如果你通过了美国机场的安检，你就经过了价值数百万美元的设备。有背散射机，行李X光和***嗅探计算机-一些最先进的监测机器，美国**可以提供。但安全公司Qualys的一份新报告可能发现了该设备上的一些巨大安全漏洞，使攻击者能够禁用或破坏TSA安全装置的关键部件。

“这是一个非常非常严重的问题。”

最大的问题是Morpho Itemiser 3，它是目前用于扫描毒品和***痕迹的早期版本。由于Morpho是如何构建itemiser3的，Rios说，在设备中有一个主级密码硬编码，旨在让技术人员能够从顶层访问机器。但是由于密码是硬编码到itemiser3的固件中的，Qualys说攻击者确实有可能对密码进行反向工程，这可能会造成灾难性的后果。这将使攻击者能够自由控制这台机器，使他们能够关闭系统或改变化学特征数据库，让***或毒品痕迹不被发现。”“这是一个非常非常糟糕的问题，”夸尔斯威胁情报主管比利·里奥斯说出于某种原因，在嵌入式世界中有一个范例，他们希望在其中执行这些操作。”

itemiser3被美国运输安全管理局实验室接受，但从来没有资格在现场使用，但美国运输安全管理局已部署itemiserdx模型。里奥斯说，DX具有相同的技术人员密码功能，但Morpho极力否认这一指控，并告诉Verge，“我们可以明确地说，TSA的Itemiser DX上没有硬编码的密码。”该公司说，它还将在年底前推动对Itemiser 3的更新，以修复该漏洞。

该逐项器没有直接连接到网络，但里奥斯说，攻击者可以通过该机构的内部TSAweb网络访问该机器，该网络可以通过该机构工资监测硬件中的其他漏洞访问。根据Rios的说法，其他一些TSA设备都有相同的通用密码错误，尽管Itemiser是最重要的一个。如果其他任何设备保持在线，它们就可以作为连接内部网络的桥梁，有可能让坏人从世界任何地方攻击系统。”里奥斯说：“当我们有了后门密码，而你引入了网络的概念，情况就变得非常糟糕了。”。

“他们不知道如何对这些设备进行软件评估。”

里奥斯今天在黑帽的一次演讲中公开了这个问题，但几个月来他一直在悄悄地推动这个问题。他在今年早些时候向国土安全部报告了这个问题，而国土安全部一直将其视为已知的漏洞。不过，里奥斯不确定他们是否已经知道这个漏洞，或者只是没有检查过它的设备。”更可能的是，他们有一个收购过程，但他们不知道如何对这些设备进行软件评估，”里奥斯说。如果是这样的话，本周的报告可能会让该机构大吃一惊。

美国东部时间8月7日上午7:57：文章被更新，包括来自Morpho的评论。

美国东部时间上午9点38分：文章更新，以澄清运输安全管理局通过第3条。

美国东部时间上午10:52：文章更新，包括一个更强调否认从Morpho。