Graves vulnerabilidades en el sistema de entretenimiento de algunos aviones

Rubén Santamarta de IOActive ha demostrado, aunque tiene miedo a volar, que los sistemas de entretenimiento instalado en los aviones de algunas aerolíneas son muy fáciles de hackear, y lo peor no es que se pueda manipular los contenidos multimedia disponibles, sino que también abren la puerta al robo de datos y poder controlar partes de un avión desde un simple PC.

El sistema de entretenimiento de algunos aviones es muy fácil de hackear

Según los investigadores en seguridad de IOActive, se han encontrado serias vulnerabilidades en el sistema Panasonic Avionics In-Flight Entertainment (IFE) utilizado por 13 de las mayores aerolíneas, entre las cuales están American Airlines, United, Virgin, Emirates, Etihad, Qatar, FinnAir, KLM, Iberia, Scandinavian, Air France, Singapore y Aerolíneas Argentinas. Los agujeros de seguridad permiten a un hacker manipular información relacionada con el vuelo, como mapas de rutas, estadísticas de velocidad, valores de altitud e incluso robar información de las tarjetas de crédito pertenecientes a los pasajeros.

Rubén Santamarta fue el empleado de IOActive que hackeó personalmente las pantallas del sistema de entretenimiento, pudiendo cambiar la información sobre la altitud y la localización, controlar las luces de la cabina y hackear el sistema de anuncios. El hacker avisa de que una serie de ataques encadenados “podría ser una experiencia inquietante para los usuarios, no creo que estos sistemas resistan ataques sólidos de actores maliciosos habilidosos. Esto solo depende de la determinación y las intenciones del atacante, pero desde la perspectiva técnica es totalmente realizable”. En resumidas cuentas, se puede deducir que el sistema de entretenimiento de algunos aviones y sobre todo las vulnerabilidades que contienen están totalmente expuestos y vendidos a lo que decidida hacer el atacante en ese momento.

Al parecer, Santamarta descubrió estas vulnerabilidades en marzo del año pasado y ha estado esperando durante casi dos años para ver si Panasonic tomaba cartas en el asunto tras reportárselas de forma privada. Sin embargo, después de ver que la empresa no había puesto en marcha, al menos aparentemente, medidas para solucionar los problemas, tomó la decisión de publicar las vulnerabilidades a través de demostraciones que han ido a parar a YouTube. El exponer las vulnerabilidades a todo el mundo ha forzado a las compañías a reaccionar y Emirates ya ha comunicado que está trabajando con Panasonic para resolverlas.

La vulnerabilidad afecta a 13 diferentes compañías que usan el sistema Panasonic Avionics:

• American Airlines
• United
• Virgin
• Emirates
• Etihad
• Qatar
• FinnAir
• KLM,
• Iberia,
• Scandinavian
• Air France
• Singapore
• Aerolineas Argentinas.

Ejemplos Vulnerabilidades encontradas 

1.
Bypass credit card check

2. Arbitrary file access (so /dev/random)

3. SQL injection

No es la primera vez que Rubén Santamarta pone en evidencia la seguridad informática de los aviones, ya que en 2014 consiguió hacer algo parecido a través de la conexión inalámbrica, hallando vulnerabilidades a través de ingeniería inversa.

Con todo lo dicho, lo más preocupante de este último caso es la aparente poca seriedad con la que se toman algunas compañías la seguridad informática dentro de los aviones.