Airbus: "Простите, мы больше не будем". История одной халатности

Специалисты из компании Pen Test Partners , которые в течение нескольких лет проводили комплексные исследования безопасности авиационных решений, выявили серьезную уязвимость в пакете приложений Flysmart+ Manager от корпорации Airbus. Эта проблема создавала риски для безопасности полетов, однако была устранена только спустя 19 месяцев после ее первоначального обнаружения экспертами.

Приложение Flysmart+ Manager для iPad было разработано компанией NAVBLUE, подразделением Airbus. Оно предназначено для синхронизации и установки актуальных авиационных данных на электронные планшеты пилотов (EFB), а также другие программы и устройства.

Как выяснили специалисты Pen Test Partners, в Flysmart+ Manager был намеренно отключен один из основных механизмов безопасности. Из-за этого приложение могло обмениваться данными с серверами по незащищенным каналам, что открывало широкие возможности для хакерских атак.

Электронные планшеты пилотов (EFB) используются для хранения и оперативного доступа к важной информации, необходимой для выполнения полётов. Однако во время стоянок в аэропортах и отелях, используя уязвимость, к ним можно было получить доступ через Wi-Fi сети. При этом, скорее всего, вмешательство осталось бы незамеченным, так как стандартные процедуры авиакомпаний не рассчитаны на обнаружение подобного рода угроз.

В iOS-версии Flysmart+ Manager была отключена защита App Transport Security (ATS). Благодаря проведенному анализу, специалистам Pen Test Partners удалось получить доступ к конфиденциальным данным на серверах NAVBLUE. В числе прочего они смогли изучить структуру баз данных SQLite, содержащих важнейшие сведения о характеристиках самолётов и параметрах взлётной производительности.

Таблицы критически важны для корректного расчёта возможностей воздушного судна, особенно при взлете и посадке. Например, ошибки в таблицах минимального перечня оборудования или стандартных процедур вылета могут привести к опасным инцидентам, связанным с недостатком топлива. Искаженные расчеты производительности двигателя спровоцируют, например, выезд за пределы взлетно-посадочной полосы, и это самый безобидный сценарий.

"Мы уже сотрудничали с Boeing, Lufthansa и Airbus по вопросам уязвимостей. И очень рады, что проблема была успешно устранена – это значительное достижение в области безопасности и защиты в авиации", - говорят исследователи.

Отключение ATS также позволяло злоумышленникам перехватывать и дешифровать любую конфиденциальную информацию.

После сообщения об уязвимости, отправленного в Airbus 28 июня 2022 года, компания признала проблему и пообещала устранить её в следующей версии Flysmart+ Manager до конца 2022 года.

22 февраля 2023 года эксперты Airbus официально подтвердили, что приложение обновлено и самолетам больше ничего не грозит. 26 мая того же года подробная информация о решении проблемы была передана заказчикам корпорации.

Результаты исследования были представлены специалистами Pen Test Partners на крупных конференциях, посвящённых вопросам кибербезопасности, включая DEF CON 31 в Лас-Вегасе. Основной темой выступления стал подробный анализ обнаруженной уязвимости и хронология ее устранения компанией Airbus.

Также специалисты Pen Test Partners представили результаты на мероприятиях Aerospace Village и Aviation ISAC, организованных в 2023 году в Дублине.