圖片來源: 

RadSec.org

由加州大學、密西根大學與約翰.霍普金斯大學的多名研究人員所組成的RadSec團隊在周三(8/20)揭露了美國機場所使用的X光掃描機Rapiscan Secure 1000含有諸多安全漏洞,包括允許惡意人士夾帶槍械、炸彈,還能安裝惡意程式或是側錄X光機的影像。

美國運輸安全管理局(TSA)是在2009年至2013年間於全美的160個機場部署這款Rapiscan Secure 1000,以用來偵測旅客是否攜帶違禁品,早在2012年便有部落客Jonathan Corbett以影片展示如何欺騙該X光機,由於它可呈現清楚的生理特徵,使得Corbett將其稱為裸體掃描機,但當時TSA並未承認該X光機的安全漏洞。

RadSec團隊則證實了Corbett的說法。該團隊表示,這些全身的掃描器並未經過嚴格的第三方評估,他們在實驗室以真正的機器進行測試,發現他們可以夾帶槍械、刀子或爆裂物而不被X光機察覺,而且Rapiscan Secure 1000還在機場運作時,一般人就能透過eBay買到。

Rapiscan Secure 1000能夠顯示身體前後的影像,也有強化與縮放功能,亦支援列印與儲存。但RadSec團隊發現,該X光機無法分辨低電荷與高電荷的物質,只要把違禁品巧妙地安置在身上的部位,就能讓這些違禁品的影像融入於黑色的背景中而不被察覺。

再者,RadSec團隊亦透過惡意軟體來改造Rapiscan Secure 1000。當Rapiscan Secure 1000偵測到特定的影像時,惡意軟體便能以正常的影像來取代該可疑影像;另外也能以側錄裝置來竊取由Rapiscan Secure 1000所掃描的影像。

雖然TSA從未正面回應Rapiscan Secure 1000的安全漏洞,但這批X光掃描器已於2013年退役,原因是基於隱私考量,現則被應用在監獄、法院與其他政府機關。

加州大學電腦科學教授Hovav Shacham表示,許多用來保護重要基礎建設的實體安全系統都未公開,也未經由第三方專家的鑑定,而是採用秘密評估,他建議這些系統未來都應以電腦安全常見的嚴格、公開及獨立的測試來進行評估。(編譯/陳曉莉)

熱門新聞

Advertisement