澎湃Logo
下载客户端

登录

  • +1

北京地铁证实充值系统存漏洞可随意改余额,发现40天还没改

澎湃新闻记者 王巧爱
2014-12-03 14:55
来源:澎湃新闻
直击现场 >
字号

        近日,网友曝光北京地铁收费系统基础安全算法漏洞,有人还为此专门做了一次攻击试验,证明可以通过一款手机App增减票卡面值等关键计费信息。

        12月3日,北京地铁向澎湃新闻(www.thepaper.cn)证实,日前乌云网曝光北京地铁收费系统存在基础安全算法漏洞,北京地铁已确认存在上述问题,目前北京地铁方面已经就相关问题跟有关部门做了反馈,针对充值系统存“可随意修改余额”漏洞问题能否及时修改等问题,正在研究处理。

        10月22日,网友@eycp在乌云网发布了《北京地铁收费系统基础安全算法漏洞》一贴,称北京地铁收费系统基础安全算法存在漏洞,属于设计缺陷/逻辑错误,而且“危害等级很高,违反了国家标准《CJ/T-166》,使用了私自开发的签名算法,而且未经测试便设入工人应用,可以被完全破解”。

网友@eycp在乌云网发布的《北京地铁收费系统基础安全算法漏洞》截图。

        针对网友@eycp曝光的这个缺陷和漏洞,还有人专门为此做了一次攻击试验。曝光视频显示,在北京地铁站内,实验者购买了一张面值为2.00元的单程票,随后利用一款手机App,再将这款App设置成“减一分”选项后,App刷一次单程票,该单程票的面值发生变化,反复试验,直至减少至1.93元。而后拿此单程票去查询机查询,可以确认该票卡面值确实改成了1.93元。

        同理,将该手机App设置成“加一分”选项后,如上操作,可以刷一下让票卡面值增大一次,反复操作又可以将票卡面值恢复成2.00元。再去查询机验证,确实证明此票卡面值改回2.00元。

攻击试验视频。

        据试验者透露,试验中使用的是NFC手机,使用安卓系统开发了针对该漏洞的APP。而据公开资料显示,NFC手机是指带有NFC(Near Field Communication缩写)模块的手机。带有NFC模块的手机可以做很多相应的应用。2013年7月19日,中国移动北京公司与北京市市政交通一卡通有限公司签署合作协议,联合发布“移动NFC手机一卡通”应用。从7月22日起,只要持有支持NFC功能的手机,并安装NFC一卡通专用SIM卡,在北京就可以通过刷手机完成公交、地铁刷卡和超市餐饮等小额支付。

        试验者还曝光称,该系统漏洞的危险性,不仅在于可以随意修改票价,而且可以修改票卡的种类,进展信息、地点等关键计费信息。

        据业内一位不愿具名的专业人士介绍,目前乌云网曝光的这个漏洞危害还未得到直接复现,其危害等级高的说服力不强。但在漏洞发布,以及有人发布攻击试验视频后,漏洞细节已经陆续公开。澎湃新闻注意到,不少网友也好奇如何使用这款APP实现“随意修改余额”功能。

        在网友@eycp发布该漏洞后,10月27日上午,北京地铁已经确认该漏洞危害等级为“高”,漏洞Rank达到20,还将此漏洞报告给了国家信息安全漏洞共享平台(CNVD),但一直未得到相关信息的披露。

        12月3日,澎湃新闻就此联系了北京地铁,据北京地铁运营有限公司96165热线服务部一位工作人员援引领导回复意见称,目前已初步确认漏洞问题,但因为漏洞问题涉及到机具设备,北京地铁方面已经联系了相关部门和单位,目前还在了解当中,对于漏洞出现原因,是否能修复,何时修复以及具体该如何解决等相关问题,北京地铁也在等待相关具体部门的进一步信息通报。

        据乌云网介绍,目前上述漏洞问题已交由第三方厂商(cncert国家互联网应急中心)处理。

        一位知情者告诉澎湃新闻,2013年,有业内人士对北京轨道交通联网收费系统标准中特有安全算法提出弱点质疑,指出北京上述收费标准与既有包括《CJ/T166 建设事业IC卡应用技术》等国内外标准是冲突的,其算法完全依赖于CRC(Cyclic Redundancy Check,循环冗余校验码,数据通信领域中最常用的一种差错校验码)的复杂(安全)程度,如果CRC可以被简单破解,则该算法的安全性也就不存在了。而且,据其介绍,对于上述事实业主公司承认算法存在漏洞的同时,又声称只有参与工程建设的专业技术人员才有攻击本系统的可能性,并且与现有人员签有保密协议。       

    澎湃新闻报料:021-962866
    澎湃新闻,未经授权不得转载
    +1
    收藏
    我要举报

            扫码下载澎湃新闻客户端

            沪ICP备14003370号

            沪公网安备31010602000299号

            互联网新闻信息服务许可证:31120170006

            增值电信业务经营许可证:沪B2-2017116

            © 2014-2024 上海东方报业有限公司

            反馈