资安业者IOActive本周大爆航空公司所使用的Panasonic Avionics机上娱乐系统(In-Flight Entertainment Systems,IFE)含有许多安全漏洞,将允许骇客掌控IFE系统并窜改乘客萤幕上所显示的资讯,然而,Panasonic Avionics很快便发表声明否认此事,并说IOActive的说词毫无根据。
IOActive首席安全顾问Ruben Santamarta指出,他分析了在网路上找到的Panasonic Avionics IFE韧体更新档案,发现它们可能含有可绕过刷卡机制、存取任意档案及资料隐码攻击(SQL Injection)攻击等安全漏洞。
这些漏洞将允许骇客变更乘客萤幕的显示内容,像是高度、速度或是飞行路线等;也可能入侵机组人员所使用的设备,控制机上的照明;或是绕过刷卡机制以免费使用网路或付费影片等服务。且至少有13家航空业者採用由Panasonic Avionics所开发的机上娱乐系统。
Santamarta说明,即使飞机的操作控制系统与娱乐系统通常是隔离的,但两个系统之间也许存在实体的连结能力,令骇客有机会跨越控制系统与娱乐系统间的红线。
Panasonic Avionics为松下(Panasonic)集团旗下专门开发机上娱乐系统的子公司,IOActive在2015年3月便把相关发现提报给Panasonic Avionics。
Panasonic Avionics很快便提出回应,指出IOActive的声明是不正确又虚幻的,充满着假设的情境,他们极不同意骇客可能透过IFE系统入侵飞机控制系统的暗示。
Panasonic Avionics指出,IOActive的结论缺乏任何实际的发现或事实,所宣称的潜在影响说好听一点是理论上的,说难听一点则是危言耸听,同时也缺乏可支撑其论点的证据。该公司亦强调其IFE系统拥有健全的安全设计,符合或超越所有的安全规定,除了经常邀请第三方资安业者展开测试外,也有独立的抓漏奖励专案。
I 相关 / Other
韩国富二代在飞机上踢踹羞辱空姐 2016年12月22日报道,在越南飞往首尔的KE480航班上,当飞机飞越中国上空时,一名男子与空姐发生冲突,挣脱安全带,对...韩国富二代在飞机上踢踹羞辱空姐 据悉,这名在大韩航空KE408航班闹
韩富二代飞机上攻击空姐被理查德制服视频秒拍北京时间12月20日16时,理查德在Facebook上讲述了一个在中国上空发生的事。据20日报道,理查德和妻子当日乘坐大韩航空KE480航班,从越南飞往首尔。当飞机飞越中国上空时,
奇异博士也遭骇!骇客组织OurMine骇入Netflix、Marvel 推特帐号
继脸书执行长札克伯(Mark Zuckerberg)等知名人物后,Netflix与漫威(Marvel)旗下推特(Twitter)帐号周三也遭骇客组织OurMine分别骇入。Netflix美国和漫威旗下多个超级英雄,包括《奇异博士》、《美国队长》及《星
示意图 图片来源: Netgear 12月初Netgear遭爆旗下路由器韧体含有重大漏洞后,Netgear已释出新版韧体修补漏洞,希望用户儘快更新。两周前卡内基美隆大学CERT协调中心通报#582384,在Netgear两款路由器,R7000及R64
Google释出可找出加密演算法漏洞的Wycheproof专案
Google继12月初释出可检测开放源码软体错误的测试专案OSS-Fuzz之后,再于本周发表了专门用来检验加密函式库漏洞的Wycheproof专案(Project Wycheproof)。Wycheproof专案并非为Google的官方产品,而是由Google Secur