一个多月前,乌云网透露,北京地铁收费系统基本安全算法存在漏洞,已交给有关部门处理,但再也没有了。
专家们认为,这主要是因为脆弱性的危害并没有直接得到再现,也没有说服力,因此不仅得到了地方当局的合作,而且得到了社会的关注。
在该漏洞的详细信息视图是一般的做法,在公共的白帽子,漏洞尚未得到治理的情况下,它基本上等同于所有公众,以引起社会的重视,通过对北京地铁的安全算法的收费系统的脆弱性研究的人通过NFC手机,应用程序开发。成功再现了漏洞攻击场景。
从演示视频中我们可以看到,使用这个应用程序,你可以随意地对北京地铁票卡进行扣除和充值,而原来的免费充值真的很好。
国家信息安全漏洞共享平台(CNVD)实际上已经有这个漏洞的回应,但表示没有直接重复,但表示将根据以下信息进行初步确认和验证的截图披露标准的规定,拟对北京市政府信息主管部门协调处理后续。
据称,这段视频已提交国家互联网应急中心,等待后续行动。
演示视频:
l
黑云平台的公共展示:
/ / wooyun-2014-080356 bug
感谢骇客提供新闻线索