你相信吗?只要在一个安卓系统手机上按下几个按钮,就能够劫持一架客机!11日,在阿姆斯特丹举行的“盒子里的黑客会议”上,来自德国的网络安全顾问雨果·特索向人们演示了如何通过一个智能手机应用软件,完全控制一架商用飞机。就此,欧洲航空局和美国联邦航空局不得不立即分别发表声明平息大众的恐慌,他们称商用飞机的电脑系统目前还从未被攻破过。
通过软件就能向飞机发号施令
我们已经见过不少支持安卓或ios设备控制的飞行器,但是这些飞行器通常体形都比较小,只适合娱乐使用;而在会议上展示的却是我们常坐的商用客机,中招的包括生产空中客车的泰雷兹公司、世界航空巨头霍尼韦尔公司和美国罗克韦尔·柯林斯公司的商用飞机。
今年30岁的雨果·特索是德国IT咨询公司N.Runs的网络安全研究员,在信息安全领域有超过11年的经验,同时他还是一名受过专业训练的商业飞行员,驾龄长达12年。他在“盒子里的黑客会议”上表示,经过4年的努力,他成功研发出一套名为“PlaneS-ploit”的应用软件,可以接管飞机上的电脑系统,并且不被安检发现。
特索表示,该软件能够破坏目前大多数飞机所使用的飞行管理系统(FMS)。据报道,特索研发的这套软件利用的是ACARS协议以及飞行管理软件中的漏洞。ACARS,即飞机通信寻址与报告系统。通过这个系统,地面站可以向FMS输送任何数据,包括天气数据、航班等。特索花费了3年时间,对接受ACARS信号的飞行导航软件进行逆向工程,找到了其中的漏洞。而通过漏洞,他可以向FMS发送自己的命令 。
在“盒子里的黑客会议”上,特索展示了自己编写的Android软件。通过这个软件,他只要对手机的地图软件进行点击,就能够使模拟中的飞机转向。“ACARS根本没有安全机制。飞机无法知晓它所接受的信息是否真实”,特索说,“你可以用这个系统修改与飞机导航相关的任何东西”,特索告诉福布斯网站:“这包括许多可怕的事情”。
软件只在飞机自动飞行时有用
据《福布斯》报道,在试验中,特索使用了从eBay买来的FMS硬件,以及FMS训练模拟软件,而模拟软件的部分或全部代码与真实飞机是相同的。为飞机提供导航软件的霍尼韦尔公司证实,他们正在和特索所在的公司联系。霍尼韦尔公司的发言人斯科特说,特索使用的飞行管理系统是公开的PC模拟飞行训练软件,与验证过的飞行软件相比,它缺乏相应的保护机制,无法对抗恶意命令。特索发现的漏洞并不能真的在现实中攻击飞行的控制系统。
不过,德国IT咨询公司N.Runs的罗兰提出反对意见。他认为,特索发现的漏洞与PC模拟无关,而是现实飞机中存在的功能,“从我们的观点来看,它只需很小改动,就能用在现实之中”。
当然,即使黑客远程控制FMS系统,飞行员仍可以手动阻止恶意命令。特索表示,这项技术只能在飞机处于自动飞行状态时才能发挥作用,当飞行员手动恢复操控飞机后,他便无法继续操纵飞机。不过特索又说,黑客还能够搞些其他破坏,比如使座舱里的灯狂闪,或者让乘客的空气面具掉下来。
攻击模拟飞行系统不算数?
如果这个软件真的能够轻易操纵飞机无疑将是很危险的事情。对此,特索强调称,恐怖分子或是其他心怀不轨的人很难掌握这项技术,因为该技术要求很专业的航空及相关知识支持。他说,他已经和美国联邦航空管理局、欧洲航空安全局、受影响航空公司取得联系,以修补安全漏洞。
欧美航空局和相关飞机制造商则表示,这一漏洞仅存在于基于PC的ACARS软件的训练版,大众不必恐慌。而美国联邦航空局在声明中对漏洞表示了否定:“联邦航空局可以确认,这名德国信息科技咨询人士所描述的黑客技术,并不能带来飞行安全担忧,因为这种手段在实际飞行软件中不起作用。”欧洲航空安全局也发布声明称:“基于PC的训练版飞行管理系统与内嵌飞行管理系统软件存在很大差别。特别是,模拟飞行管理系统软件并不具有实际软件中的重写权限保护。”罗克韦尔柯林斯公司称:”今天认证的航空电子系统的设计和制造水平是复杂且安全的。特索所涉及的研究只是存在于虚拟机上,不与现实的飞行电子控制系统并不相同。“
攻击飞机其实真有可能
不过这些声明也并不能完全消除人们的担忧,因为还不清楚这一漏洞不起作用究竟是因为上面所说的是两款完全不同的系统,还是同一个系统里面的安全控制不同。如果是后者,就意味着这一漏洞是真的存在。
事实上安全工程师们多年来一直警告称,一些新兴的技术可以使飞机易受到黑客的攻击。2011年9月,美国空军在俄亥俄州的技术研究帕特森空军基地发现未加密的GPS定位雷达ADS-B可能受到黑客的攻击,飞行员可能收到恶意指令认为周边有“根本不存在的飞机”,从而采取避让的举措,而这将会让飞机发生碰撞造成难以弥补的后果。李凌编译自《福布斯》、《新科学家》等。
