資安業者IOActive本周大爆航空公司所使用的Panasonic Avionics機上娛樂系統(In-Flight Entertainment Systems,IFE)含有許多安全漏洞,將允許駭客掌控IFE系統並竄改乘客螢幕上所顯示的資訊,然而,Panasonic Avionics很快便發表聲明否認此事,並說IOActive的說詞毫無根據。
IOActive首席安全顧問Ruben Santamarta指出,他分析了在網路上找到的Panasonic Avionics IFE韌體更新檔案,發現它們可能含有可繞過刷卡機制、存取任意檔案及資料隱碼攻擊(SQL Injection)攻擊等安全漏洞。
這些漏洞將允許駭客變更乘客螢幕的顯示內容,像是高度、速度或是飛行路線等;也可能入侵機組人員所使用的設備,控制機上的照明;或是繞過刷卡機制以免費使用網路或付費影片等服務。且至少有13家航空業者採用由Panasonic Avionics所開發的機上娛樂系統。
Santamarta說明,即使飛機的操作控制系統與娛樂系統通常是隔離的,但兩個系統之間也許存在實體的連結能力,令駭客有機會跨越控制系統與娛樂系統間的紅線。
Panasonic Avionics為松下(Panasonic)集團旗下專門開發機上娛樂系統的子公司,IOActive在2015年3月便把相關發現提報給Panasonic Avionics。
Panasonic Avionics很快便提出回應,指出IOActive的聲明是不正確又虛幻的,充滿著假設的情境,他們極不同意駭客可能透過IFE系統入侵飛機控制系統的暗示。
Panasonic Avionics指出,IOActive的結論缺乏任何實際的發現或事實,所宣稱的潛在影響說好聽一點是理論上的,說難聽一點則是危言聳聽,同時也缺乏可支撐其論點的證據。該公司亦強調其IFE系統擁有健全的安全設計,符合或超越所有的安全規定,除了經常邀請第三方資安業者展開測試外,也有獨立的抓漏獎勵專案。