机场安检设备在黑客攻击面前不堪一击
作者:星期三, 二月 12, 20140

lowresscanner

大多数机场使用的X光行李扫描仪很容易受到内部人士或者外部攻击者的攻击,从而让武器或其他违禁物品顺利通过安检。

不久前,安全牛曾报道过世界各地发生了多起犯罪分子用U盘洗劫ATM机的事件,我们还听说智能电视、谷歌眼镜、无线路由器、汽车电子控制单元甚至心脏起搏器都已经成为黑客攻击热衷对象;黑客甚至概念验证了如何通过Android智能手机遥控一架真正的波音747客机。

但是,没有什么黑客新闻能比机场安检设备存在的漏洞更让人揪心,因为这几乎是生命的最后一道屏障。

近日,在2014年卡巴斯基安全分析峰会上,Qualys公司的威胁情报分析师Billy Rios介绍了他的发现,他和同事Terry McCorkle从eBay上买了一个二手的Rapiscan 522 X光系统,经过分析,Rios发现这个系统的安全性差到了极点:它运行着老掉牙的Windows98系统,用明文存储用户账户口令,普通用户可以轻易获得高级账户权限,甚至可以绕过登录口令,而且这个系统有个威胁画面投射功能,可以通过在扫描图中投射违禁物品的.bmp图片(例如一把枪或一把刀)来在培训中测试安检员的反应。但这个功能可以被坏人利用在屏幕上投射假图像。

“糟糕的是,美国运输安全管理局TSA要求所有的行李扫描仪都具备存在安全漏洞的功能”Rios说道。

目前研究者已经将该漏洞汇报给“工业控制系统-网络应急反应小组”(ICS-CERT)。

值得注意的是,Rapiscan公司最近丢掉了TSA的合同,因为其X光行李扫描仪使用了一个中国产的灯泡,根据TSA的规定,TSA系统中不能出现任何国外部件。但显然,真正威胁行李扫描仪安全的是软件漏洞。

行李扫描仪只是机场安全问题的冰山一角,Rios表示他们计划检查机场安全的其他设备,并验证链接各大机场的TSANet是否真的如传言所说的,通过机场WiFi就能访问。(编者按:机场WiFi本身就已经是个危机四伏的安全重灾区,近日更是有报道称机场Wi-Fi已经沦为情报机构的间谍工具

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章