本站7月13日消息,一項早在2012年就被發(fā)現(xiàn)的美國火車安全漏洞,在過去13年中一直被美國鐵路協(xié)會(AAR)忽視,直到網(wǎng)絡安全和基礎設施安全局(CISA)最近發(fā)布了一項安全公告,AAR才開始采取行動。
據(jù)硬件安全研究員Neils透露,他們在2012年首次發(fā)現(xiàn)了這一問題,當時軟件定義無線電(SDR)開始普及。
所有美國火車都配備了尾部車廂的End-of-Train(EoT)模塊,該模塊通過無線方式向火車前端發(fā)送遙測數(shù)據(jù),同時也可以接受指令。
這一系統(tǒng)最初在1980年代末實施時,使用了特定頻率,當時任何人不得使用分配給該系統(tǒng)的頻率,因此該系統(tǒng)僅使用了BCH校驗和進行數(shù)據(jù)包創(chuàng)建。
但是任何擁有SDR的人都可以模仿這些數(shù)據(jù)包,從而向EoT模塊及其對應的頭部Head-of-Train(HoT)模塊發(fā)送虛假信號。
虛假信號本身可能不是緊急問題,但是HoT也可以通過該系統(tǒng)向EoT發(fā)出制動指令,這就意味著任何人只需花費不到500美元購買相關硬件并掌握相關知識,就可以在火車司機不知情的情況下發(fā)出制動命令。
Neils指出,AAR在2012年拒絕承認這一漏洞,稱其僅為理論問題,只有在實際發(fā)生時才會相信。
再加上聯(lián)邦鐵路管理局(FRA)缺乏測試軌道設施,而AAR也因安全問題拒絕在其財產(chǎn)上進行任何測試。
到了2024年,這一問題仍未得到解決,AAR的信息安全總監(jiān)表示,這并非一個重大問題,且相關設備已經(jīng)接近使用壽命。
由于AAR持續(xù)忽視警告,CISA不得不正式發(fā)布安全公告以警告公眾,這促使AAR開始采取行動,該組織在2024年4月宣布了一項更新計劃,不過實施進展緩慢,預計最早到2027年才能部署。
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播更多信息之目的,如作者信息標記有誤,請第一時間聯(lián)系我們修改或刪除,多謝。
