北京地铁惊现充值漏洞 NFC手机可随意改余额
一个多月前,乌云网曝光称北京地铁收费系统存在基础安全算法方面的漏洞,已经交给相关部门进行处理,但随后就没了下文,大家更关注的还是今后如何涨价。
有专业人士称,这主要是由于漏洞的危害尚未得到直接复现,说服力不强,因此结果就是不仅没有得到地方有关部门的配合,也没有得到社会的重视。
鉴于漏洞细节都已经陆续向普通、实习白帽子公开,在漏洞尚未得到治理的情况下,这实质上已经等同于向所有人公开,因此为了引起社会的重视,有人通过对北京地铁收费系统安全算法漏洞的研究,利用NFC手机开发了相应的APP,成功地复现了攻击该漏洞的场景。
从演示视频中可以看出,利用此APP,可以随意对北京地铁票卡进行扣费、充值,原来免费充值还真是可以的。
国家信息安全漏洞共享平台(CNVD)此前其实曾对此漏洞做出回应,但是表示未直接复现,只是说会根据后续提供的信息,对所述标准披露情况以及截图验证情况进行初步确认,拟后续协调北京市政府信息化主管部门处置。
据称,这则视频目前也已经提交国家互联网应急中心,静待后续吧。
演示视频:
http://v.youku.com/v_show/id_XODM2MjA0ODQw.html
乌云平台公示:
http://www.wooyun.org/bugs/wooyun-2014-080356
推荐微信公众号,NFC日报:nfcdaily 移动支付网:mpaypass
本文转载目的在于知识分享,版权归原作者和原刊所有。如有侵权,请及时联系我们删除。
展开全文
展开全文
相关阅读
- 中国法院网 | 2020/11/18 9:52:51
- 199IT | 2019/3/22 20:50:52
- 移动支付网 | 2019/2/19 9:29:28
- 移动支付网 | 2018/9/21 18:43:25
- 移动支付网 | 2018/8/20 10:07:52
- NFC日报 | 2018/6/27 11:48:26
- 移动支付网 | 2018/5/21 15:39:47
- 移动支付网 | 2017/7/31 19:37:39
- 齐鲁晚报 | 2017/2/11 19:02:28
- 移动支付网 | 2017/1/20 9:07:48
- 移动支付网 | 2016/12/30 11:54:11
- 移动支付网 | 2016/9/21 9:06:15
- 移动支付网 | 2016/4/29 16:04:48
- 移动支付网 | 2016/4/27 12:16:35
- 移动支付网 | 2016/4/12 14:34:30