in

PlaneSploit: ¿Es posible hackear un avión con una aplicación para Android?

En las últimas horas ha estado circulando una historia que apunta a un investigador de nombre Hugo Teso, quien trabaja para la firma alemana N.Runs. Durante la edición 2013 de la conferencia Hack in the Box, Teso probó en un entorno virtual que se puede llevar a cabo un ataque a través de los sistemas ADS-B y ACARS utilizados en el control de tráfico aéreo, basado en una aplicación para Android. Dicha aplicación podría modificar varios parámetros relacionados a la navegación de un avión, con consecuencias potencialmente desagradables. Compañías y agencias gubernamentales han dicho que el hackeo no puede aplicarse sobre aviones reales, pero la demostración ha causado mucho ruido…

Es una de esas situaciones que la prensa no tan especializada adora: “Hacker cambia la ruta de un avión con su teléfono móvil”. ¿Qué publicación podría resistirse a algo así? La historia comienza en la conferencia Hack in the Box 2013, donde un investigador y experto en seguridad llamado Hugo Teso, actualmente empleado en la firma alemana N.Runs, detalló cómo es que las vulnerabilidades presentes en dos sistemas, el ADS-B (Automatic Dependent Surveillance-Broadcast, o como Teso lo explica en términos sencillos, el reemplazo del radar para los próximos años), y el ACARS (Aircraft Communications Addressing and Reporting System, sistema de intercambio de mensajes entre aviones y estaciones en tierra), pueden permitir a un atacante realizar diferentes acciones en un avión, desde desplegar las mascarillas de emergencia hasta ordenar cambios en su curso.

El panorama es perturbador, pero todo se vuelve un poco más tenebroso si tenemos en cuenta las herramientas, que de acuerdo a lo publicado son un framework de explotación (llamado SIMON), una radio definida por software, y una aplicación para Android de nombre PlaneSploit. Aunque el framework sólo puede operar en entornos virtuales, lo cierto es que los procesos de conexión y los métodos de comunicación podrían extenderse sin mayores inconvenientes a un avión real. El framework es prácticamente imposible de detectar una vez que ha sido desplegado en el sistema de administración de vuelo, por lo que no necesita ser camuflado. Algunas de las demostraciones que Teso realizó fueron cambiar el curso, generar alarmas en la cabina, y por supuesto, estrellar el avión.

Las vulnerabilidades presentes varían mucho entre aviones y fabricantes, y una solución dentro de todo sencilla para los pilotos es desactivar el piloto automático y volar el avión manualmente utilizando instrumentos convencionales. Sin embargo, las autoridades ya se han puesto en movimiento. La gente de Honeywell se ha contactado con N.Runs y evaluarán esta situación, pero reiteran que la demostración está basada en un simulador de vuelo, y que su software certificado usado en vuelos comerciales posee protecciones contra sobreescrituras y corrupción de datos. Rockwell Collins también llega a las mismas conclusiones que Honeywell, y tanto la Agencia Europea de Seguridad Aérea como la FAA estadounidense se adhieren a la idea de que esta simulación en tierra no representa un riesgo para el hardware y software certificado en operación actualmente. Aún así, además de ser un experto en seguridad, Hugo Teso fue piloto comercial por doce años, por lo que sabe muy bien de lo que está hablando…

Reportar

¿Qué te pareció?

Escrito por Lisandro Pardo

9 Comments

Leave a Reply
  1. pullwifi te ayuda para buscar claves de intenet de tus vecinos … si una señal invade tu casa no es tu culpa que la uses ya que invade propiedad privada asi que tampoco es tu culpa que el vecino no sepa como configurarla para que nadie sepa cual es 😛

  2. Esto ya lo vi en alguna película, el "loco" que a visiona la catástrofe y los "listos" de turno que lo desestiman… y al final muchos tienen que morir para que acepten la realidad. Solo que en la realidad no habrá héroe que salve el día.

    Hablando enserio, por que no suben a este muchacho con su móvil a un avión comercial (sin pasajeros), ponen su teoría a prueba con equipo real y se sacan la duda?…Yo si fuera ellos no me confiaría de nigun protocolo ni narices, que "la curiosidad mato al gato, y la confianza mato al perro!!!". 🙂

    Salu2

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Playfun: Un programa que aprende a jugar títulos de NES

Google y la función que administra las cuentas de quienes han fallecido