北京地铁系统惊现重大漏洞
开场白一会儿
“北京地铁系统存在安全漏洞,可以在手机上随便修改你的地铁卡余额,100元、200元、甚至你改成1万元,也无所谓。”日前,有网友曝光北京地铁的收费系统存在漏洞,并在网上公布了实际操作图片。对于被修改数字的卡片,能够拿到刷卡机上去验证,可以去坐地铁公交,也可以去超市购物。总之,这大概是一笔让你心安理得的意外之财。难道事实真像网友所说吗?小编向有关部门进行核实。
北京地铁系统惊现重大漏洞
文/记者 吕择
▍系统漏洞至今没修复
其实,早在一个多月前,漏洞报告平台乌云网就曝光称北京地铁收费系统存在基础安全算法方面的漏洞,已经交给相关部门进行处理,但随后就没了下文。
▲ 网友@eycp在乌云网发布的《北京地铁收费系统基础安全算法漏洞》截图。
为了引起社会的重视,相关技术人员利用这一漏洞开发了手机APP,并拍成了视频。
【建议在 环境下观看】▲ 网友试验攻击北京地铁收费系统视频
记者在视频中看到视,一名网友拿一张北京地铁卡,用手机刷了一下,手机上的APP立刻显示了地铁卡的余额是2元。随后它把APP设置成刷一次减一分钱,刷了七次,余额变为1.93元。把这张地铁卡插入地铁的查询机,发现显示的余额也是1.93元。随后,他把APP的设置改成了刷一次加一分钱,变更回了2元,放入地铁的查询机,显示的正是2元。
我们对于这位技术人员的操守和诚信深表钦佩,这样一款神奇的APP拿到我们手里,难保不刷到天荒地老,至少这辈子不愁坐地铁了。
如此简单的“赚钱”方式,难怪乌云网把这一漏洞危害级别定为最高,并介绍称“这一漏洞违反了国家标准《CJ/T-166》,使用私自开发的签名算法,由于未经测试便设入工程应用,现发现强度不够,可以被完全破解。”
其实,国家信息安全漏洞共享平台(CNVD)此前其实曾对此漏洞做出回应,但是表示未直接复现,只是说会根据后续提供的信息,对所述标准披露情况以及截图验证情况进行初步确认,拟后续协调北京市政府信息化主管部门处置。据称,这则视频目前也已经提交国家互联网应急中心。
▍你需要地铁卡、NFC手机、一个APP或过强的技术
相信不少人跟看科幻片一样,那这个视频,首先不明白的就是地铁卡为什么能在手机上刷?
当然这不是一个普通的手机,但也没特殊到市面上买不到。这个手机需要支持NFC技术,比如主流的三星Galaxy S4、HTC One以及iPhone 6等都支持这一技术。NFC是Near Field Communication的缩写,即近距离无线通讯技术,也称近场技术,它是由飞利浦公司和索尼公司共同开发的一种非接触式识别和互联技术,可以在移动设备、消费类电子产品、PC和智能控件工具间进行近距离无线通信。
NFC提供了一种简单、触控式的解决方案,可以让消费者简单直观地交换信息、访问内容与服务。它就像红外、蓝牙一样,也是一种无线传输技术,不同的是它比二者需要的传输距离都要近,而且安全性更高,这就让移动支付成为了可能。
比如刷手机购物,手机刷卡进行支付都成为了目前现实中的应用场景。而且地铁卡一直以来使用的就是NFC技术。不同的是现在手机也拥有了这一技术,不仅仅是地铁卡或闸机。2013年7月19日,中国移动北京公司与北京市市政交通一卡通有限公司签署合作协议,联合发布“移动NFC手机一卡通”应用。在北京就可以通过刷手机完成公交、地铁刷卡和超市餐饮等小额支付。
有了这样一款能刷地铁卡的NFC手机之后,最为关键的就是视频中的APP了。很明显这是技术人员利用漏洞自行开发的,应用的系统自然是安卓,苹果是通不过审核的。因此,安卓系统有支持NFC的手机是必备。但是最为关键的APP,是搞不到的,至少视频中有良知的技术人员是不会给别人的。
黑客会不会做这笔生意,从目前网上还找不到,当然如果你技术够强,是不需要这些就能办到的。
▍一卡通公司不做任何回应
记者在致电北京市政交通一卡通有限公司,相关人员表示并没有听说过这种事,在出示了视频和相关报道之后,一卡通公司表示不做任何回应。
北京地铁运营公司宣传部部长贾朋向记者介绍,地铁卡和一卡通一直是由北京市政交通一卡通有限公司来负责的,“问题得找他们才行”。据地铁内部人员透露,这次的漏洞很可能是由于地铁系统的重新计费,一卡通进行了计费系统的升级。“之前一直没出现过这种情况,而且未来重新计费之后,无论地铁卡还是一卡通是不更换的,里面的芯片也没换过,问题就出现在一卡通公司的算法上。”
另据澎湃新闻报道,北京地铁公司一位工作人员证实,在初步确认相关漏洞后,因为漏洞问题涉及到机具设备,北京地铁方面已经联系了相关部门和单位,目前还在了解当中,对于漏洞出现原因,是否能修复,何时修复以及具体该如何解决等相关问题,北京地铁也在等待相关具体部门的进一步信息通报。
但是乌云网的白帽子“冰冻冷咖啡”则表示,地铁计费的漏洞是一直存在的,他表示,2010年4月份,北京地铁收费系统已经被证实存在严重的安全漏洞,业主公司承认算法存在漏洞的同时,又声称只有参与工程建设的专业技术人员才有攻击本系统的可能性,现有人员签有保密协议,泄密/反映系统安全漏洞将会被追究法律责任。因此漏洞危害性不大,不打算修改系统漏洞算法,继续维持运营。
可是,现如今拥有NFC近场技术的手机比比皆是,这样漏洞的危害性就大大增强了,每一个个体都有了攻破它的可能性。
(本文由《科技生活》周刊采编制作,编辑/陈永杰,版权作品,转载请注明出处)