Atacantes podrían tomar el control de una aeronave usando el sistema de entretenimiento de la cabina de pasajeros
Se han descubierto vulnerabilidades en un sistema de entretenimiento para los pasajeros utilizados por las principales aerolíneas del mundo que permite a los atacantes tomar el control de las pantallas, altavoces y luces de la cabina de pasajeros, robar los datos de la tarjeta de crédito de los viajeros frecuentes y secuestrar los controles de pilotaje del avión.
El analista de seguridad Ruben Santamarta de IOActive descubrió la vulnerabilidad mientras viajaba de Varsovia a Dubai. La vulnerabilidad permite a los viajeros acceder a los códigos de depuración directo desde la pantalla del sistema de entretenimiento de la cabina de pasajeros.
La falla se encuentra en el sistema de entretenimiento Avionics de Panasonic que utilizan 13 de las principales aerolíneas del mundo, incluyendo Emirates, Virgin y Qatar Airways. “Con una posterior búsqueda de Internet descubrí cientos de actualizaciones de firmware a disposición del público para muchas de las aerolíneas principales, lo que fue muy alarmante”, dijo Santamarta.
Durante el viaje, Santamarta pudo mostrar información falsa a los pasajeros como la altitud y ubicación, ingresar al sistema de altavoces y controlar las luces de la cabina. También dijo que sería posible acceder a la lista de viajeros frecuentes de la aerolínea para conseguir la información sobre sus tarjetas de crédito.
La vulnerabilidad permite al atacante generar “situaciones confusas y desconcertantes” para el usuario al tomar control de su sistema de entretenimiento. El analista también dijo que, aunque complicado e improbable, en algunos casos sería posible explotar esta vulnerabilidad para cometer ataques más serios: “en teoría sería posible que una vulnerabilidad de este tipo se convierta en un punto de entrada a la red más grande, dependiendo de las configuraciones del sistema”.
La gravedad del incidente depende mucho de cuán aislado esté el sistema de entretenimiento de los dispositivos de los pasajeros y del resto de la red. Es por eso que Santamarta recomendó que las aerolíneas sean “extremadamente cuidadosas” con los sistemas a los que exponen a los pasajeros durante el vuelo y que se aseguren de aislarlos lo más posible de los sistemas de control de la aeronave.
Los investigadores de seguridad de IOActive pusieron al tanto de los pormenores de la vulnerabilidad a Panasonic en marzo de 2015, pero no se sabe qué acciones ha tomado la compañía para solucionarla. “No pudimos verificar si Panasonic ha solucionado las fallas porque el acceso a los sistemas que revisamos para identificar las vulnerabilidades ha estado bloqueado desde que les informamos sobre el problema”, dijo Santamarta.
Fuente: SECURE LIST