7月13日消息,一項早在2012年就被發現的美國火車安全漏洞,在過去13年中一直被美國鐵路協會(AAR)忽視,直到網絡安全和基礎設施安全局(CISA)最近發布了一項安全公告,AAR才開始采取行動。
據硬件安全研究員Neils透露,他們在2012年首次發現了這一問題,當時軟件定義無線電(SDR)開始普及。
所有美國火車都配備了尾部車廂的End-of-Train(EoT)模塊,該模塊通過無線方式向火車前端發送遙測數據,同時也可以接受指令。
這一系統最初在1980年代末實施時,使用了特定頻率,當時任何人不得使用分配給該系統的頻率,因此該系統僅使用了BCH校驗和進行數據包創建。
但是任何擁有SDR的人都可以模仿這些數據包,從而向EoT模塊及其對應的頭部Head-of-Train(HoT)模塊發送虛假信號。
虛假信號本身可能不是緊急問題,但是HoT也可以通過該系統向EoT發出制動指令,這就意味著任何人只需花費不到500美元購買相關硬件并掌握相關知識,就可以在火車司機不知情的情況下發出制動命令。
Neils指出,AAR在2012年拒絕承認這一漏洞,稱其僅為理論問題,只有在實際發生時才會相信。
再加上聯邦鐵路管理局(FRA)缺乏測試軌道設施,而AAR也因安全問題拒絕在其財產上進行任何測試。
到了2024年,這一問題仍未得到解決,AAR的信息安全總監表示,這并非一個重大問題,且相關設備已經接近使用壽命。
由于AAR持續忽視警告,CISA不得不正式發布安全公告以警告公眾,這促使AAR開始采取行動,該組織在2024年4月宣布了一項更新計劃,不過實施進展緩慢,預計最早到2027年才能部署。
文章來源:
快科技
版權聲明:本文內容由互聯網用戶自發貢獻,該文觀點僅代表作者本人。本站僅提供信息存儲空間服務,不擁有所有權,不承擔相關法律責任。如發現本站有涉嫌抄襲侵權/違法違規的內容, 請發送郵件至23467321@qq.com舉報,一經查實,本站將立刻刪除;如已特別標注為本站原創文章的,轉載時請以鏈接形式注明文章出處,謝謝!
