Deze week gaf beveiligingsonderzoeker Hugo Teso tijdens Hack in the Box in Amsterdam een presentatie over het hacken van vliegtuigen. De onderzoeker stelt dat het ‘Aircraft Communications Addressing and Reporting System’ (ACARS) niet beveiligd is. Dit systeem wordt gebruikt voor communicatie over vluchtplannen, positie- en weerinformatie via radio of satelliet tussen vliegtuigen en grondstations. Teso werkt als beveiligingsonderzoeker bij het Duitse bedrijf n.runs en is gecertificeerd als piloot op commerciĆ«le vliegtuigen.
De Amerikaanse luchtvaartautoriteit Federal Aviation Administration (FAA) stelt in een reactie echter dat het overnemen van een vliegtuig op de wijze die Teso heeft gedemonstreerd niet mogelijk is. De FAA gaf aan bekend te zijn met het onderzoek van Teso, maar dat gecertificeerde systemen die in vliegtuigen worden gebruikt niet kwetsbaar zijn voor deze aanvallen. De Europese tegenhanger European Aviation Safety Agency (EASA) bevestigt dit standpunt.
Tijdens Hack in the Box gaf Teso een demonstratie van het uploaden van data naar het Flight Management System (FMS) via ACARS. Hij maakte hiervan gebruik van een simulatie van vliegtuigen en grondstations, gebaseerd op hardware en software die in echte vliegtuigen wordt gebruikt. Teso was met zijn speciaal ontworpen code (SIMON) en een zelfgeschreven Andoid app PlaneSploit in staat de besturing van een virtuele Boeing die op autopiloot vloog over te nemen.
Volgens de FAA zou het onderzochte Honeywell NZ-2000 Flight Management System en Rockwell hardware in het echt niet kwetsbaar zijn voor de getoonde aanval. Daarnaast zou een piloot door het uitschakelen van de automatische piloot direct weer controle krijgen over het vliegtuig.