Ruben Santamarta defende que um hacker poderia explorar as vulnerabilidades que encontrou para encetar um ataque em diferentes frentes, afetando o sistema de entretenimento a bordo e também sistemas críticos de voo e sensores. A Boeing nega que esta exploração seja possível e Santamarta também assume que não tem o contexto completo ou acesso a um avião de 250 milhões de dólares para poder provar o seu conceito.
Durante a Black Hat, conferência especializada em cibersegurança, o investigador a trabalhar na IOActive quer revelar os detalhes de múltiplas falhas de segurança sérias no Crew Information Service / Maintenance System (CIS/MS) que é responsável por aplicações como os sistemas de manutenção, documentos e manuais usados pelos pilotos. A exploração de falhas de corrupção da memoria pode ser uma forma de um hacker colocar um pé na rede restrita do avião. O acesso a outras áreas da rede parece ser impossível, uma vez que a arquitetura de rede garante algumas barreiras de segurança, explica a Wired.
«Não temos um 787 para testes, pelo que não podemos avaliar o impacto. Não estamos a dizer que é o apocalipse ou que conseguimos abater um avião. O que estamos a dizer é que isto não devia acontecer», disse Santamarta. A Boeing desvaloriza, defendendo que investigou as alegações do investigador e que «os cenários da IOActive não podem afetar nenhum sistema crítico ou essencial da aeronave e não descrevem uma forma de atacantes remotos acederem a sistemas importantes do 787 (…) A IOACtive escolheu ignorar os nossos resultados verificados e as limitações na sua pesquisa e preferiu fazer afirmações provocatórias, como se tivesse tido acesso a analisado o nosso sistema em funcionamento».
Um porta-voz da Boeing disse depois que a empresa chegou a colocar um avião em modo de voo e os seus engenheiros de segurança tentaram replicar a vulnerabilidade como Santamarta e a IOActive preconizavam, mas sem sucesso.
Stefan Savage, professor da Universidade da Califórnia, São Diego, diz que «a alegação de que não nos devemos preocupar sobre as vulnerabilidades porque existem outras proteções que impedem a sua exploração tem um histórico muito mau na segurança informática. Tipicamente, onde há fumo há fogo».
