机载娱乐(IFE)系统由客舱管理视频设备、与飞机和客舱机组人员的接口、座椅设备和座椅上方视频显示器以及相互连接的数据总线和供电线路等组成。
出现时间虽然并不长,但随着数字化技术的应用发展,从播放电影、电视、小专题、新闻到音频节目、目的地信息、三维移动地图显示、广告以及登机门信息等,内容越来越丰富。
图:IFE的基本结构
日本松下公司的IFE包括eX2、eFX和eXpress,以及数字MPES。其中eX2是一个灵活又可升级的机上娱乐系统,具有强大的网络和高速通信工具,可以为乘客提供音视频点播(AVOD)功能,并提供互动娱乐选项。此外,因为其eX2节省空间,重量小于以前各代系统,提高了飞机的燃料效率。所以受航空公司的青睐。
IOActive研究人员通过视频演示了如何利用SQL注入漏洞更改显示器内容,显示高度、速度、飞行路径,控制客舱照明、广播消息等等。此外,攻击者还可以深入利用漏洞干扰飞行操作、访问任意文件窃取敏感信息。
黑客可以通过松下航空电子IFE的危险漏洞操控航班的机上系统,甚至获取飞机的控制权!有13家大型航空公司飞机运行使用该系统,将受到该系统漏洞的影响。
受影响航空公司包括
A Emirates (阿联酋航空)为中东地区最大的航空公司。
merican Airlines(美航)是全世界载客量、客运总里程和机队最大的航空公司。
AirFrance(法航)法国国营航空公司。
Aerolineas Argentinas(阿根廷航空)是阿根廷的国营航空公司,也是阿根廷规模最大的国内及国际航空公司。
United Airlines (美联航)是美国一家大型航空公司。
Virgin(维珍航空)是英国最大的私营企业,集团业务范围包括航空。
Singapore(新加坡航空)该国的国家航空公司。
FinnAir(芬兰航空)芬兰最大的航空公司和国家航空公司,支配着芬兰国内和国际航空运输市场。
Iberia(西班牙国家航空)是西班牙最大的航空公司。
Etihad(阿提哈德航空)阿联酋的一个国家航空公司。
Qatar(卡塔尔航空)是一家总部设于卡塔尔首都多哈的国际航空公司。
KLM(荷兰皇家航空)是荷兰的国家航空公司。
Scandinavian (北欧航空)是一间服务北欧三国挪威、丹麦及瑞典的航空公司。
如图所示,飞机的数据网络被划分成四个领域,根据不同的类型的数据它们处理:旅客娱乐,乘客自有设备,航空信息服务和最重要的飞机控制。
据IOActive官方博客,安全研究人员建议航空公司应将飞行系统与信息娱乐系统隔离,避免攻击者获得飞机的完全控制权,在今年三月Santamarta 已经向松下报告了这些漏洞。飞机控制系统可能受威胁,引起一片哗然,多家国内外媒体均对此事作了报道。
松下官方回应
日前,松下在一份电子邮件声明中指责安全公司IOActive向公众发表了一份“毫无根据、未经证实”的结论,并强调这样的攻击是不可能发生的。该言论极具误导性和煽动性的暗示了“理论上”黑客可以通过入侵松下IFE系统劫持飞机的飞行控制系统,并营造出松下系统是飞机安全的威胁隐患的错觉。
松下解释说,公司的确在今年年初接到研究人员Ruben Santamarta 的报告,在在密切调查中只发现了一些小问题,这些问题已经都得到解决,不存在危及飞机控制权的可能。松下表示研究人员的研究属于“未经授权的测试”,松下还呼吁安全公司IOActive向公众澄清事实。
目前安全公司IOActive并未回应,真相到底如何,目前还不得知。倘若飞机控制系统受威胁,绝非小事,更是与人们的生活息息相关。物联网安全将会持续关注,给大家带来最新的消息。
点击下方“阅读原文”查看更多
