傑西卡·萊昂斯 (Jessica Lyons) 透過 The Register 報導: 科羅拉多州立大學的博芬表示,超過 1,400 萬台中型和重型鑽孔機可能容易受到美國商用卡車所需的通用電子記錄設備 (ELD) 漏洞的影響。 在2024 年網路和分散式系統安全研討會上發表的一篇論文中,副教授Jeremy Daley 和系統工程研究生Jake Jepson 和Rick Chatterjee 描述瞭如何透過藍牙或Wi-Fi 連接存取ELD,示範如何控制卡車和操作數據。 ,在車輛之間傳播惡意軟體。 三人寫道:“這些發現凸顯了改善 ELD 系統安全狀況的迫切需求。” [PDF]。
作者沒有確定哪些品牌或型號的 ELD 容易受到論文中指出的安全漏洞的影響。但他們指出,市面上的產品種類並不多。儘管註冊了大約 880 個設備,但「只有幾十種不同的 ELD 型號」在商用卡車上行駛。聯邦法規要求大多數重型卡車配備可追蹤行駛時間的 ELD。這些系統還記錄有關引擎運行、車輛運動和里程的數據,但不需要測試內建安全控制裝置。研究人員表示,這些系統也可以透過道路上的另一輛車進行無線操作。例如,強迫卡車停下來。
學者指出了 ELD 的三個漏洞。他們使用台架級測試系統進行演示,並在一輛配備更脆弱 ELD 的 2014 年 Kenworth T270 6 級研究卡車上進行了額外測試。 […] 在一次攻擊中,博芬透露了無線電範圍內的任何人如何使用設備的 Wi-Fi 和藍牙無線電發送任意 CAN 訊息,這些訊息可能會破壞某些車輛的系統。 第二種攻擊場景還要求攻擊者處於無線範圍內、連接到設備並上傳惡意韌體來操縱資料和車輛操作。最後,作者上傳了卡車到卡車蠕蟲病毒作為「最令人擔憂」的場景。該蠕蟲利用受感染設備的 Wi-Fi 功能來搜尋附近其他易受攻擊的 ELD。找到合適的 ELD 後,蠕蟲會使用預設憑證建立連接,將其惡意程式碼投放到下一個 ELD,覆蓋現有韌體,然後重新啟動進程以新增裝置掃描。研究人員警告說:“此類攻擊可能會對商業船隊造成廣泛破壞,對安全和運營產生嚴重影響。”