Hackeri potrebujú len lacný hardvér a základné zručnosti na diaľkové zastavenie pohybujúceho sa nákladného vlaku. Americká asociácia železníc hrozbu odmietala, kým federálny tlak nevynútil odozvu. Systém stále nie je opravený a úplné aktualizácie dorazia najskôr v roku 2027.
Kritická chyba v bezdrôtových systémoch používaných v celých amerických železničných sieťach zostáva neriešená už viac ako desať rokov, čím vystavuje vlaky diaľkovému rušeniu.
Zraniteľnosť ovplyvňuje zariadenia typu End-of-Train (EoT), ktoré prenášajú dáta z posledného vagóna na prednú časť vlaku, čím vytvárajú spojenie s modulom Head-of-Train (HoT).
Hoci problém bol signalizovaný už v roku 2012, bol z veľkej časti odmietnutý, kým federálna intervencia nevynútila odozvu.
## Ignorované varovania a oneskorené reakcie
Hardvérový bezpečnostný výskumník Neils prvýkrát identifikoval chybu v roku 2012, keď sa začali šíriť softvérovo definované rádiá (SDR).
Objav odhalil, že tieto rádiá by mohli ľahko napodobňovať signály posielané medzi jednotkami HoT a EoT.
Keďže systém sa spolieha na základný BCH kontrolný súčet a chýba mu šifrovanie, akékoľvek zariadenie vysielajúce na rovnakej frekvencii by mohlo vkladať falošné pakety.
Znepokojujúcou skutočnosťou je, že HoT je schopný posielať brzdové príkazy do EoT, čo znamená, že útočník by mohol vlak diaľkovo zastaviť.
„Táto zraniteľnosť stále nie je opravená,“ uviedol Neils na sociálnych médiách a odhalil, že trvalo viac ako desať rokov a verejné varovanie od Agentúry pre kybernetickú bezpečnosť a infraštruktúru (CISA), kým boli prijaté zmysluplné opatrenia.
Problém, ktorý je teraz katalogizovaný ako CVE-2025-1727, umožňuje narušenie amerických vlakov s hardvérom v hodnote menej ako 500 dolárov.
Neils sa stretol so skepticizmom zo strany Americkej asociácie železníc (AAR), ktorá v roku 2012 označila zraniteľnosť za „len teoretickú“.
Pokusy o preukázanie chyby boli zmarené kvôli nedostatku vyhradenej testovacej trate Federálnou železničnou správou a AAR odmietajúcou prístup k prevádzkovým miestam.
Ani po tom, čo Boston Review zverejnil zistenia, AAR ich verejne vyvrátila prostredníctvom článku vo Fortune.
Do roku 2024 riaditeľ informačnej bezpečnosti AAR naďalej bagatelizoval hrozbu, argumentujúc, že dotyčné zariadenia sa blížia ku koncu svojej životnosti a nevyžadujú naliehavú výmenu.
Až po tom, čo CISA vydala formálne varovanie, začala AAR načrtávať riešenie. V apríli 2025 bola oznámená aktualizácia, ale plná implementácia sa neočakáva pred rokom 2027.
Zraniteľnosť pramení z technológie vyvinutej v 80. rokoch, keď obmedzenia frekvencie znižovali riziko rušenia, ale dnešný rozsiahly prístup k SDR dramaticky zmenil rizikové prostredie.
„Ukázalo sa, že stačí hacknúť akýkoľvek vlak v USA a prevziať kontrolu nad brzdami,“ povedal Neils, čím vystihol širšie obavy.
Pretrvávajúce oneskorenia a popieranie znamenajú, že americké vlaky sú pravdepodobne na sude s pušným prachom, čo môže kedykoľvek viesť k vážnym rizikám.
