黑客稱通過(guò)WiFi可黑客機(jī)衛(wèi)星通訊設(shè)備
據(jù)外媒報(bào)道,網(wǎng)絡(luò)安全公司IOActive的研究人員魯本·圣馬爾塔(Ruben Santamarta)宣稱,他已經(jīng)找到通過(guò)客機(jī)上的WiFi或娛樂(lè)系統(tǒng)對(duì)衛(wèi)星通訊設(shè)備發(fā)起攻擊的方法。若這一說(shuō)法被證實(shí),航空安全將面臨巨大挑戰(zhàn)。
圣馬爾塔計(jì)劃于本周在拉斯維加斯召開(kāi)的“黑帽”大會(huì)上公布自己研究的技術(shù)細(xì)節(jié)。一年一度的“黑帽”大會(huì)可吸引成千上萬(wàn)黑客與安全專家到來(lái),商討新出現(xiàn)的網(wǎng)絡(luò)威脅和改善安全措施。圣馬爾塔介紹航天和其他領(lǐng)域使用的衛(wèi)星通信系統(tǒng)漏洞,有望成為大會(huì)上最受關(guān)注的議題之一。圣馬爾塔說(shuō):“這些設(shè)備幾乎是不設(shè)防的,我的目的是幫助改善這一狀態(tài)。”
圣馬爾塔說(shuō),他通過(guò)“逆向工程”(或稱解碼)手段發(fā)現(xiàn)專業(yè)軟件(或稱固件firmware)中存在漏洞,這些專業(yè)軟件被Cobham、Harris、EchoStar's Hughes Network Systems、Iridium Communications以及Japan Radio等用于管理通信設(shè)備。
圣馬爾塔說(shuō),從理論上說(shuō),黑客可以使用機(jī)載WiFi信號(hào)或娛樂(lè)系統(tǒng)黑進(jìn)航空控制設(shè)備,擾亂或更改衛(wèi)星通訊。這將危及飛機(jī)的導(dǎo)航與安全設(shè)施。但他承認(rèn),自己的襲擊僅在受控環(huán)境下進(jìn)行了測(cè)試,比如在IOActive位于馬德里的實(shí)驗(yàn)室中,而在現(xiàn)實(shí)世界中很難復(fù)制。他決定公開(kāi)這些發(fā)現(xiàn),以鼓勵(lì)制造商及時(shí)解決這些高風(fēng)險(xiǎn)安全隱患。
來(lái)自Cobham、Harris、Hughes以及Iridium的代表稱,他們已經(jīng)對(duì)圣馬爾塔的研究進(jìn)行了評(píng)估,可證明其部分發(fā)現(xiàn)是真實(shí)的,但認(rèn)為其說(shuō)宣稱的危險(xiǎn)有些被夸大。以Cobham為例,圣馬爾塔的研究主要集中于其Aviation 700客機(jī)衛(wèi)星通信設(shè)備。該公司稱,黑客不可能利用Wi-Fi信號(hào)干擾依賴衛(wèi)星通訊設(shè)施的導(dǎo)航和關(guān)鍵安全系統(tǒng),黑客必須親身接觸到Cobham的設(shè)備才能下手。
Cobham發(fā)言人格雷格·凱雷斯(Greg Caires)說(shuō):“我們服務(wù)于航空和海運(yùn)市場(chǎng),有嚴(yán)格的要求,只有經(jīng)過(guò)有權(quán)的人才被允許訪問(wèn)這些設(shè)備。”Japan Radio 發(fā)言人拒絕發(fā)表評(píng)論,稱這種漏洞信息不屬于公開(kāi)信息。
圣馬爾塔已經(jīng)于4月份公布25頁(yè)研究報(bào)告,詳細(xì)闡述了衛(wèi)星通訊設(shè)備固件中存在的眾多漏洞。報(bào)告中只提及黑客可能發(fā)動(dòng)襲擊,但沒(méi)有提供詳細(xì)的技術(shù)細(xì)節(jié)。Harris發(fā)言人稱,該公司已經(jīng)評(píng)估了圣馬爾塔的報(bào)告,但認(rèn)為威脅非常小。Iridium發(fā)言人也稱:“我們認(rèn)為用戶面臨的威脅不大,但我們會(huì)采取預(yù)防措施確保用戶安全。”
圣馬爾塔在衛(wèi)星通訊設(shè)備中發(fā)現(xiàn)的一個(gè)漏洞是“硬編碼”登陸證書(shū),技術(shù)人員可使用同樣的用戶名和密碼訪問(wèn)任何設(shè)備。而黑客可以通過(guò)攻擊固件獲得這些密碼,然后利用登陸證書(shū)訪問(wèn)敏感系統(tǒng)。但Hughes發(fā)言人朱迪·布萊克(Judy Blake)說(shuō),“硬編碼”登陸證書(shū)是客服的必要特征,而最糟糕的情況下,黑客可以通過(guò)其癱瘓通信鏈。
“黑帽”大會(huì)評(píng)估委員會(huì)成員文森佐·艾奧佐(Vincenzo Iozzo)說(shuō),圣馬爾塔的研究標(biāo)志著研究人員首次確認(rèn)衛(wèi)星通訊設(shè)備存在的潛在破壞性漏洞。他說(shuō):“我不確信能否通過(guò)客機(jī)娛樂(lè)系統(tǒng)對(duì)駕駛艙發(fā)動(dòng)襲擊,核心觀點(diǎn)是他發(fā)現(xiàn)的漏洞令人感到震驚,因?yàn)樯婕暗街圃焐虘?yīng)該已經(jīng)知道的基本安全事宜。”
