13年前就发现的致命漏洞!美国火车可被任何人制动:却一直不修复

快科技
13 Jul

快科技7月13日消息,一项早在2012年就被发现的美国火车安全漏洞,在过去13年中一直被美国铁路协会(AAR)忽视,直到网络安全和基础设施安全局(CISA)最近发布了一项安全公告,AAR才开始采取行动。

据硬件安全研究员Neils透露,他们在2012年首次发现了这一问题,当时软件定义无线电(SDR)开始普及。

所有美国火车都配备了尾部车厢的End-of-Train(EoT)模块,该模块通过无线方式向火车前端发送遥测数据,同时也可以接受指令。

这一系统最初在1980年代末实施时,使用了特定频率,当时任何人不得使用分配给该系统的频率,因此该系统仅使用了BCH校验和进行数据包创建。

但是任何拥有SDR的人都可以模仿这些数据包,从而向EoT模块及其对应的头部Head-of-Train(HoT)模块发送虚假信号。

虚假信号本身可能不是紧急问题,但是HoT也可以通过该系统向EoT发出制动指令,这就意味着任何人只需花费不到500美元购买相关硬件并掌握相关知识,就可以在火车司机不知情的情况下发出制动命令。

Neils指出,AAR在2012年拒绝承认这一漏洞,称其仅为理论问题,只有在实际发生时才会相信。

再加上联邦铁路管理局(FRA)缺乏测试轨道设施,而AAR也因安全问题拒绝在其财产上进行任何测试。

到了2024年,这一问题仍未得到解决,AAR的信息安全总监表示,这并非一个重大问题,且相关设备已经接近使用寿命。

由于AAR持续忽视警告,CISA不得不正式发布安全公告以警告公众,这促使AAR开始采取行动,该组织在2024年4月宣布了一项更新计划,不过实施进展缓慢,预计最早到2027年才能部署。

责任编辑:黑白

Disclaimer: Investing carries risk. This is not financial advice. The above content should not be regarded as an offer, recommendation, or solicitation on acquiring or disposing of any financial products, any associated discussions, comments, or posts by author or other users should not be considered as such either. It is solely for general information purpose only, which does not consider your own investment objectives, financial situations or needs. TTM assumes no responsibility or warranty for the accuracy and completeness of the information, investors should do their own research and may seek professional advice before investing.

Most Discussed

  1. 1
     
     
     
     
  2. 2
     
     
     
     
  3. 3
     
     
     
     
  4. 4
     
     
     
     
  5. 5
     
     
     
     
  6. 6
     
     
     
     
  7. 7
     
     
     
     
  8. 8
     
     
     
     
  9. 9
     
     
     
     
  10. 10