快科技7月13日消息,一項早在2012年就被發現的美國火車安全漏洞,在過去13年中一直被美國鐵路協會(AAR)忽視,直到網絡安全和基礎設施安全局(CISA)最近發佈了一項安全公告,AAR纔開始採取行動。
據硬件安全研究員Neils透露,他們在2012年首次發現了這一問題,當時軟件定義無線電(SDR)開始普及。
所有美國火車都配備了尾部車廂的End-of-Train(EoT)模塊,該模塊通過無線方式向火車前端發送遙測數據,同時也可以接受指令。
這一系統最初在1980年代末實施時,使用了特定頻率,當時任何人不得使用分配給該系統的頻率,因此該系統僅使用了BCH校驗和進行數據包創建。
但是任何擁有SDR的人都可以模仿這些數據包,從而向EoT模塊及其對應的頭部Head-of-Train(HoT)模塊發送虛假信號。
虛假信號本身可能不是緊急問題,但是HoT也可以通過該系統向EoT發出制動指令,這就意味着任何人只需花費不到500美元購買相關硬件並掌握相關知識,就可以在火車司機不知情的情況下發出制動命令。
Neils指出,AAR在2012年拒絕承認這一漏洞,稱其僅爲理論問題,只有在實際發生時纔會相信。
再加上聯邦鐵路管理局(FRA)缺乏測試軌道設施,而AAR也因安全問題拒絕在其財產上進行任何測試。
到了2024年,這一問題仍未得到解決,AAR的信息安全總監表示,這並非一個重大問題,且相關設備已經接近使用壽命。
由於AAR持續忽視警告,CISA不得不正式發佈安全公告以警告公衆,這促使AAR開始採取行動,該組織在2024年4月宣佈了一項更新計劃,不過實施進展緩慢,預計最早到2027年才能部署。
責任編輯:黑白
免責聲明:投資有風險,本文並非投資建議,以上內容不應被視為任何金融產品的購買或出售要約、建議或邀請,作者或其他用戶的任何相關討論、評論或帖子也不應被視為此類內容。本文僅供一般參考,不考慮您的個人投資目標、財務狀況或需求。TTM對信息的準確性和完整性不承擔任何責任或保證,投資者應自行研究並在投資前尋求專業建議。