本文讲解了研究人员在实验环境下使用飞行模拟器,利用空中防撞系统欺骗攻击迫使飞机改变正常航线,危及飞行安全。
概述
空中交通预警和防撞系统(TCAS)最早是在1980年代初开发的,它使用飞机上的应答机在一定距离范围内询问其他飞机的距离、高度和航向。如果检测到碰撞航线且飞机配备良好的系统,则将发出TCAS警报。
该系统有多个级别的警报和建议:
最初,空中交通警报(TA)会向飞行员发出注意冲突交通的警报,如果不采取任何措施,将会发出进一步的警报。TCAS II还可以提供决断咨询(RA):
决断咨询(RA)为飞行员提供了特定的指令以避免交通冲突,这些可能是建议一位飞行员爬升而另一架飞机的飞行员下降,反之亦然。TCAS II 下的RA决策始终是垂直的,即上下避撞措施,并没有左右避撞的能力。
演示视频:
https://v.youku.com/v_show/id_XNDY2MDk5NTc2MA==.html
所需的爬升/下降速率将会显示在飞行员主飞行显示屏的飞行指挥仪上,绿色的”fly to”区域显示在垂直速度带上,所以这是一个“追针”以避免碰撞坠毁的问题。
在某些自动驾驶模式下(主要是在空中客车上),飞机将自动跟随TCAS RA并在没有飞行员指令输入的情况下爬升或下降。
关于TCAS还有更多的细节,以及飞行员由于未遵循TCAS RA而导致的许多空中碰撞事故。
然而,有研究表明,人们可以创建伪造的TCAS通信。
我们进一步研究了配备有自动驾驶仪的飞机在某些情况下是如何自动做出响应进行决断咨询的。
方法
从技术上讲,我们首先需要对构成应答机数据基础的RF通信有所了解。
TCAS使用二级监视雷达应答机的响应,有两种类型可用于计算其他飞机的位置。S模式传输唯一的24位飞机地址码以及高度和GPS衍生的位置数据, C模式只传输4位数的应答机代码和高度信息,因此TCAS单元本身会根据这些传输来计算距离和方位。美国联邦航空管理局(FAA)对 TCAS的完整介绍可参考此处。
S模式的数据被称为“扩展断续振荡器”,并且使用曼彻斯特编码的 PPM(脉冲位置编码)以1Mbps的速率在1090MHz上发送数据包。数据结构实际上很容易解码,价格便宜的10美元DVB USB软件狗可以让你自己绘制飞机数据。[ https://www.rtl-sdr.com/adsb-aircraft-radar-with-rtl-sdr/ ]
TCAS并不笨——它可以同时分析冲突飞机的多个输入。但是,它将优先处理最紧迫的冲突,先处理该冲突,然后再处理下一个紧迫的冲突,这是一个非常合乎逻辑的过程。
创建真正的警报是完全可能的,但是非常危险且非法。因此,我们只能从事飞行模拟器的研究。模拟器模型显然存在局限性,但这些模拟器是为批准的训练而开发的,应该以非常类似于真实飞机的方式处理TCAS警报。
我们对假飞机的多种配置进行了实验,遍历了不同的假飞机“堆叠”的情况,以确定如何使TCAS做出响应,从而使受害飞机朝我们选择的方向移动。
首先,我们给它设计了一堵简单的“墙”,上面的飞机比下面的多。
毫无疑问,TCAS的反应是陡然下降。
然后,我们在无形的“飞机墙”上向它显示了更多的飞机,这超出了其爬升和下降性能的极限。
最后,我们向其展示了假飞机的“楔形”分布,看看TCAS是否会按照我们的预期方向提供RA。
我们对此进行了合理解释,以至于我们只需要三架假飞机就能提供一个RA,导致飞机爬升速度超过3000英尺/分钟。
通过仔细放置这种“幽灵飞机”,我们也能导致TCAS RA逆转:
伪造的TCAS警报最可能的后果是,飞行员将关闭TCAS决断咨询,甚至可能关闭交通咨询。假飞机没有出现在雷达上,飞行员会意识到它们是假的,并试图抑制假警报。牛津大学的一篇论文对此进行了证明。
仅在显示如下开关时才提供决断咨询:
如果没有,则不会给出RA;如果设置为“ STBY”,则不会发出任何交通警报:
结果,TCAS不会向飞行员发出有关交通冲突的警报。不过,地面站会继续监视冲突并适当地向飞行员提供警告。
缓解因素
如果发出交通警报,则交通会显示在PFD上。然而,飞行员还有其他识别交通的方法,包括雷达。如果TCAS数据与雷达上显示的不匹配,那么其合法性就会受到质疑。
此外,地面控制人员也具有识别冲突交通的系统。实际上,地面控制员很可能会在TCAS发出警报之前就识别出潜在的交通。
另外值得一提的是,轻型飞机上配置不当的应答机可能会导致TCAS误报,所以误报情况并不罕见。轻型飞机中的C模式和 S模式应答机可以传输高度数据,如果高度编码器校准错误或出现故障,则可以在更高海拔飞行的飞机上创建恶意TCAS警报。
牛津大学的出色研究着眼于飞行员在类似情况下的表现。他们的研究表明在许多情况下,经验丰富的飞行员会关闭TCAS决断咨询以应对错误的警报。
这导致一个令人担忧的结论,即飞行员可能首先感到恼火而禁用TCAS RA,然后将无法处理合法的TCAS警报。一种“狼来了”的攻击版本。
以上所有这些逐渐破坏了TCAS的有效性,因为飞行员对系统的信任度降低了。
结论
我们已经证明,通过不可靠的应答机广播,精心地放置假飞机会导致在自动驾驶仪控制下的飞机向合法交通航线爬升或下降。也可以指示飞行员遵循同样的恶意决断咨询,或者通过混淆使其无意中禁用安全系统。
未来
下一代TCAS称为ACAS-X,从ADS-B 接收包含GPS数据的输入。除了ADS-B相对较容易欺骗之外,下一代技术将使TCAS欺骗更加困难。显然,这增加了制造假飞机的复杂性,但仍完全在那些具有RF专业知识的业余爱好者能力范围内。
译文,原文链接: https://www.pentestpartners.com/security-blog/jeopardising-aircraft-through-tcas-spoofing/
*本文作者:bey0nd,转载请注明来自FreeBuf.COM
来源:freebuf.com 2020-06-18 08:00:06 by: bey0nd
请登录后发表评论
注册