北京地鐵充值漏洞仍未修補:可隨意改餘額
一個多月前,烏雲網曝光稱北京地鐵收費系統存在基礎安全演算法方面的漏洞,已經交給相關部門進行處理,但隨後就沒了下文,大家更關注的還是今後如何漲價。
有專業人士稱,這主要是由於漏洞的危害尚未得到直接復現,説服力不強,因此結果就是不僅沒有得到地方有關部門的配合,也沒有得到社會的重視。
鋻於漏洞細節都已經陸續向普通、實習白帽子公開,在漏洞尚未得到治理的情況下,這實質上已經等同於向所有人公開,因此為了引起社會的重視,有人通過對北京地鐵收費系統安全演算法漏洞的研究,利用NFC手機開發了相應的APP,成功地復現了攻擊該漏洞的場景。
從演示視頻中可以看出,利用此APP,可以隨意對北京地鐵票卡進行扣費、充值,原來免費充值還真是可以的。
國家資訊安全漏洞共用平臺(CNVD)此前其實曾對此漏洞做出回應,但是表示未直接復現,只是説會根據後續提供的資訊,對所述標準披露情況以及截圖驗證情況進行初步確認,擬後續協調北京市政府資訊化主管部門處置。
據稱,這則視頻目前也已經提交國家網際網路應急中心,靜待後續吧。
[責任編輯: 馬迪]