来源：驱动之家

　　一个多月前，乌云网曝光称北京地铁收费系统存在基础安全算法方面的漏洞，已经交给相关部门进行处理，但随后就没了下文，大家更关注的还是今后如何涨价。

　　有专业人士称，这主要是由于漏洞的危害尚未得到直接复现，说服力不强，因此结果就是不仅没有得到地方有关部门的配合，也没有得到社会的重视。

　　鉴于漏洞细节都已经陆续向普通、实习白帽子公开，在漏洞尚未得到治理的情况下，这实质上已经等同于向所有人公开，因此为了引起社会的重视，有人通过对北京地铁收费系统安全算法漏洞的研究，利用NFC手机开发了相应的APP，成功地复现了攻击该漏洞的场景。

　　从演示视频中可以看出，利用此APP，可以随意对北京地铁票卡进行扣费、充值，原来免费充值还真是可以的。

　　国家信息安全漏洞共享平台(CNVD)此前其实曾对此漏洞做出回应，但是表示未直接复现，只是说会根据后续提供的信息，对所述标准披露情况以及截图验证情况进行初步确认，拟后续协调北京市政府信息化主管部门处置。

　　据称，这则视频目前也已经提交国家互联网应急中心，静待后续吧。

　　演示视频：

　　http://v.youku.com/v_show/id_XODM2MjA0ODQw.html

　　乌云平台公示：

　　http://www.wooyun.org/bugs/wooyun-2014-080356

　　北京地铁充值漏洞仍未修补：可随意改余额

　　北京地铁充值漏洞仍未修补：可随意改余额

　　北京地铁充值漏洞仍未修补：可随意改余额

　　北京地铁充值漏洞仍未修补：可随意改余额

　　北京地铁充值漏洞仍未修补：可随意改余额

　　北京地铁充值漏洞仍未修补：可随意改余额

　　北京地铁充值漏洞仍未修补：可随意改余额

　　北京地铁充值漏洞仍未修补：可随意改余额

　　文章关键词：地铁漏洞

　　欢迎发表评论分享到:收藏 | 保存 | 打印 | 关闭

　　已收藏!

　　您可通过新浪首页(www.sina.com.cn)顶部 “我的收藏”， 查看所有收藏过的文章。

　　知道了0收藏成功查看我的收藏

　　（2014-12-02 18:08:06）