SQL injection w samolotowym systemie infotainment – lot z Warszawy

Kiedyś już pisaliśmy o potencjalnych problemach w systemach IT w samolotach.

Jeden z badaczy bezpieczeństwa nie bardzo lubi latać samolotem (to pocenie się w trakcie startu :/), więc próbuje skupić uwagę na potencjalnych problemach bezpieczeństwa w systemach bezpośrednio udostępnianych w samolocie pasażerom.

Dzięki temu mamy spore opracowanie analizy jednego z systemów Panasonica: przez analizę firmware, możliwości omijania płatności po możliwość odczytu dowolnych plików, czy SQL injection.

Zaczęło się od tego:

While I was flying from Warsaw to Dubai two years ago, I decided to try my luck and play with the IFE a little bit, touching this and that. Suddenly, after touching a specific point in one of the screen’s upper corners, the device returned this debug information.

Debug poprzez naciśnięcie odpowiedniego punktu na ekranie ?!? A to tylko początek.

Dla tych, którzy nie lubią czytać, przykład SQLi:

Podatności zostały zgłoszone w marcu 2015, a dopiero teraz są publikowane.

–ms