物聯(lián)傳媒 旗下網(wǎng)站
登錄 注冊

恩智浦回應(yīng)NFC乘車卡入侵事件

作者:RFID世界網(wǎng)收錄
來源:RFID Blog
日期:2012-10-08 08:29:35
摘要:最近,移動(dòng)安全專家Intrepidus Group的研究人員展示了如何用安卓NFC手機(jī)為乘車卡充值,而且不用花費(fèi)一分一毫。據(jù)研究人員說,這款名為“UltraReset”的應(yīng)用可以向舊金山城市鐵路和新澤西路軌交通系統(tǒng)發(fā)布的卡進(jìn)行十次免費(fèi)充值。

  最近,移動(dòng)安全專家Intrepidus Group的研究人員展示了如何用安卓NFC手機(jī)為乘車卡充值,而且不用花費(fèi)一分一毫。據(jù)研究人員說,這款名為“UltraReset”的應(yīng)用可以向舊金山城市鐵路和新澤西路軌交通系統(tǒng)發(fā)布的卡進(jìn)行十次免費(fèi)充值。

  對于這次的事件,恩智浦回應(yīng)說,這些漏洞的存在,是因?yàn)榘l(fā)布商沒有將Mifare Ultralight升級到Mifare Ultralight C技術(shù)。

  “研究人員利用NFC手機(jī)進(jìn)行充值的智能紙質(zhì)票是基于Mifare Ultralight技術(shù)的。而這項(xiàng)技術(shù)是一個(gè)成本優(yōu)化方案,設(shè)計(jì)理念是用于一次性、非充值、應(yīng)用范圍受限的紙質(zhì)票上的。它只提供基本的安全功能,如一次性可編程(OTP)比特,以及一個(gè)寫入鎖定功能,防止改寫儲(chǔ)存頁面,但是并不包含乘車卡中所使用的加密手段?!?/P>

  “恩智浦在08年就已經(jīng)推出了Mifare Ultralight的改良版——Mifare Ultralight C。這項(xiàng)新技術(shù)改善了安全性能(3DES鑒定),防止未經(jīng)授權(quán)的訪問,預(yù)期能廣泛應(yīng)用于NFC手機(jī)中、防止黑客入侵。Mifare Ultralight C由恩智浦和領(lǐng)銜運(yùn)輸系統(tǒng)方案供應(yīng)商聯(lián)合開發(fā)。目前所知,許多公共交通運(yùn)營商正在調(diào)整系統(tǒng)設(shè)計(jì)。”

  “就目前所得的第一手資料顯示,這款名為‘UltraReset’的應(yīng)用,與其說是針對乘車卡和NFC的相關(guān)漏洞,倒不如說是針對系統(tǒng)本身的漏洞。其報(bào)道的關(guān)鍵句中提到‘比特本身并沒有被打開’,這里的比特指的就是OTP比特,這就意味著乘車卡在這里的用途已經(jīng)超出了Mifare Ultralight的應(yīng)用范圍?!?/P>

  “智能紙質(zhì)票的一個(gè)關(guān)鍵元素是不可復(fù)原性,用于實(shí)施系統(tǒng)安全措施。Mifare Ultralight的OTP比特就代表著這樣一個(gè)元素。像Mifare Ultralight C這樣的改良版已經(jīng)加入了單向計(jì)數(shù)器,擴(kuò)大了其不可復(fù)原性?!?RFID世界網(wǎng)編輯整理)

責(zé)任編輯:廖小亞

人物訪談