Entertainmentsystemen van Panasonic Avionics bevatten kwetsbaarheden

  1. 21 dec 2016
  2. 0 reacties

vliegtuig

Bepaalde entertainmentsystemen voor vliegtuigen die zijn ontwikkeld door Panasonic Avionics blijken beveiligingsproblemen te bevatten. Aanvallers kunnen de entertainmentsystemen hierdoor overnemen en gegevens over gebruikers verzamelen.

Dit meldt beveiligingsbedrijf IOActive. Het bedrijf zegt de problemen te hebben gerapporteerd bij Panasonic Avionics, maar hierop geen reactie te hebben ontvangen. De systemen in worden volgens IOActive gebruikt in onder andere vliegtuigen van KLM, Air France, Emirates Airlines, Etihad Airways, United Airlines, Virgin Airlines en Scandinavian Airlines.

Video’s

IOActive heeft een drietal video’s gepubliceerd waarin wordt gedemonstreerd hoe een drietal beveiligingsproblemen kan worden uitgebuit. Het gaat om een SQL-injectie, een kwetsbaarheid waarmee onbevoegden toegang tot bepaalde databestanden kunnen krijgen en beveiligingsprobleem waarmee de controle van creditcards kan worden omzeild. Hieronder de video’s.

De problemen zijn ontdekt door Ruben Santamarta van IOActive. De onderzoeker stelt tijdens een vlucht van Warschau naar Dubai te hebben ontdekt debugcodes van de Panasonic in-flight display te kunnen benaderen. Tijdens nader onderzoek naar de kwestie trof de onderzoeker op internet honderden publieke firmware-updates aan voor verschillende vliegtuigmaatschappij. Door de broncode van de backend van de systemen te analyseren wist de onderzoeker de kwetsbaarheden op te sporen.

Creditcardgegevens stelen

De aanvallers stelt dat het onder andere mogelijk is via de kwetsbaarheden persoonlijke informatie van medereizigers te stelen, inclusief creditcardgegevens die in het systeem worden ingevoerd. Indien het entertainmentsysteem daarnaast niet goed is gescheiden van andere systemen in het vliegtuig kunnen aanvallers in theorie via het entertainmentsysteem ook toegang krijgen tot deze systemen. Santamarta benadrukt overigens deze hack niet te hebben uitgevoerd en dat een dergelijke aanval puur theoretisch is.

Panasonic Avionics uit in een verklaring kritiek op IOActive en Santamarta. Vooral met het feit dat Santamarta een theoretische cyberaanval (het overnemen van andere vliegtuigsystemen) beschrijft als onderdeel van zijn verslag van de aangetroffen problemen is het bedrijf niet blij. Panasonic Avionics stelt dat dit alleen maar leid tot onnodige zorgen bij reizigers.Panasonic Avionics benadrukt dan ook dat de kwetsbaarheden de veiligheid van reiziger niet in gevaar kunnen brengen. Ook ontkent het bedrijf dat het mogelijk is creditcardgegevens te stelen via de kwetsbaarheden.

Bug bounty programma

Daarnaast stelt Panasonic Avionics inderdaad melding te hebben ontvangen van Santamarta over de beveiligingsproblemen. Deze problemen zouden vorig jaar al zijn opgelost. De verklaring van Santamarta doet vermoeden dat de beveiligingsonderzoeker hierover echter niet is geïnformeerd. Tot slot nodigt Panasonic Avionics beveiligingsonderzoeker die dit soort problemen opsporen gebruik te maken van zijn bug bounty programma, dat begin augustus is gelanceerd.