快科技7月13日消息，一項早在2012年就被發現的美國火車安全漏洞，在過去13年中一直被美國鐵路協會（AAR）忽視，直到網絡安全和基礎設施安全局（CISA）最近發佈了一項安全公告，AAR纔開始採取行動。

據硬件安全研究員Neils透露，他們在2012年首次發現了這一問題，當時軟件定義無線電（SDR）開始普及。

所有美國火車都配備了尾部車廂的End-of-Train（EoT）模塊，該模塊通過無線方式向火車前端發送遙測數據，同時也可以接受指令。

這一系統最初在1980年代末實施時，使用了特定頻率，當時任何人不得使用分配給該系統的頻率，因此該系統僅使用了BCH校驗和進行數據包創建。

但是任何擁有SDR的人都可以模仿這些數據包，從而向EoT模塊及其對應的頭部Head-of-Train（HoT）模塊發送虛假信號。

虛假信號本身可能不是緊急問題，但是HoT也可以通過該系統向EoT發出制動指令，這就意味着任何人只需花費不到500美元購買相關硬件並掌握相關知識，就可以在火車司機不知情的情況下發出制動命令。

Neils指出，AAR在2012年拒絕承認這一漏洞，稱其僅爲理論問題，只有在實際發生時纔會相信。

再加上聯邦鐵路管理局（FRA）缺乏測試軌道設施，而AAR也因安全問題拒絕在其財產上進行任何測試。

到了2024年，這一問題仍未得到解決，AAR的信息安全總監表示，這並非一個重大問題，且相關設備已經接近使用壽命。

由於AAR持續忽視警告，CISA不得不正式發佈安全公告以警告公衆，這促使AAR開始採取行動，該組織在2024年4月宣佈了一項更新計劃，不過實施進展緩慢，預計最早到2027年才能部署。

責任編輯：黑白