科羅拉多州立大學的研究人員發表了新紙該文件詳細介紹了商業卡車運輸系統中的漏洞，這些漏洞可能使駭客能夠透過在車輛之間不經意地傳播惡意軟體來控制、竊取數據，甚至擾亂整個車隊。

調查結果突顯了卡車運輸業透過電子記錄設備（ELD）存在的網路安全漏洞——這是一種聯邦強制執行的補充系統，用於追蹤服務合規時間和其他與車輛控制系統密切相關的指標，以供日後檢查。這些設備目前不需要攜帶安全例如，該論文展示瞭如何在道路上無線操縱它們以迫使卡車靠邊停車。研究結果在 2024 年網路和分散式系統安全研討會上分享，該研究獲得了最佳論文類別亞軍。

傑里米·戴利 (Jeremy Daily) 副教授透過小沃爾特·斯科特工程學院系統工程系領導了這項工作。系統工程研究生 Jake Jepson 和 Rik Chatterjee 是這篇論文的主要作者。

Daily 表示，這些調查結果廣泛適用於構成美國航運業核心的超過 1,400 萬輛中型和重型卡車。

「這項研究擴展了我們過去與國家汽車貨運協會以及透過與校園學生一起舉辦的網路挑戰活動，圍繞著卡車、船隻和拖拉機等重型機械的網路安全所做的工作，」戴利說。“這些是不斷發展的複雜安全問題，除了與所有相關利益相關者進行擴展合作之外，還需要進行現場測試。”

電子記錄設備追蹤引擎使用時間、車輛運動數據和行駛距離。監管機構和執法然後使用這些日誌來追蹤安全操作實踐，例如確保駕駛員得到足夠的休息。CSU 團隊檢查了幾種在 ELD 上工作的模型，這些模型通常使用預設設定「現成」安裝。因此，以及它們與關鍵系統的互連，它們帶來了一組獨特的漏洞，這些漏洞可能不僅限於某個製造商。

在論文中，科羅拉多州立大學團隊示範如何透過藍牙或 Wi-Fi 系統無線存取這些系統以中斷操作。該團隊還展示了惡意軟體如何被裝載到一輛卡車上，然後傳播到其他卡車上——即使它沿著高速公路行駛或在交通樞紐和卡車停靠站停車等待時也是如此。

傑普森是該論文的第一作者，他表示該團隊在分享研究結果之前直接與製造商和美國網路安全和基礎設施安全局合作解決這些問題。該機構隸屬於美國國土安全部。

Jepson 表示：“我們的論文中強調的挑戰是巨大的，我們已經在代表現有市場很大份額的特定 ELD 模型中發現了幾個關鍵漏洞。”「製造商正在研究一種韌體更新現在，但我們懷疑這些問題可能很常見，並且可能不限於單一設備或實例。

Daily 表示，這些發現顯然對卡車運輸業很重要，但隨著不同的資產和基礎設施要素相互關聯，它們也揭示了一些更廣泛的潛在漏洞。

他說：“我們的團隊將繼續開發適應性強的安全措施、評估和模型，以便輕鬆整合到現有營運中。”“這些安全設計模式也可以在卡車的整個生命週期中使用，從概念設計到系統退役。”