最近出现了一个利用运输系统漏洞的NFC移动应用,能让用户免费搭乘交通工具。
据Gizmodo称,这个名为UltraReset的应用由Intrepidus Group旗下的Corey Benninger和Max Sobell开发而成,它利用包括新泽西路轨和旧金山城市铁路等大量公共运输系统的漏洞达成目的。
该应用可用于任何NFC安卓2.3及以上的操作系统。其工作原理是:当卡里的余额到达零点时,该应用可以重新写入新的余额数字,并“告诉”系统卡里有钱,而实际上用户不需要支付一分一毫。
实际上,漏洞并不在于NFC,而在于运输系统管理部门。NFC本身具有只读保护,但他们并没有设置该安全保护层。到目前为止,该应用仅在新泽西和旧金山进行过测试,但如果这个漏洞仍得不到解决,波士顿、西雅图、盐湖城、芝加哥和费城都有可能被“攻陷”。
Benninger和Sobell在最近阿姆斯特丹的一个安全会议上展示了该应用。运输系统管理部门并没有回应2011年12月的警告,以及最近的关注和报道,对那些漏洞尚未采取任何行动。
当然,该应用并不对外发布。只是目前那些技术黑客可以继续享受免费搭车。(RFID世界网编辑整理)
【责任编辑:廖小亚】