13年前发现的致命漏洞：美国火车制动系统隐患长期未修复

快科技7月13日消息，早在2012年就被发现的美国火车安全漏洞，在过去13年里一直被美国铁路协会（AAR）忽视。直至网络安全和基础设施安全局（CISA）最近发布安全公告，AAR才开始有所行动。

据硬件安全研究员Neils透露，2012年软件定义无线电（SDR）开始普及之时，他们首次发现了这个问题。

美国所有火车都配备了尾部车厢的End-of-Train（EoT）模块，该模块通过无线方式向火车前端发送遥测数据，同时也能接收指令。

这一系统在20世纪80年代末实施时，使用了特定频率，当时规定任何人不得使用分配给该系统的频率，所以系统仅用BCH校验和来创建数据包。

然而，任何拥有SDR的人都能模仿这些数据包，向EoT模块及其对应的头部Head-of-Train（HoT）模块发送虚假信号。

虚假信号本身或许不是紧急问题，但HoT可通过该系统向EoT发出制动指令。这意味着，任何人只需花费不到500美元购买相关硬件并掌握相关知识，就能在火车司机不知情的情况下发出制动命令。

Neils指出，2012年AAR拒绝承认这一漏洞，称其只是理论问题，要实际发生才会相信。

此外，联邦铁路管理局（FRA）缺乏测试轨道设施，AAR也因安全问题拒绝在其财产上进行任何测试。

到了2024年，问题仍未解决，AAR的信息安全总监称这并非重大问题，且相关设备已接近使用寿命。

由于AAR持续忽视警告，CISA不得不正式发布安全公告以提醒公众，这促使AAR开始行动。该组织在2024年4月宣布了一项更新计划，但实施进展缓慢，预计最早到2027年才能部署。

本文仅代表作者观点，版权归原创者所有，如需转载请在文中注明来源及作者名字。

免责声明：本文系转载编辑文章，仅作分享之用。如分享内容、图片侵犯到您的版权或非授权发布，请及时与我们联系进行审核处理或删除，您可以发送材料至邮箱：service@tojoy.com