柯林斯航空航天：向驾驶舱发送测试短信：test

柯林斯航空航天：向驾驶舱发送测试短信：test
Collins Aerospace: Sending text messages to the cockpit with test:test

原始链接: https://www.ccc.de/en/disclosure/collins-aerospace-mit-test-test-textnachrichten-bis-ins-cockpit-senden

知情方：RTX公司和美国国防部网络犯罪中心（2025年9月21日）。使用凭据test:test，可以以美国海军舰队后勤支援机翼的身份登录ARINC OpCenter消息浏览器（截图）。通过此网络服务，可以向驾驶舱发送短信。出于显而易见的原因，我们没有尝试。可以查看已发送的消息。不幸的是，RTX没有回应我们的漏洞报告。该账户已被禁用。

## 柯林斯航空航天驾驶舱消息漏洞 - 摘要一名安全研究人员发现了一个漏洞，允许使用简单凭据“test:test”向柯林斯航空航天驾驶舱消息系统发送短信。研究人员已将此问题报告给 RTX（柯林斯航空航天的母公司），但未收到回复，随后其帐户被禁用。 Hacker News 上的讨论强调了 RTX 处理安全报告方面的问题，一些评论员提到了此类披露可能导致的法律后果，甚至是在德国采取强硬执法行动。多名用户分享了德国网络犯罪执法部门特别严格的案例。该事件也引发了关于航空航天行业软件质量的争论。一些人认为国防部软件经过严格测试和形式化方法，而另一些人则认为系统通常充斥着基本的安全漏洞，例如默认凭据，并且现代“敏捷”方法并未改善这种情况。该漏洞是在地面系统中发现的，并未直接影响飞行控制，但仍然引发了对整体安全实践的担忧。研究人员使用了公开文档，包括崩溃报告截图，来演示该问题。

Informed parties: RTX Corporation and Department of Defense Cyber Crime Center (on September 21, 2025)

Using the credentials test:test, it was possible to log in at the ARINC OpCenter Message Browser (Screenshot) as U.S. Navy Fleet Logistics Support Wing.

Via this web service, text messages can be sent to the cockpit. For obvious reasons, we did not try that. Sent messages could be viewed.

Unfortunately, RTX did not respond to our vulnerability report. The account was disabled.

柯林斯航空航天：向驾驶舱发送测试短信：test Collins Aerospace: Sending text messages to the cockpit with test:test

柯林斯航空航天：向驾驶舱发送测试短信：test
Collins Aerospace: Sending text messages to the cockpit with test:test