Was, wenn ich mit meinem Android Smartphone dank einer App wie PlaneSploit als vermeintlich harmloser Passagier die Kontrolle über ein Verkehrsflugzeug erlangen könnte? Geht nicht? Seid euch da nicht so sicher!

PlaneSploit: Flugzeugentführung leicht gemacht dank Android App

Derzeit findet in Amsterdam in Holland die Hack In The Box-Conference statt und dort befindet sich auch Hugo Teso, Pilot und Sicherheitsexperte, der eben exakt diese App PlaneSploit vorstellte. Mit dieser App und dem passenden Exploit-Framework (SIMON) ist er in der Lage, zu einem gewissen Grad die Kontrolle über das Fluggerät zu erlangen.

Wie geht das? Er nutzt dafür die veralteten Bord-Systeme Automatic Dependent Surveillance-Broadcast (ADS-B) und das Aircraft Communications Addressing and Reporting System (ACARS). So wie Teso berichtete, wimmelt es in beiden Systemen, die den Bord-Computer mit der Bodenstation kommunizieren lassen, nur so vor Sicherheitslücken. Lücken, die er ausnutzt mit seiner App. Vorweg: Natürlich will er weder real ein Flugzeug kapern oder sonstigen Schaden anrichten, daher hat er darauf geschaut, dass diese Schritte so nur in einer virtuellen Umgebung ablaufen. Man könnte allerdings die App jederzeit so anpassen, dass es eben auch wirklich an Bord eines Fliegers funktioniert. Folgende “Features” werden für die App aufgezählt:

  • Please go here: A way of interacting with the plane where the user can dynamically tap locations on the map and change the plane’s course.
  • Define area: Set detailed filters related to the airplane, for example activate something when a plane is in the area of X kilometers or when it starts flying on a predefined altitude.
  • Visit ground: Crash the airplane.
  • Kiss off: Remove itself from the system.
  • Be punckish: A theatric way of alerting the pilots that something is seriously wrong – lights start flashing and alarms start buzzing.

Mit seinem Exploit-Framework kann Teso die Kontrolle übernehmen, allerdings nur bei aktiviertem Autopilot. In diesem Fall kann er Flugpläne ändern, könnte ein Flugzeug also komplett woanders hinfliegen lassen. Damit noch nicht genug: In seiner Vorführung demonstrierte er auch, dass man nicht einmal an Bord sein muss, um so eine Maschine zu übernehmen. Voraussetzung ist ein Funksignal, das stark genug ist und man könnte die Kontrolle auch von außerhalb erlangen, ohne jemals an Bord gewesen zu sein!

Wie sowas sein kann und wieso ausgerechnet in so einem sensiblen Bereich die Systeme solche Lücken vorweisen und so veraltet sind, ist mir ehrlich gesagt ein Rätsel. Teso ist ein absoluter IT-Fachmann und selbst auch Pilot, daher hoffe ich darauf, dass nicht jeder einigermaßen begabte Coder hier eine ähnliche App auf die Beine stellen kann. Von Teso selbst geht logischerweise keine Gefahr aus – andererseits hätte er sicher auch keinen Vortrag darüber gehalten. Im Gegenteil: Zusammen mit der Flugzeugindustrie arbeitet er nun daran, dass besagte Sicherheitsmängel korrigiert und ausgemerzt werden. Gruselig bleibt die Geschichte aber dennoch!

Newsletter abonnieren

RSS-Icon Immer auf dem Laufenden bleiben? Dann abonniere unseren RSS-Feed!
  • http://www.facebook.com/monty.de Monty De

    @MobileGeeks: Der Mann hat doch nichts Böses getan und hat es doch nicht verdient als Huso bezeichnet zu werden.
    ähem…(Mit seinem Exploit-Framework kann Huso die Kontrolle übernehmen…)

  • tauerman

    Wo gibt’s die App zum Download?
    ;)

  • SebastianMauer

    Naja ADS-B Out ist ja erstmal nichts gefährliches (Tipp: Einfache DVB-T Sticks lassen sich einfach zum ADS-B empfänger ummodeln)…hier scheint es (http://www.commandercat.com/2013/04/hitb2013.html) das auch Daten *zum* Flugzeug fließen sollen, was in den Zeiten von Software Defined Radio allerdings durchaus auch für den ambitionierten Hacker in den Rahmen des möglichen geschoben wurde (USRP + passended Daughterboard = ~ 1800-2000 USD).

    Ich bin mal gespannt was er in seinem eigentlichen Talk so alles erzählen wird, sollten die Airline-spezifischen Appliances allerdings wirklich so anfällig sein haben wir vermutlich ein Problem ;)

  • Pingback: Android App PlaneSploit macht Flugzeugentführungen möglich! | Android Schweiz

Trackbacks & Pingbacks

  1. Pingback: Android App PlaneSploit macht Flugzeugentführungen möglich! | Android Schweiz