Source: Slashdot
据The Register报道,科罗拉多州立大学的专家表示,在美国商用卡车中普遍使用的电子记录设备(ELDs)存在漏洞,可能影响超过1400万中重型货车。在2024年网络和分布式系统安全研讨会上,副教授Jeremy Daily和系统工程研究生Jake Jepson以及Rik Chatterjee展示了ELDs如何通过蓝牙或Wi-Fi连接被访问,从而控制卡车,操纵数据,并在车辆之间传播恶意软件。研究人员写道:“这些发现突显了在ELD系统中改善安全性状况的迫切需求。作者没有具体指出研究中强调的易受安全漏洞影响的ELDs品牌或型号。但他们指出市场上产品种类并不多。
尽管有大约880种设备注册,但商用卡车上仅有“几十种独特的ELD型号。根据联邦法规要求,大多数重型卡车必须配备ELDs,用于跟踪驾驶时间。这些系统还记录发动机运行数据、车辆移动和行驶距离,但并不要求其具备经过测试的安全控制功能。研究人员表示,其他车辆可以通过无线方式操作ELD系统,例如迫使卡车靠边停车。学者们指出了ELDs的三个漏洞。
他们在演示中使用了台式测试系统,以及在一辆搭载易感ELD的2014年Kenworth T270六级研究卡车上进行了额外测试。其中一种攻击方式展示了任何在无线范围内的人都可以利用设备的Wi-Fi和蓝牙无线电发出任意的CAN消息,可能干扰车辆的某些系统。第二种攻击场景中,攻击者需要在无线范围内连接到设备,并上传恶意固件以操纵数据和车辆操作。最后,在作者描述的“最令人担忧”的情况下,他们上传了一种卡车间的蠕虫。
该蠕虫利用受损设备的Wi-Fi功能搜索附近其他易受攻击的ELDs。找到正确的ELDs后,蠕虫使用默认凭据建立连接,将恶意代码传送到下一个ELD,覆盖现有固件,然后重新开始该过程,扫描其他设备。研究人员警告称:“这样的攻击可能导致商用车队普遍受到干扰,具有严重的安全和运营影响。。
这项研究揭示了美国商用卡车中电子记录设备存在的严重安全漏洞,引发人们对车辆网络安全的关注和思考。