EASA: vliegtuig kapen met Android-app onmogelijk

Afgelopen donderdag demonstreerde Hugo Teso op de Hack in the Box-securityconferentie in Amsterdam hoe een vliegtuig met een Android-app gekaapt zou kunnen worden. De Amerikaanse Federal Aviation Administration en de European Aviation Safety Agency laten beide weten dat dit niet mogelijk is.

Teso claimt op de conferentie een Android-app te hebben ontwikkeld waarmee hij een vliegtuig kan kapen door verkeerde informatie aan de communicatiesystemen van het vliegtuig te voeren.

De FAA laat weten dat dit niet mogelijk is. "De FAA is op de hoogte van een Duitse IT-consultant die claimt een beveiligingsprobleem te hebben gevonden met het Honeywell NZ-2000 Flight Management System door gebruik te maken van een desktopcomputer", zo schrijft het agentschap, waarbij enkele feiten verward lijken te worden.

Uit de verklaring blijkt dat Teso wel in staat is om de vliegtuigsoftware van een simulator te kapen, maar dat de aanval, zoals beschreven in zijn presentatie, niet zou werken op software die draait op gecertificeerde vliegtuighardware.

"De omschreven techniek kan niet de automatische piloot van het vliegtuig overnemen via FMS of voorkomen dat een piloot de automatische piloot gebruikt", zo luidt de verklaring. "Daarom kan een hacker niet ‘de controle over een vliegtuig overnemen’ zoals geclaimd werd."

Het bedrijf Rockwell Collins, een van de bedrijven die de systemen maakt die Teso gekraakt zou hebben, onderschrijft deze conclusie van de FAA. "De gecertificeerde luchtvaartsystemen van vandaag de dag zijn ontworpen en gebouwd met veel redundantie en veiligheid", zo stelt een woordvoerster van het bedrijf. "Het onderzoek van Hugo Teso richt zich op tests met een virtueel vliegtuig in een testomgeving, wat niet vergelijkbaar is met een gecertificeerd vliegtuig en gecertificeerde systemen die in het gecontroleerde luchtruim vliegen."

De Europese luchtvaartveiligheidsorganisatie EASA is het hier mee eens en ook piloten stellen dat zelfs al was het mogelijk om de autopilot over te nemen, het waarschijnlijk weinig uit zou maken. "Welke data dan ook in de FMS terechtkomt, en ongeacht waar het vandaan komt, de data moet wel logisch zijn voor het luchtvaartpersoneel. Is dat niet het geval, dan staan we niet toe dat het vliegtuig of wijzelf deze data zullen volgen", zo luidt deels de verklaring van piloot Patrick Smith van het blog Ask the Pilot die al enige tijd vliegtuigmythes onderuit haalt.