科罗拉多州立大学的研究人员发表了新纸该文件详细介绍了商业卡车运输系统中的漏洞，这些漏洞可能使黑客能够通过在车辆之间不经意地传播恶意软件来控制、窃取数据，甚至扰乱整个车队。

调查结果突显了卡车运输行业通过电子记录设备（ELD）存在的网络安全漏洞——这是一种联邦强制执行的补充系统，用于跟踪服务合规时间和其他与车辆控制系统密切相关的指标，以供日后检查。这些设备目前不需要携带安全例如，该论文展示了如何在道路上无线操纵它们以迫使卡车靠边停车。研究结果在 2024 年网络和分布式系统安全研讨会上分享，该研究获得了最佳论文类别亚军。

杰里米·戴利 (Jeremy Daily) 副教授通过小沃尔特·斯科特工程学院系统工程系领导了这项工作。系统工程研究生 Jake Jepson 和 Rik Chatterjee 是该论文的主要作者。

Daily 表示，这些调查结果广泛适用于构成美国航运业核心的超过 1400 万辆中型和重型卡车。

“这项研究扩展了我们过去与国家汽车货运协会以及通过与校园学生一起举办的网络挑战活动，围绕卡车、船只和拖拉机等重型机械的网络安全所做的工作，”戴利说。“这些是不断发展的复杂安全问题，除了与所有相关利益相关者进行扩展合作之外，还需要进行现场测试。”

电子记录设备跟踪发动机使用时间、车辆运动数据和行驶距离。监管机构和执法然后使用这些日志来跟踪安全操作实践，例如确保驾驶员得到足够的休息。CSU 团队检查了几种在 ELD 上工作的模型，这些模型通常使用默认设置“现成”安装。因此，以及它们与关键系统的互连，它们带来了一组独特的漏洞，这些漏洞可能不仅限于某个制造商。

在论文中，科罗拉多州立大学团队演示了如何通过蓝牙或 Wi-Fi 系统无线访问这些系统以中断操作。该团队还展示了恶意软件如何被装载到一辆卡车上，然后传播到其他卡车上——即使它沿着高速公路行驶或在交通枢纽和卡车停靠站停车等待时也是如此。

杰普森是该论文的第一作者，他表示该团队在分享研究结果之前直接与制造商和美国网络安全和基础设施安全局合作解决这些问题。该机构隶属于美国国土安全部。

Jepson 表示：“我们的论文中强调的挑战是巨大的，我们已经在代表现有市场很大份额的特定 ELD 模型中发现了几个关键漏洞。”“制造商正在研究一种固件更新现在，但我们怀疑这些问题可能很常见，并且可能不限于单个设备或实例。”

Daily 表示，这些发现显然对卡车运输行业很重要，但随着不同的资产和基础设施要素相互关联，它们也揭示了一些更广泛的潜在漏洞。

他说：“我们的团队将继续开发适应性强的安全措施、评估和模型，以便轻松集成到现有运营中。”“这些安全设计模式也可以在卡车的整个生命周期中使用，从概念设计到系统退役。”