|
||||
還在用手機切水果?他都準備拿來劫飛機了
德國網絡安全顧問設計了一個安卓手機軟件,通過該軟件能控制商用飛機;但航空管理部門聲明不用恐慌
你相信嗎?只要在一個安卓系統手機上按下幾個按鈕,就能夠劫持一架客機!11日,在阿姆斯特丹舉行的“盒子裏的黑客會議”上,來自德國的網絡安全顧問雨果·特索向人們演示瞭如何通過一個智能手機應用軟件,完全控制一架商用飛機。就此,歐洲航空局和美國聯邦航空局不得不立即分別發表聲明平息大衆的恐慌,他們稱商用飛機的電腦系統目前還從未被攻破過。
通過軟件就能向飛機發號施令
我們已經見過不少支持安卓或ios設備控制的飛行器,但是這些飛行器通常體形都比較小,只適合娛樂使用;而在會議上展示的卻是我們常坐的商用客機,中招的包括生產空中客車的泰雷茲公司、世界航空巨頭霍尼韋爾公司和美國羅克韋爾·柯林斯公司的商用飛機。
今年30歲的雨果·特索是德國IT諮詢公司N.Runs的網絡安全研究員,在信息安全領域有超過11年的經驗,同時他還是一名受過專業訓練的商業飛行員,駕齡長達12年。他在“盒子裏的黑客會議”上表示,經過4年的努力,他成功研發出一套名爲“PlaneS-ploit”的應用軟件,可以接管飛機上的電腦系統,並且不被安檢發現。
特索表示,該軟件能夠破壞目前大多數飛機所使用的飛行管理系統(FMS)。據報道,特索研發的這套軟件利用的是ACARS協議以及飛行管理軟件中的漏洞。ACARS,即飛機通信尋址與報告系統。通過這個系統,地面站可以向FMS輸送任何數據,包括天氣數據、航班等。特索花費了3年時間,對接受ACARS信號的飛行導航軟件進行逆向工程,找到了其中的漏洞。而通過漏洞,他可以向FMS發送自己的命令。
在“盒子裏的黑客會議”上,特索展示了自己編寫的Android軟件。通過這個軟件,他只要對手機的地圖軟件進行點擊,就能夠使模擬中的飛機轉向。“ACARS根本沒有安全機制。飛機無法知曉它所接受的信息是否真實”,特索說,“你可以用這個系統修改與飛機導航相關的任何東西”,特索告訴福布斯網站:“這包括許多可怕的事情”。
軟件只在飛機自動飛行時有用
據《福布斯》報道,在試驗中,特索使用了從eBay買來的FMS硬件,以及FMS訓練模擬軟件,而模擬軟件的部分或全部代碼與真實飛機是相同的。爲飛機提供導航軟件的霍尼韋爾公司證實,他們正在和特索所在的公司聯繫。霍尼韋爾公司的發言人斯科特說,特索使用的飛行管理系統是公開的PC模擬飛行訓練軟件,與驗證過的飛行軟件相比,它缺乏相應的保護機制,無法對抗惡意命令。特索發現的漏洞並不能真的在現實中攻擊飛行的控制系統。
不過,德國IT諮詢公司N.Runs的羅蘭提出反對意見。他認爲,特索發現的漏洞與PC模擬無關,而是現實飛機中存在的功能,“從我們的觀點來看,它只需很小改動,就能用在現實之中”。
當然,即使黑客遠程控制FMS系統,飛行員仍可以手動阻止惡意命令。特索表示,這項技術只能在飛機處於自動飛行狀態時才能發揮作用,當飛行員手動恢復操控飛機後,他便無法繼續操縱飛機。不過特索又說,黑客還能夠搞些其他破壞,比如使座艙裏的燈狂閃,或者讓乘客的空氣面具掉下來。
攻擊模擬飛行系統不算數?
如果這個軟件真的能夠輕易操縱飛機無疑將是很危險的事情。對此,特索強調稱,恐怖分子或是其他心懷不軌的人很難掌握這項技術,因爲該技術要求很專業的航空及相關知識支持。他說,他已經和美國聯邦航空管理局、歐洲航空安全局、受影響航空公司取得聯繫,以修補安全漏洞。
歐美航空局和相關飛機制造商則表示,這一漏洞僅存在於基於PC的ACARS軟件的訓練版,大衆不必恐慌。而美國聯邦航空局在聲明中對漏洞表示了否定:“聯邦航空局可以確認,這名德國信息科技諮詢人士所描述的黑客技術,並不能帶來飛行安全擔憂,因爲這種手段在實際飛行軟件中不起作用。”歐洲航空安全局也發佈聲明稱:“基於PC的訓練版飛行管理系統與內嵌飛行管理系統軟件存在很大差別。特別是,模擬飛行管理系統軟件並不具有實際軟件中的重寫權限保護。”羅克韋爾柯林斯公司稱:”今天認證的航空電子系統的設計和製造水平是複雜且安全的。特索所涉及的研究只是存在於虛擬機上,不與現實的飛行電子控制系統並不相同。“
攻擊飛機其實真有可能
不過這些聲明也並不能完全消除人們的擔憂,因爲還不清楚這一漏洞不起作用究竟是因爲上面所說的是兩款完全不同的系統,還是同一個系統裏面的安全控制不同。如果是後者,就意味着這一漏洞是真的存在。
事實上安全工程師們多年來一直警告稱,一些新興的技術可以使飛機易受到黑客的攻擊。2011年9月,美國空軍在俄亥俄州的技術研究帕特森空軍基地發現未加密的GPS定位雷達ADS-B可能受到黑客的攻擊,飛行員可能收到惡意指令認爲周邊有“根本不存在的飛機”,從而採取避讓的舉措,而這將會讓飛機發生碰撞造成難以彌補的後果。李凌編譯自《福布斯》、《新科學家》等
雨果·特索在會議上展示了控制飛機的軟件(右)。