This post is also available in: enEnglish (אנגלית)

FlySmart+ היא אפליקציית iOS לטייסים המיועדת לחישוב ביצועים, משקל ואיזון של המראת מטוסים, שפותחה על ידי חברת הבת של איירבוס Navblue. לאחרונה התגלה על ידי חוקרי אבטחת סייבר ב-Pen Test Partners כי האפליקציה הינה פגיעה להתקפות סייבר שעלולות לגרום להשבתה או שיבושים רציניים במסלול המראה או בטיסה.

על פי Cybernews, אפליקציית FlySmart+ השביתה תכונת אבטחה בשם App Transport Security (ATS) שאוכפת חיבורים מאובטחים, ועצם ההשבתה של תכונה זו וכל צורה של אימות אישורים חשפה את האפליקציה להתקפות יירוט באמצעות Wi-Fi. בעיה זו (שכבר תוקנה) ילכה "לאפשר שיבוש של חישוב ביצועי המנוע למשל, וכתוצאה מכך לגרום להשבתה או שיבוש מסלול ההמראה ", כך לפי חוקריPen Test Partners.

תכונת ATS מאלצת יישומים להשתמש בפרוטוקול התקשורת HTTPS, וכאשר היא מושבתת היישום מתקשר עם שרתים בשיטות לא בטוחות ללא הצפנה. חולשה זו יכולה לאפשר לתוקפים ליירט ולפענח מידע שעשוי להיות רגיש.

החוקרים הדגימו עוד כי האקר הנמצא "באמצע" יכול לגשת לנתונים שהורדו משרתי Navblue, כולל מסדי נתוני SQLite המכילים מידע על מטוסים ספציפיים, כמו גם נתוני ביצועים להמראה. החוקרים נתנו את הדוגמה כי כאשר בקרה זו מנוטרלת, תוקף יכול לשנות את נתוני ביצועי המטוס או לשנות מידע לגבי שדה התעופה, כמו אורך מסלול ההמראה או הנחיתה.

יתר על כן, מכיוון שהאפליקציה מתעדכנת כל הזמן במידע אווירונאוטי (כמו נהלים, הוראות יציאה משדה התעופה, נתיבי הגעה סטנדרטיים ושינויי מסלול), התוקפים יכולים לתקוף את ה-Wi-Fi במלון בו הטייסים שוהים ולשנות את נתוני הביצועים של המטוס.

לאחר גילוי החולשה ביוני 2022, איירבוס פרסמה הודעה לציבור 19 חודשים לאחר הגילוי הראשוני. עם זאת, החוקרים מציינים כי לעיתים לוקח זמן רב לתקן שינויים כאלה.

מידע זה נמסר על ידי Cybernews.