Skip to Content

Saturday, September 21st, 2019

Finnairin koneiden viihdejärjestelmistä löytyi aukkoja: Valmistaja kiistää pahimman uhan

Closed
by December 22, 2016 General

Lentokoneiden viihdejärjestelmillä voi tehdä muutakin kuin katsoa elokuvia tai kuunnella musiikkia, väittää tutkija Ruben Santamara tietoturvayhtiö IOActiven blogissa.

Hänen mukaansa muun muassa Finnairin ja SAS:n käyttämissä Panasonic Avionics -viihdejärjestelmistä on aukkoja, joiden kautta hakkeri voi aiheuttaa koneessa monenlaista häiriötä.

Santamaran mukaan on viihdejärjestelmän kautta on teoriassa mahdollista päästä käsiksi jopa lentokoneen ohjausjärjestelmiin, jos niiden väliltä löytyy yhteys.

– Finnairin lentokoneissa viihde- ja ohjausjärjestelmät ovat täysin erillisiä, joten mahdollisuutta ei meillä ole, kertoo Mari Rouvi Finnairin viestinnästä.

Santamaran mukaan matkustajan paikalta pääsee silti käsiksi useisiin järjestelmiin, joilla voi ainakin säikäyttää muita matkustajia. Hakkeri voi esimerkiksi säätää matkustamon valaistusta, näyttää karttanäkymässä koneelle väärää lentoreittiä sekä korkeutta ja nopeutta. Hakkeri voi päästä käsiksi myös matkustamon kuulutusjärjestelmään, ja tehdä sen kautta omia kuulutuksia.

Hakkeri saattaa myös pystyä viemään muiden matkustajien luottokorttitietoja, jos lentoyhtiön kanta-asiakasjärjestelmän tietoja ei ole kunnolla suojattu.

Finnairin ja SAS:n lisäksi Panasonic Avionicsin järjestelmää käyttävät myös KLM, AirFrance, Iberia, Virgin Airline, American Airlines, Emirates, Etihad Airways, Qatar Airways, Singapore Airlines sekä United Airlines.

Panasonic kiistää: ”yksinkertaisesti eivät ole totta”

Panasonic Avionicsin mukaan Santamaran väitteet ovat perusteettomia. Yhtiö julkaisi pian Santamaran blogimerkinnän jälkeen lausunnon, jossa se kiistää Santamaran väitteitä.

Santamara julkaisi blogissaan esimerkiksi kolme videota, joissa hän näyttää käyttävän hyväksi joitakin virheitä lentokoneen viihdejärjestelmässä. Panasonic huomauttaa, että Santamaran omat kokeilut tapahtuivat vain yhdellä matkustajapaikalla, eikä hän pystynyt todistetusti tunkeutumaan koneen järjestelmiin tai hallinnoimaan niitä.

Santamara ilmoitti havaintonsa Panasonicille viime maaliskuussa. Yhtiö sanoo vastaanottaneensa ilmoituksen ja korjanneensa ohjelmistostaan ”pieniä ongelmia”. Niiden kautta ei kuitenkaan ollut mahdollista päästä ohjaamaan konetta, Panasonic sanoo.

Panasonicin mukaan Santamaran väitteet luottokorttitietojen varastamisesta ”yksinkertaisesti eivät ole totta”, ja perustuvat vääriin oletuksiin luottokorttitietojen tallennuksesta.

Santamara pääsi aukkojen jäljille alunperin osittain vahingossa. Lentäessään Varsovasta Dubaihin pari vuotta sitten lentopelkoinen tietoturvatutkija kulutti aikaansa leikkimällä viihdejärjestelmän kanssa näpelöiden ohjaimia sieltä täältä. Yllättäen koskettaessaan tiettyä kohtaa näytön yläkulmassa, näytölle avautui tietoja laitteen virhetestauksesta.

Laskeutumisen jälkeen hän alkoi tehdä nettihakuja näytöllä näkyneillä sanoilla, ja löysi verkosta muun muassa Panasonicin järjestelmän päivitystiedostoja, jotka olivat julkisesti saatavilla.

Panasonic suosittelee tietoturvatestauksesta kiinnostuneita osallistumaan yhtiön bug bounty -ohjelmaan, jossa tietoturvatestaajat voivat tutkia yhtiön tuotteita laillisesti ja turvallisesti.

Previous
Next