本篇文章1022字,读完约3分钟
这真的很令人惊讶,也许是因为北京地铁如此丰富和任性。一个多月前,黑云网络透露,北京地铁一卡通收费系统的基本安全算法存在漏洞,已经移交给相关部门处理,没有被跟踪。人们更关心地铁价格的上涨。
重复漏洞,随意修改卡片余额
一些专业人士表示,这主要是因为漏洞的危害尚未被直接再现,他们的说服力不强。因此,他们没有得到当地相关部门的合作或社会的关注。
鉴于漏洞的细节已经一个接一个地向普通和实际的白帽子披露,这实质上相当于向每个人披露,而漏洞却没有得到解决。因此,为了引起社会的关注,一些人通过对北京地铁收费系统安全算法漏洞的研究,利用NFC手机开发了相应的APP,成功再现了攻击漏洞的场景,并在优酷上上传了一段视频,利用APP随意修改北京地铁一卡通的余额。
从演示视频中可以看出,使用该应用程序,您可以随意对北京地铁车票进行扣款和充值。真的有可能免费给票充值。
演示视频:http://v.youku.com/v_show/id_XODM2MjA0ODQw.html
[图1]计费系统漏洞演示视频截图
[图2]您可以随意修改卡上的余额。
该漏洞源于智能卡& mdash& mdash不平等账户
此前,有专家表示,公交一卡通系统除了刚刚发现的漏洞之外,其实还有一个长期存在的漏洞,那就是账户不均衡的现象。
例如,乘客A拿着100元的卡刷了2元的车费,之后98元应该留在卡上,98元也应该在交通系统的服务器数据库上。
然而,由于无线网络不发达,在乘客刷卡后,公交车会在下班后用刷卡器上传数据。可以想象,在数据被上传之前,乘客的卡是98元,服务器的数据库还是100元。由于各种事故,乘客卡上的钱与数据库中的钱不匹配,这种现象是不公平的。
[图3]如何在实际操作中修改余额
解决了在线实时上传的问题
不行,钱意味着任性。公共交通系统会没钱吗?高速收费每天都很差,但每年要花费4000亿元。我不想在充电期结束时停止充电。这个漏洞真是个好人。当一名员工每天带着一台机器回家,帮助每个人免费充值时,他甚至找不到任何利润。
这个漏洞已经存在多年了,但现在很容易解决。每条总线都可以实现WIFI网络。只要实时上传数据,并采用与银行卡相同的数据处理机制,问题就可以解决。
据了解,目前国内新奥康科技云智能卡相对完善地解决了这个问题。然而,正如一个月前发现的漏洞无法解决一样,有关部门的效率已经让人习以为常。等等看!
欲了解更多物联网信息,请关注微信公众号:新奥康克吉
或者扫描二维码:
来源:罗马观察报
标题:惊喜!APP可以随意修改北京地铁卡的余额
地址:http://www.l7k9.com/gcbyw/1466.html