Panasonic Avionics выразила несогласие с мнением IOActive о потенциальных последствиях наличия уязвимостей в бортовых развлекательных системах, которыми пользуются многие авиалинии. Согласно блог-записи IOActive, бреши, обнаруженные ее экспертами в прошивке IFE, позволяют локальному атакующему манипулировать данными, отображаемыми пассажирам, и даже ставят под угрозу их персональные данные.

В тексте заявления, предоставленного Panasonic в распоряжение Threatpost, выводы IOActive названы неверными и дезориентирующими. Исследователь Рубен Сантамарта (Ruben Santamarta), обнаруживший уязвимости в прошивке IFE производства Panasonic, утверждает, что, несмотря на сегментацию, физическая связь между бортовыми электронными системами теоретически позволяет злоумышленнику нарушить работу критически важных служб, используя бреши в другом изолированном пространстве.

Panasonic опровергла это утверждение и сочла его провокационным: «Panasonic категорически не согласна с предположением IOActive, что подобная атака возможна, и призывает IOActive внести ясность: ее исследование вовсе не дает оснований для такого вывода».

«IOActive не представила свидетельств того, что ее исследование систем Panasonic дает основания для подобных заключений, — сказано в заявлении вендора. — А ее утверждение, будто «исследование обнаружило теоретическую возможность использования такой уязвимости как точки входа в более широкую сеть, в том числе в пространство управления воздушным судном», лишь напрасно встревожит граждан, пользующихся воздушным транспортом».

В своем отчете Сантамарта сослался на предыдущее исследование IOActive, предметом которого являлась уязвимость устройств спутниковой связи. При этом эксперт отметил, что оно также касается воздушных летательных аппаратов, использующих SATCOM, и при наличии совместного доступа уязвимые IFE могут обеспечить атакующему физическую возможность повлиять на критически важные системы. Это очень небольшой шанс, но он есть.

Panasonic все же призналась, что позаботилась о багах, обнаруженных и приватно доложенных IOActive в 2015 году. «Многие из этих выводов основаны на том, что у злоумышленника есть возможность физически обосноваться в сети IFE, — гласит текст заявления. — В ходе тестирования на неавторизованное проникновение ни входа в сеть, ни даже подключения к продукту Panasonic по сети добиться не удалось».

«Заключения, представленные IOActive прессе, не подкреплены реальными фактами или данными, — продолжает Panasonic. — Следовательно, предположения о потенциальных последствиях в лучшем случае следует рассматривать как чисто теоретические, в худшем — как сентенциозные, и их не сможет оправдать ни одна из гипотез в отношении уязвимостей, найденных IOActive».

IOActive со своей стороны встала на защиту работы Сантамарты и своих процедур проверки результатов исследований. Компания настаивает на правильности и профессионализме заключения и заявила следующее:

«Все очень просто: если у атакующего есть возможность использовать уязвимости, наличие которых производитель признал (и которые, по его утверждению, были впоследствии исправлены) в компоненте взаимосвязанной экосистемы (например, в IFE на борту самолета), и конфигурация этой экосистемы не обеспечивает должным образом сегментацию и изоляцию соответствующих пространств, в этом случае эксплуатация этих уязвимостей в компоненте с целью получения доступа к другим пространствам экосистемы технически осуществима и теоретически вполне возможна. Следовательно, умозрительные положения отчета об исследовании не только технически обоснованны и уместны, но и важны, так как проясняют потенциальный масштаб и возможные последствия уязвимостей в компоненте такой экосистемы, а также необходимость комплексного подхода к контролю и сохранению строжайших мер безопасности на всех уровнях этой экосистемы».

Сантамарта также написал, что обнаруженные им уязвимости, в том числе отсутствие шифрования и аутентификации, угрожают сохранности персональных и платежных данных авиапассажиров. Panasonic попыталась опровергнуть и это утверждение, заявив, что исследователь исходил из неверных предположений о хранении и защите таких данных.

«В своем заявлении представителям прессы IOActive неподобающим образом смешала и рассуждения о гипотетических уязвимостях, свойственных всем электронным системам летательных аппаратов, и конкретные находки, касающиеся систем Panasonic, — сказано в заявлении компании. — Это произвело в высшей степени неверное впечатление, будто исследование показало, что системы Panasonic являются причиной ненадежности работы летательных аппаратов».

Категории: Уязвимости