นักวิจัยด้านความปลอดภัยโชว์เจาะช่องโหว่ระบบ In-Flight Entertainment บนเครื่องบินของสายการบินดัง

ทีมนักวิจัยด้านความปลอดภัยจาก IOActive ได้สาธิตการโจมตีระบบ In-Flight Entertainment System บนสายการบินชั้นนำ และเข้าควบคุมระบบแสดงข้อมูล, ระบบประกาศข่าวสาร และยังขโมยข้อมูลบัตรเครดิตของผู้โดยสารคนอื่นๆ ได้ รวมถึงยังอาจมีสิทธิ์เข้าควบคุมระบบจัดการการบินได้อีกด้วย

การทดสอบโจมตีครั้งนี้เกิดขึ้นกับเครื่องบินที่ใช้ระบบ In-Flight Entertainment System จาก Panasonic Avionics In-Flight Entertainment (IFE) ที่มีการใช้งานบนสายการบินชั้นนำถึง 13 แห่งใหญ่ๆ ด้วยกัน ได้แก่ American Airlines, United, Virgin, Emirates, Etihad, Qatar, FinnAir, KLM, Iberia, Scandinavian, Air France, Singapore, and Aerolineas Argentinas ซึ่งระบบนี้มีช่องโหว่จำนวนมากและสามารถนำมาใช้ในการโจมตีได้ต่อเนื่องหลากหลาย (แต่ในข่าวไม่ได้ระบุว่ายังมีสายการบินอื่นที่ใช้ระบบนี้อีกหรือไม่)

ทางนักวิจัยของ IOActive ได้ออกมาเล่าถึงผลกระทบจากช่องโหว่เหล่านี้ ว่าการโจมตีเหล่านี้สามารถใช้ควบคุมการแสดงผลบนหน้าจอของระบบ IFE, การเปลี่ยนแปลงข้อมูลที่จะทำการแสดงผลแก่ผู้โดยสารคนอื่นๆ, การเข้าควบคุมระบบประกาศข่าวสารบนเครื่องบิน, การ Bypass การตรวจสอบบัตรเครดิต ไปจนถึงการขโมยข้อมูลบัตรเครดิตของผู้โดยสารคนอื่นๆ ที่ทำการสั่งซื้อสินค้าและจ่ายเงินด้วยบัตรเครดิตได้

สำหรับความเป็นไปได้ที่ช่องโหว่นี้จะนำไปสู่การโจมตีระบบจัดการการบินได้หรือไม่นั้น ทาง IOActive ได้ออกมาอธิบายว่าโดยทั่วไปแล้วระบบของเครื่องบินนั้นจะแยกส่วนของการควบคุมการบินออกจากระบบการจัดการความบันเทิงบนเครื่องบิน แต่ก็ไม่ใช่ทุกสายการบินที่จะแยกสองระบบนี้ออกจากกันอย่างเด็ดขาด ดังนั้นก็ยังอาจมีความเป็นไปได้ที่จะเกิดอันตรายจากประเด็นนี้

ช่องโหว่เหล่านี้ถูกรายงานไปยัง Panasonic Avionics ตั้งแต่เดือนมีนาคมปี 2015 แล้วจนทาง IOActive เชื่อว่าเหล่าสายการบินน่าจะมีเวลาจัดการ Patch ช่องโหว่เหล่านี้หมดแล้ว แต่ทาง IOActive เองก็ไม่ได้รับรายงานใดๆ จึงได้ออกมาเปิดเผยช่องโหว่เหล่านี้ เพราะจริงๆ ก็พูดยากเหมือนกันว่าตกลงสายการบินเหล่านั้นได้จัดการ Patch ช่องโหว่ไปหมดหรือยัง แต่อย่างน้อยสายการบิน Emirates ก็ได้ออกมายืนยันแล้วว่าได้ทำงานร่วมกับทาง Panosonic และหมั่นอัปเดตระบบเหล่านี้ให้ปลอดภัยอยู่เสมอ

ที่มา: http://thehackernews.com/2016/12/hacking-in-flight-system.html , http://blog.ioactive.com/2016/12/in-flight-hacking-system.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

VMware เตือนผู้ใช้งานปลั๊กอิน EAP รีบลบออกด่วนหลังพบช่องโหว่ร้ายแรง

VMware Enhanced Authentication Plug-in (EAP) ได้ถูกประกาศยุติการไปต่อมาตั้งแต่ปี 2021 แล้วตั้งแต่ vCenter Version 7.0 update 2 มิหนำซ้ำล่าสุดยังพบช่องโหว่ร้ายแรงอีกต่างหาก ด้วยเหตุนี้ทาง …

รายงานเผย อีเมลฟิชชิ่งสามารถผ่านระบบ Secure Email Gateway เพิ่มขึ้น 105% ในปีที่แล้ว

Cofense ผู้ให้บริการระบบ Phishing Detection and Response (PDR) ได้ออกรายงานฉบับล่าสุด เผยว่าอีเมลฟิชชิ่งสามารถผ่านระบบ Secure Email Gateway เพิ่มขึ้น 105% ในปีที่ผ่านมา