Controlando un avión desde un dispositivo móvil: ¿realidad o ficción?

En este blog nos gusta estar de todo lo que se comenta en las múltiples conferencias de seguridad informática que se realizan durante todo el año en todo el mundo. En ocasiones tenemos la suerte de poder acudir en persona a alguna de ellas como la Rooted Con en España o BlackHat y Defcon en Estados Unidos. Nos gustan esas conferencias porque se habla de lo que realmente nos interesa en el laboratorio, desvelando las nuevas vulnerabilidades y fallos de seguridad descubiertos por los investigadores que dan sus ponencias ante un público principalmente técnico.

Una de esas conferencias, la conocida como “Hack in the box” tuvo lugar la semana pasada en Amsterdam y hubo una charla que destacó entre el resto, sobre todo por el revuelo mediático que ha ocasionado. Nos estamos refiriendo a la charla que dio el investigador Hugo Teso y que consistió en tomar el control de los sistemas de navegación y de cabina de un avión, usando para demostrarlo un laboratorio que simulaba un entorno real.

eset_nod32_airplanehack

Hugo, quien además de investigador de seguridad es piloto comercial, ha programado un conjunto de herramientas de explotación llamada Simon y una aplicación complementaria para dispositivos Android. Según este investigador, se pueden usar estos programas para modificar casi cualquier cosa relacionada con la navegación de la aeronave, algo que a más de uno le causará sudores fríos.

Para realizar sus investigaciones, Hugo adquirió una serie de componentes, tanto software como hardware, para replicar los sistemas de un avión comercial. Estos componentes están al alcance de cualquiera que quiera comprarlos en portales como Ebay y no son especialmente difíciles de encontrar. Una vez preparado el laboratorio sobre el que realizar las pruebas, Hugo utilizó las vulnerabilidades presentes en los sistemas de comunicación ACARS y ADS-B (del cual ya hablamos largo y tendido tras asistir a la charla de Renderman en la pasada Defcon) para tomar el control del avión virtual.

En respuesta a esta investigación, la Administración Federal de Aviación (FAA por sus siglas en inglés) asegura que no es posible tomar el control del sistema de navegación de un avión real usando esta técnica. No obstante, tras estas declaraciones Teso anunció que tanto la FAA como la Administración Europea de Seguridad Aerea ya estaban trabajando para resolver estas vulnerabilidades.

Independientemente de quién lleve la razón en este tema, y aun sabiendo que la mayoría de las veces los investigadores que presentan sus descubrimientos en este tipo de eventos suelen acertar, es difícil afirmar categóricamente que la prueba de concepto realizada en un entorno simulado funcione de la misma manera en un entorno real. De cualquier forma, es reconfortante saber que los organismos responsables de gestionar la seguridad de estos sistemas ya están trabajando en una posible solución.

Josep Albors

Google te avisa en caso de intento de piratería en tus cuentas… Pero, ¿lo evita?