美国土安全部网络安全与基础设施安全局(Cybersecurity and Infrastructure Security Agency,CISA)在本周二发布的一个安全警告指出,由于小型飞机常用的“控制器区域网络总线(Controller Area Network,CAN)”数据总线——面向小型飞机、车辆及其他平台的设备联网协议——在实现上存在安全漏洞,具备物理接触条件的恶意攻击者就可以通过接入小型飞机数据总线的方式,向小型飞机注入如引擎读数、方向、高度、空速等多种虚假数据,从而使小型飞机的驾驶者无法分辨数据的真伪,最终可能令受此攻击的小型飞机失去控制。因此,网络安全与基础设施安全局建议小型飞机的所有者应设法防止他人靠近自己的飞机,并建议美国的小型飞机制造商参考汽车行业的做法,为处置上述潜在风险提供额外的安全措施。
网络安全与基础设施安全局安全警告所提及的小型飞机数据总线漏洞,由美网络安全公司Rapid7所发现。该公司研究人员帕特里克.基利(Patrick Kiley)在一篇描述该漏洞的博客文章中指出,小型飞机制造商没有充分地考虑其产品的网络安全性,而导致这一结果的原因可能是它们重视物理安全超过网络安全。基利还认为,尽管物理安全措施非常重要,但小型飞机制造商也需要考虑其产品在数字层面的“纵深防御(Defense-in-depth)”。
今年以来,美国各界开始关注航空业界的网络安全问题,《纽约时报》近期的一篇报道就指出美国联邦航空管理署(Federal Aviation Administration,FAA)的监管行为存在严重不足。特朗普政府在今年二月也曾呼吁美国政府各部门要合作应对发生在美国空域内的网络安全威胁。
声明:本文来自国际安全简报,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
