空客秘密修补了机载 Flysmart+ Manager 应用程序包中的严重漏洞
Pen Test Partners发现空客公司的 Flysmart+ Manager 应用程序包中存在严重漏洞。 适用于 iPad 的Flysmart+ Manager应用程序是由空中客车公司旗下的NAVBLUE部门开发的,该应用旨在在电子飞行员设备(EFB)以及其他程序和设备上同步和安装最新的航空数据。 Pen Test Partners专家发现,Flysmart+ Manager中的一个主要安全机制被故意禁用。因此,该应用程序可以通过不安全的通道与服务器交换数据,为黑客攻击提供了充足的机会。 电子飞行包(EFB)用于存储和快速访问飞行所需的关键信息。然而,在机场和酒店停留期间,利用该漏洞,可以通过Wi-Fi网络访问它们。在这种情况下,干预很可能不会被发现,因为标准航空公司程序并非旨在检测此类威胁。 iOS版本的Flysmart+ Manager中已禁用应用程序传输安全(ATS)保护。通过分析,Pen Test Partners专家能够访问NAVBLUE服务器上的机密数据。除此之外,他们还能够研究SQLite数据库的结构,其中包含有关飞机特性和起飞性能参数的关键信息。 表格对于正确计算飞机能力至关重要,尤其是在起飞和着陆期间。例如,最低设备清单或标准离场程序表中的错误可能会导致危险的燃料短缺事件。对发动机性能的错误计算会导致例如超速,这是最无害的情况。 研究人员表示:“我们已经与波音、汉莎航空和空客公司合作解决这些漏洞,并且很高兴该问题已成功解决——这是航空安全领域的一项重大成就,禁用 ATS 还允许攻击者拦截和解密任何敏感信息。” 在2022年6月28日向空中客车公司报告该漏洞后,该公司承认了该问题,并承诺在2022年底前在下一版本的Flysmart+ Manager中修复该问题。2023年2月22日,空客专家正式确认应用程序已更新,飞机不再处于危险之中。同年5月26日,该问题解决方案的详细信息已发送给该公司的客户。 Pen Test Partners 专家在致力于网络安全问题的主要会议(包括拉斯维加斯举行的 DEF CON 31)上介绍了该研究的结果。演讲的主题是对发现的漏洞的详细分析以及空中客车公司消除该漏洞的时间顺序。 此外,Pen Test Partners 专家还在 2023 年在都柏林举办的航空航天村和航空 ISAC 活动上展示了结果。 转自安全客,原文链接:https://www.anquanke.com/post/id/293084 封面来源于网络,如有侵权请联系删除
Android 安全计划帮助修复了 Google Play 中的超过 100 万个问题应用
Google在周四的一篇博客文章中称,已有5年历史的Android安全计划帮助修复了Play商店中超过100万个应用程序。当应用程序提交到Google Play商店时,应用程序安全性改进计划的成员将扫描它们是否存在漏洞。如果没有任何问题,应用程序会在Play商店中显示之前进行进入正常测试阶段。 如果出现问题,团队会将应用程序标记给人员并帮助他们修复它,而他们还将提供诊断和后续步骤。 到目前为止,该计划已帮助超过30万名开发人员修复了超过100万个应用程序。就在去年,该计划帮助超过30000名开发人员修复了超过75000个应用程序。这意味着那些易受攻击的应用程序无法提供给存在安全问题的用户。 该公司在博客文章中写道:“保持Android用户的安全对Google来说非常重要。” “我们知道应用程序安全性通常很棘手,开发人员可能会犯错。我们希望看到这个程序在未来几年内不断发展,帮助全球开发人员构建用户真正信任的应用程序。” 本月早些时候Google表示,Play商店每天会在用户设备上扫描超过500亿个应用,以查找和阻止不良应用。 2017年,该公司表示已从Google Play商店中删除了超过70万个不良应用。在2018年,它拒绝了超过55%的应用程序提交量。 App Security Improvement计划涵盖了Android应用中的各种安全问题。这些可以与特定版本的流行库(例如:CVE-2015-5256)中的安全性问题一样具体,也可以与不安全的TLS / SSL证书验证一样广泛。 通过改进现有检查并启动对更多类安全漏洞的检查,不断改进该计划的功能。在2018年,Google为另外六个安全漏洞类别部署了警告,包括: SQL注入 基于文件的跨站点脚本 跨应用程序脚本 泄露的第三方证书 计划劫持 JavaScript接口注入 (稿源:cnBeta,封面源自网络。)
SCADA-ICS 系统移动应用程序存在编码缺陷,或致关键基础设施沦陷
据外媒 1 月 13 日报道,IOACTIVE 研究人员发出警告称有黑客组织日前正瞄准 SCADA-ICS 系统 ,旨在利用其移动应用程序缺乏安全的编码标准,达到攻击关键基础设施的目的。 SCADA-ICS ( Supervisory Control and Data Acquisition Industrial Control Systems )— 监督控制以及数据采集工业控制系统, 表示在关键基础设施上运行的工业自动化系统,负责清洁水、能源等关键服务的控制和运行。 近期,IOACTIVE 的研究人员发布了一份报告,分析了连接到物联网和移动应用程序的 SCADA-ICS 系统的安全影响。 该报告指出,移动应用存在于许多 ICS(工业控制系统) 领域,具体可分为两类:本地(Wi-Fi,蓝牙)和远程应用(互联网,VPN),目前这两类主要受到三种形式的攻击,如未经授权的物理访问到设备或 “ 虚拟 ” 访问设备数据、通信渠道泄露( MiTM )、应用程序泄露。 考虑到这些攻击,移动 SCADA 应用程序可能直接或者间接地影响工业过程以及工业网络基础设施,并威胁操作员对系统执行有害操作。 据 IOACTIVE 透露,该研究基于 OWASP 2016 进行,分析了 34 家在 Google Play 商店上发布应用程序的供应商。目前已确定有 147 个与安全编码编程相关的问题( 该安全编码可能允许代码被篡改 )。 研究人员发现利用这些问题黑客可以远程控制智能手机,以进一步攻击在硬件和软件上使用的易受攻击的 ICS 应用程序,并且几乎每个应用程序都增加了16 个漏洞,例如一些应用程序中包含不安全的授权,而这些授权并没有经过任何形式的身份验证;由于缺少代码混淆,其他的漏洞也存在逆向工程;再加上不安全的数据存储和意外的数据泄露,使得黑客可以访问与 SCADA 系统相关的应用程序或数据。 由于这些新的漏洞构成了巨大的威胁,甚至超过了 2016 年乌克兰袭击所造成的损害,因此为了减少社会安全受到的威胁性,IOACTIVE 建议应用程序开发人员在开发计划中考虑安全编码。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。