对民航飞机飞行娱乐系统的安全研究

首先要说明一个事实：与新闻报道的相反，实际上是不可能从机上娱乐系统（IFE / IFEC）入侵飞机的。

尽管较早的moving map系统确实从飞行管理系统中获取信息，尤其是在广泛采用GPS之前，当我们使用惯性参考系统时，这种系统上已经安装单向数据二极管很长时间了。

该系统会报告位置，速度，高度等信息，并填充地图，以便乘客知道实时飞行时间。

0x01  攻击面

这是一台386 PC。

最近，你可能已经看到过基于Android的IFE屏幕，从导航按钮可以明显看出。

因此，如果无法从IFE中窃取飞机控制域（ACD，即飞行控制），为什么大家都对IFE的安全性非常关注呢？

主要是为了防止乘客惊慌！

考虑以下情形：

所有IFE屏幕上都会弹出可怕的消息，表明飞机已被黑客入侵，不久将坠毁

移动地图在云中时错误地报告了其位置，并显示飞机直接朝着标志性地标下降

广播“突发新闻”报告，表明该航班已被劫持

至少这些事件对乘客来说是非常令人不安的。在最坏的情况下，由于乘客试图闯入驾驶舱，并认为他们试图“拯救”被劫机者控制的飞行机组，因此可能导致骚乱。

关闭IFE是否会显得更加令人震惊？

“飞机被黑客入侵”是一个很难纠正的故事，即使事实是只有IFE被篡改且ACD没有风险。

因此，这就是飞行娱乐系统的安全性很重要的一个很好的理由。

还有其他一些很好的理由：

飞行中的互联网访问变得越来越普遍，它很少是免费的，因此成为航空公司的收入来源之一。

帐单通常是通过信用卡处理的，因此IFE的安全还有另一个很好的理由。将键盘记录程序或其他与卡数据相关的恶意软件放置到IFE中可能是一种获取卡号以进行欺诈的有趣方法。

在计量计费的互联网访问中，对系统进行篡改以增加带宽或避免付款的情况并不少见。

机上的卫星终端是IFE和ACD / PIESD网络接触的少数地方之一，但它们却被仔细隔离，ARINC 821描述了隔离的要求。但是，这里的深度防御原则是明智的：为什么让攻击者绕过防御层，所以必须保护IFE免受攻击。

通过飞行中的攻击让IFE系统失效也对乘客和机组人员都非常恼火。在长途航班上，投诉会很严重，通常会导致部分退款。尽管现代的IFE系统非常健壮和安全，但是很难防御网络的机载DoS。

最后，如果数据流内容被篡改，将是非常令人不安的。即使不是警报消息，将不良内容流传输到所有pax屏幕也会造成声誉受损。

0x02  研究结论

IFE安全性很重要，幸运的是，这个领域的主要供应商都非常重视安全性，现代的飞行娱乐系统经过严格的测试。

但是，较旧的系统并不是那么健壮。最大的挑战之一是维护尚未考虑当今安全性方法设计的IFE系统的安全性，在较老的机队中看到8-10年的IFE并不少见。确实，我们在最近退役的短途飞机机身上工作，该飞机的视频屏幕带有S-VHS VCR，舱内音乐带有C90卡带。