- Fonctionnalités:
- Ferme
- Prénom
- fixé
- vol
- Abonnement
- Pour
- forcé
- formulaire
- trouvé
- De
- d’étiquettes électroniques entièrement
- a donné
- donné
- ait eu
- arriver
- EN COURS
- Dur
- Vous avez
- he
- l'hôtel
- hôtels
- Comment
- HTTPS
- identifié
- if
- améliore
- in
- industrie
- d'information
- Actualités
- initier
- instance
- insuffisant
- des services
- développement
- iOS
- applications iOS
- iPad
- aide
- IT
- SES
- jpg
- Juillet
- juste
- juste un
- Savoir
- connu
- atterrissage
- Nom de famille
- L'année dernière
- départ
- Légal
- LIDO
- Lufthansa
- malveillant
- manager
- de nombreuses
- Mai..
- sens
- veux dire
- manquant
- Breeze Mobile
- Application Mobile
- Villas Modernes
- modifier
- PLUS
- must
- Besoin
- nécessaire
- réseaux
- nuit
- Notes
- nombreux
- se produire
- Chances
- of
- de rabais
- on
- une fois
- ONE
- uniquement
- ouvert
- d'exploitation
- or
- Autre
- plus de
- paramètres
- partie
- les partenaires
- partenaires,
- performant
- se rapportant
- phases
- pilote
- Les pilotes
- et la planification de votre patrimoine
- Plateformes
- Platon
- Intelligence des données Platon
- PlatonDonnées
- Point
- position
- possible
- défaillances
- l'éventualité
- power
- Méthode
- représentent
- procédures
- processus
- fournir
- fournit
- aportando
- des fins
- Push
- gamme
- en temps réel
- reçu
- récent
- Standard
- rester
- assainissement
- rapport
- Signalé
- conditions
- chercheurs
- résultat
- risques
- liste
- piste
- s
- des
- Saïd
- dit
- sécurité
- sensible
- Services
- société de services
- mise
- plusieurs
- montré
- de façon significative
- So
- Logiciels
- quelques
- spécifiquement
- Sponsorisé
- Standard
- point de vue
- Commencer
- rester
- Grèves
- réussi
- tel
- suite
- synchronisation
- Système
- Tablette
- décollage
- tester
- Essais
- qui
- La
- la sécurité
- leur
- Les
- puis
- Ces
- l'ont
- this
- cette semaine
- ceux
- menace
- à
- Tracking
- transit
- transport
- découvert
- Mises à jour
- a actualisé
- Actualités
- utilisé
- d'utiliser
- en utilisant
- d'habitude
- validation
- variété
- vulnérabilités
- vulnérabilité
- Vulnérable
- était
- Façon..
- we
- faiblesse
- Météo
- semaine
- poids
- WELL
- quand
- qui
- Wi-fi
- sera
- comprenant
- dans les
- pourra
- an
- un an après
- années
- zéphyrnet
