安全研究人员克里斯罗伯茨Chris Roberts上月曾向美国联邦调查局（FBI）承认，他曾通过舱内娱乐系统短暂入侵了飞机的电子监控系统而控制飞机，导致飞机做出了侧向飞行的动作。

一条惹祸的推特

让克里斯惹上麻烦的是一条有他自己发出的推特，他“开玩笑”称控制了飞机。联邦特工立刻发现了这条推特，然后认真评估了克里斯确实具备这种攻击能力。结果飞机降落后， FBI带走了克里斯，约谈了四小时左右，同时没收了其所有电子设备。之后克里斯还被航空公司拒载，差点没参加成RSA大会。

上周五，FBI提交的书面陈述首次公开——克里斯于今年早些时候告诉FBI自己不只一次而是经常在乘飞机时入侵舱内娱乐系统（IFE）。

“在这次谈话过程中，罗伯茨先生说……他在飞机飞行时，利用IFE系统漏洞。在2011年到2014年期间，他大约入侵IFE系统15到20次，他最后一次利用该漏洞的时间为2014年中期。”

他是怎么黑了飞机的？

文件中显示克里斯通过一根经过改装的网线，将自己的笔记本电脑连接到了飞机上的IFE系统，从而使他能够访问其他飞机系统。

据报道，在乘坐飞机时克里斯重写了飞机上推力管理计算机的代码，从而成功地控制了用以发出上升指令的系统。在发出上升指令（CLB）后，克里斯“引起一个飞机引擎盘升，导致飞机做出了了侧向飞行运动”。

克里斯：并没有系统受到伤害

他通过推特表示，旅行中并没有（飞机的）系统受到受害。此外，克里斯在一个采访中就FBI对其言论的断章取义行为进行了辩解。

克里斯表示他这么做只是为了看飞机上的数据流量，并且他认为此类攻击是可能发生的，因此他才尝试在虚拟环境下进行攻击。

但是克里斯此举还是引起了极大的争议。雅虎首席信息安全官亚历克斯·斯塔莫斯（Alex Stamos）在推特上说：

“你不能一边为这类把几百名无辜乘客置于危险处境的研究辩护，一边宣扬安全研究让人类受益。”

目前，克里斯还未因任何罪名被FBI逮捕。

美联航空漏洞奖励计划：100万英里飞行里程

此安全事件发生以来，美国联合航空公司启动了一项漏洞奖励计划，邀请安全研究人员和白帽子们报告网站及app的漏洞。最高可获100万英里的飞行里程奖励，奖励标准依据提交的漏洞类型而分。

美联航空寻求的是与其网站相关的特定漏洞，而入侵和DDoS系统均属上了“禁飞名单”的攻击行为。其中还包括：暴力破解、代码注入在线系统、入侵或测试别人的飞行里程账户、在飞机上测试航空系统（如娱乐系统或WiFi）、威胁或强迫（勒索）内部工作人员和乘客，以及扫描联合航空的服务器。

*参考来源：THN，转载请注明来自Freebuf.COM