IOActiveで働いてきた5年間で、私は自宅から数千キロ離れた興味深い場所に行きました。 そのため、私にとってフライトは当たり前になっています。 これは特別なことではないと思うかもしれませんが、私にとっては、飛ぶことを恐れている人ではありません。 私がこの恐怖症をなんとか取り除くことができたと言っているわけではありません。 数十回のフライトの後、離陸中に手のひらが汗をかきますが、私はそれを我慢します。



恐怖を克服することで、私は航空機の機能を研究し、騒音、ジャンプ、乱気流に慣れることで助けられました。 この記事では、搭載システム、特に、Panasonic Avionicsが開発した搭載エンターテイメント情報システム（BRIS）の仕組みについて説明します。



2年前、ワルシャワからドバイに飛んでいたときに、BRISで少し遊ぶことにしました。 そして、画面の上の隅の特定の場所をクリックすると、次のデバッガーデータが表示されました。

---- Interactive: ek_seatappbase_1280x768_01.01.18.01.cram Content: ek_seatappcontent_1280x768.01.01.8.01.cram Engine: qtengine_01.14.0.01.squash LRU Type: 196 2 IP: 172.17.148.48 Media Player Auto Popup Enabled: false -----
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ドバイに到着してGoogleでキーワードを検索した後、パブリックドメインのさまざまな航空会社のファームウェアを数百個見つけました。









明らかに、ファームウェアはアクティブに更新されているため、ボードにインストールされている実際のファームウェアにアクセスすることが可能です。 現在まで、ファイルはまだ存在していますが、ディレクトリのリストへのアクセスは閉じられています。



以下は、私がファームウェアを見つけることに成功した航空会社のリストです。

• エミレーツ
  
  
• エアランス
  
  
• Aerolineas argentinas
  
  
• ユナイテッド
  
  
• 処女
  
  
• シンガポール
  
  
• フィンエアー
  
  
• イベリア
  
  
• エティハド
  
  
• カタール
  
  
• Klm
  
  
• アメリカン航空
  
  
• スカンジナビア
  
  

BRISの基本アーキテクチャは次のとおりです。

システム制御ユニット（BUS）

これは、認定されたオンボードサーバーです。 乗客は、原則として、風速、緯度、経度、高度、船外の温度などの現在の飛行パラメータをリアルタイムで監視できます。 BUSは、アビオニクスバス（通常はARINC 429）を介してこのすべての情報を受信し、議長情報端末（ITC）はイーサネット経由でアクセスできます。

アームチェアインフォメーションターミナル（ITC）

これは取り外し可能なリニアユニットであり、乗客は映画の視聴、商品の購入、記事の閲覧、インターネットへのアクセスなど、パッシブおよびアクティブなBRIS機能にアクセスできます。 簡単に言えば、これはタッチスクリーン付きの組み込みデバイスです。 新しいモデルはAndroidを使用しますが、古いモデルはほとんどがLinuxです。









TECの取り外しはRave AIXであり、Panasonic Avionicsモデルではありません（ ソース ）

個人管理デバイス（PUU）

これはオプションのデバイスです。 PUCを使用すると、ITCを管理できます。また、以下に示すように、クレジットカードの端末としても機能します。

キャビンクルーパネル

このパネルの助けを借りて、客室乗務員および他の乗組員は、ライト、ドライブ（ベッドを含む）、乗客の告知、機内購入、または人員呼び出しシステムなどの航空機機能を制御できます。 キャビン管理システムは通常、BRISと統合されています。 パナソニックアビオニクスは、グローバルコミュニケーションサービスの助けを借りてこれを行い、コックピットからの簡単な操作に共通の機能を提供します（ こちらを参照）。 CrewApp乗組員アプリは、客室乗務員パネルから利用できます。

パナソニックのBRIS

パナソニックBRIS：Legacy 3000 / 3000iおよび新しいXSeries eFX、eX2、eX3（Android上）。 ハードウェアコンポーネントは異なる場合がありますが、アーキテクチャは似ており、共通の特性があります。



パナソニックのBRISの詳細については、Webサイトをご覧ください 。



これらのシステムはカスタマイズできるため、航空会社は航空会社のポリシーに従ってBRISを設定できますが、コードベースはほぼ同じです。



ファームウェアを分析した後、地上にデータをロードする方法を見つけることができませんでした。 通常、コンテンツはWi-Fiアドホックネットワークを介して、または飛行機が着陸するとすぐに高速モバイル接続を介して更新されます。 パナソニックのBRISは、主にFloppinetを介して更新されます。 飛行中の衛星またはモバイルネットワークとの通信は利用できますが、ほとんどの場合、BRISは事前にロードされたコンテンツで自律的に動作します。 通常、BRISはリアルタイムでクレジットカードをチェックしません。



パナソニックアビオニクスBRISは、3つの主要なコンポーネントを備えたクライアント/サーバーアーキテクチャに準拠しています。

• クルーアップ
  
  
• Seatapp
  
  
• バックエンド
  
  

上記のページからCrewAppとSeatAppのいくつかのバージョンを見つけました。 キーワードをGoogleで検索すると、さまざまな.aeroサイトのパブリックドメインでバックエンドを見つけることができました。 彼らは航空会社からブランド化されたユニークなデータを持っているという事実にもかかわらず、それらのコードベースはパナソニックのバックエンドからのものです。



航空会社がフレームワークを拡張および適合させるため、BRISのすべてのオプションを1つの記事で網羅することは不可能であるため、後で特定の機能に焦点を当てます。









LinuxでのSeatAppの再起動



分析したファームウェアファイル（この場合、ユーザーがサポートしていないデバイスで実行されるプログラム）には、システム全体が含まれておらず、更新が必要な部分のみが含まれていました。 悲しいのはこれ これらのデバイスの操作に関する詳細情報を見つけることができましたが、利用可能なファイルの助けを借りていくつかの興味深い点を明らかにすることができます。

スクリプト

パナソニックアビオニクスは、メインアプリケーションのユーザーインターフェイスおよび機能と対話するための宣言型スクリプトプログラミング言語を開発しました。 何十ものチームをサポートし、優れた機能を備えています。









サンプルのコア/startup.txtコード



メインバイナリファイル（airsurf）のリバースエンジニアリングにより、このようなスクリプトのパーサーがどのように機能するかがわかります。 デモンストレーションのために、 #defineを見てみましょう。



スクリプトは1行ずつ処理され、パーサーが#defineコンストラクトを検出すると、それをsub_80C2690に解析しようとします。









この関数では、フラッシュ、テキスト、描画、タイマー、値の5つのタイプを定義できます。









スクリプトの最初の行には、値[値]を持つ#defineが含まれています。処理方法を見てみましょう。



まず、文字列が解析され、名前の定義が取得されます。 次に、パーサーは、番号（緑色のブロックの下）が番号（緑色のブロックの下）かどうかをチェックします。









値が数値ではない場合、さまざまな変数と比較され、一致が見つかった場合、その値に置き換えられます。









値が数値の場合、名前/値のペアがグローバルアレイの定義に追加されます（下の青いブロック）









cmdコマンドの場合、バイナリはcmdテーブルから目的の関数を呼び出し、引数を渡します。









ここでは、いくつかの興味深い機能を見つけることができます。たとえば、クレジットカード情報を端末で有効化した後に読み取る機能です。















カードリーダー（/ dev / ccr）から受信したデータは、解析、印刷、検証されます。









シェルスクリプト、構成ファイル（埋め込み資格情報を含む）、データベース、リソース、ライブラリなどの通常のファイルも見つけることができます。



Panasonic BRISのリセットが発砲されたツイートの1つで、次の情報を見ました。 SeatAppBaseアプリケーションのファイルは、検討中のものと同じです。









loadlru.h



BRIS Xの新しいバージョンでは、パナソニックはAndroidに切り替えたため、古い.txtスクリプトはQT QMLを使用するアプローチに置き換えられました。









バックエンドはPHPを使用します。 脆弱性はすぐに明らかになります。









上の画像は、乗客が互いにメッセージを送信できる座席間のチャット機能を示しています。 ここで何が間違っているかを推測することは難しくありません。これが唯一の問題ではありません。



次のビデオは、脆弱性の悪用を示していますが、先入観はありません。

1. クレジットカードのチェックバイパス

   
   
   
   
   
   
2. ファイルアクセス（例：/ dev / random）

   
   
   
   
   
   
3. SQLインジェクション

   
   
   
   
   
   

潜在的な脅威

それでは、BRISのこのような脆弱性を悪用することにより、攻撃者はどこまで行けるのでしょうか？ この質問に対する明確な答えはありませんが、特定のシステムメーカーに固有ではないいくつかの一般的なケースを検討し、システムのより多くの側面を検討することでこれを行います。



航空のリアルタイム運用システムの仕様を定義するDO-178B規格によれば、BRISはレベルDとEの間になければなりません。PanasonicAvionics BRISはレベルEで認証されています。つまり、システム全体が故障しても、乗客に何らかの不便を与えるか、変更します。



また、航空機の情報ネットワークは、処理されるデータの種類に応じて4つの部分に分かれていることに注意してください：乗客用娯楽、乗客用デバイス、航空会社情報サービス、および航空機制御。



航空機の制御は、ネットワークの同じ部分に属し、乗客の部分から物理的に分離する必要がありますが、これは常にそうとは限りません。 一部の船舶は光情報ダイオードを使用していますが、他の船舶はネットワークゲートウェイモジュールを好んでいます。 これは、2つの部分の間に接続が存在する限り、潜在的な脅威を除外できないことを意味します。



BSIDは攻撃ベクトルである可能性があります。 場合によっては、この種の攻撃はシステムの分離により不可能な場合もありますが、システムの物理的な接続により潜在的な脅威が残っている場合もあります。 IOActiveは、他の車両のゲートウェイを正常に侵害しました。 特定のデバイス、ソフトウェア、および航空機の設定により、乗客システムと制御システム間の境界線が明確に定義されています。



2014年に、航空機搭載端末を含む衛星通信デバイス（SATCOM）の一連の脆弱性を公開しました。 何よりも、これらのデバイスはシステムのさまざまな領域で使用されているため、攻撃者は機器を使用して、侵害されたBRISを通じてアビオニクスにアクセスできます。



IT側から見ると、BRISのハッキングとは、搭乗者が受け取る情報を攻撃者が制御できることを意味します。 たとえば、高度や速度などのフライトデータを変更し、地図上に航空機のダミールートを表示できます。 攻撃者は、個人用のCrewAppアプリケーションを危険にさらし、上記のクラスのライトまたはドライブを制御できます。 これらの脅威が組み合わされると、乗客は混乱する可能性があります。



クレジットカード情報を含む個人情報の取得は、フライトの頻度やVIPメンバーシップに関する特定の情報を提供するバックエンドが適切に構成されていない場合にも行われます。



一方、セキュリティリスクなしで、Wi-Fiネットワークを確実に構成できます。



私たちの意見では、そのようなシステムは経験豊富な攻撃者からの深刻な攻撃に耐えることができないと言いたいと思います。 航空会社は慎重に分離されたシステムを提供し、セキュリティのあらゆる側面を段階的にテストすることで、BRISに関して慎重になる必要があります。 安全に対する責任は、BRIS開発者、船舶メーカー、またはオペレーターだけにありません。 誰もが環境の安全において重要な役割を果たしています。

開示責任

パナソニックアビオニクスの脆弱性を2015年3月に報告しました。見つかった脆弱性、少なくとも最も明白な脆弱性を閉じるのに十分な時間があることを願っています。 それにもかかわらず、これらの問題はすべて、さまざまな航空会社と数百の製品バージョンが関係している地域で解決されたとは言い難いと思います。