北京地鐵充值漏洞仍未修補：可隨意改余額

來源：驅動之家

一個多月前，烏雲網曝光稱北京地鐵收費系統存在基礎安全算法方面的漏洞，已經交給相關部門進行處理，但隨后就沒了下文，大家更關注的還是今后如何漲價。

有專業人士稱，這主要是由於漏洞的危害尚未得到直接復現，服力不強，因此結果就是不僅沒有得到地方有關部門的配合，也沒有得到社會的重視。

鑒於漏洞細節都已經陸續向普通、實習白帽子公開，在漏洞尚未得到治理的情況下，這實質上已經等同於向所有人公開，因此為了引起社會的重視，有人通過對北京地鐵收費系統安全算法漏洞的研究，利用NFC手機開發了相應的APP，成功地復現了攻擊該漏洞的場景。

從演示視頻中可以看出，利用此APP，可以隨意對北京地鐵票卡進行扣費、充值，原來免費充值還真是可以的。

國家信息安全漏洞共享平台(CNVD)此前其實曾對此漏洞做出回應，但是表示未直接復現，只是會根據后續提供的信息，對所述標準披露情況以及截圖驗證情況進行初步確認，擬后續協調北京市政府信息化主管部門處置。

據稱，這則視頻目前也已經提交國家互聯網應急中心，靜待后續吧。

演示視頻：

烏雲平台公示：