来自密歇根大学加州圣地亚哥和约翰·霍普金斯大学的加州大学的研究人员团队在2009年至2013年间部署到美国机场的全身反向散射X射线扫描仪中发现了几个安全漏洞。
在实验室测试中,该团队能够从Rapiscan Secure 1000扫描仪中成功地隐藏枪械和塑料爆炸模拟器。该团队还能够修改扫描仪操作软件,因此即使检测到违禁品,它也会向操作员提供“全清”图像。
“坦白地说,我们对我们的发现感到震惊,”密歇根大学(University of Michigan)计算机科学教授j·亚历克斯·霍尔德曼(J. Alex Halderman)说。“聪明的攻击者可以用低得惊人的技术手段将违禁品偷运过机器。”
研究人员将这些缺陷归因于机器在引入机场之前的设计和评估过程。加州大学圣地亚哥分校的计算机科学教授Hovav Shacham说:“系统的设计者似乎认为,攻击者不会使用Secure 1000来测试和改进他们的攻击。”
然而,研究人员在eBay上购买了一台政府剩余的机器,并对其进行了实验室测试。
研究人员说,许多保护关键基础设施的物理安全系统都是秘密评估的,没有公众或独立专家的意见。
在安全1000的情况下,该保密没有产生一个能够抵制研究和适应新的安全措施的攻击者的系统。“秘密测试应通过严格的,公众,独立测试计算机安全中的常见种类的独立测试来替换或增强,”Shacham教授说。
2013年,出于隐私考虑,1000台安全扫描仪被从机场移除,现在被用于监狱、法院和其他政府设施。
研究人员建议改变筛查程序,减少但不能消除扫描仪的盲点。然而,“任何使用这些机器的筛选过程都必须考虑到它们的局限性,”沙查姆教授说。
了下:行业法规
