当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-080356

漏洞标题:北京地铁收费系统基础安全算法漏洞

相关厂商:北京地铁

漏洞作者: eycp

提交时间:2014-10-22 14:26

修复时间:2014-12-06 14:28

公开时间:2014-12-06 14:28

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-10-22: 细节已通知厂商并且等待厂商处理中
2014-10-27: 厂商已经确认,细节仅向厂商公开
2014-11-06: 细节向核心白帽子及相关领域专家公开
2014-11-16: 细节向普通白帽子公开
2014-11-26: 细节向实习白帽子公开
2014-12-06: 细节向公众公开

简要描述:

违反国家标准《CJ/T-166》,使用私自开发的签名算法,由于未经测试便设入工程应用,现发现强度不够,可以被完全破解。

详细说明:

破解的照片以及向政府反映情况的信息。

1.jpg


2.jpg

漏洞证明:

mask 区域 
*****^意见稿)》规定^*****
*****^^(serialNumber)字^*****
*****^据和动态区数据^*****
*****C使用不^*****
*****^行^*****
*****^成动态区MAC,这是^*****
*****^^MAC^*****
*****行商^*****
*****^^8个输入字节(M*****
*****[0] ^ *****
*****[1] ^ *****
*****[2] ^ *****
***** UID*****
***** CSN*****
***** CSN*****
***** CSN*****
***** CSN*****
*****使用的输入^*****
*****^^MAC^*****
*****算方^*****
*****行更新,动态区A和B都必须重新计算他们的MAC。这只会发生*****
*****的输^*****
*****[0] ^ *****
*****[1] ^ *****
*****[2] ^ *****
***** UID*****
***** CSN*****
***** CSN*****
***** CSN*****
***** CSN*****
*****cAreaMAC*****
*****AreaMAC&*****
*****cAreaMAC*****
*****taticA*****
*****rc>*****
*****rc>*****
*****rc>*****
***** =  *****
*****[13] ^ M1[1*****
*****态区MAC有效,这可以^*****
*****(m[0]到m[239]),^*****
*****re*****
*****s 12 bit*****
*****
*****
*****m[11] that*****
*****..m[23] th*****
*****...*****
*****..m[239] th*****
*****
*****
*****20]; that *****
*****
*****
*****ant 12 b*****
*****^、CRC32等计算过程进行混和,最终*****
*****^^->特征值-^*****
*****^简^*****
*****^制数*****
*****^致,用以模拟对业务数据^*****
*****数据串,而保^*****
*****^^验值不变,那么原始数据必^*****
*****序从^*****
*****^向原始^*****
*****^如不同,则需对原始串,从指针位*****
*****^^倒数第32^*****
*****,当然,它除了那几个人为修^*****
*****^^关键业务数据而保障CRC校验值不变,因此本来用于签名的SAM计算将被完全绕^*****

修复方案:

采用《CJ/T166 建设事业IC卡应用技术》签名技术修复

版权声明:转载请注明来源 eycp@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-10-27 09:55

厂商回复:

至27日,CNVD未直接复现,已经向白帽子协调后续信息。根据后续提供的信息,对所述标准披露情况以及截图验证情况进行初步确认,拟后续协调北京市政府信息化主管部门处置。

最新状态:

暂无

漏洞评价:

评论

这些评论似乎很乌云~~~思密达
  1. 2014-12-12 11:19 | eycp ( 实习白帽子 | Rank:40 漏洞数:1 | 效布莱德利往事)

    鉴于涉事单位出尔反尔的态度和事态异乎寻常的发展,本人被迫寻求公益律师提供法律支持!为表明态度,现发布单程票查询APP(阉割版)先;支持北京单程票的金额、时间查询(对应计程计时的用户需求)http://pan.baidu.com/s/1ntHp8ZB

  1. 2014-10-22 14:27 | YY-2012 ( 普通白帽子 | Rank:2763 漏洞数:641 | 意淫,是《红楼梦》原创的词汇,但后来演变...)

    @国家质监

  2. 2014-10-22 14:28 | Noxxx ( 普通白帽子 | Rank:509 漏洞数:41 )

    留名

  3. 2014-10-22 14:28 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    求与洞主交个朋友,地铁已涨价,免费充个值如何?

  4. 2014-10-22 14:29 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1044 漏洞数:106 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)

    这个厉害

  5. 2014-10-22 14:29 | 咸鱼翻身 ( 普通白帽子 | Rank:576 漏洞数:108 )

    帅。。。。。北京地铁的相关负责人喝茶的节奏

  6. 2014-10-22 14:33 | Jn· ( 路人 | Rank:30 漏洞数:14 | 本小菜很可爱,如果不服你TM来打我啊--哎呀...)

    前排,刘明 表示在北京

  7. 2014-10-22 14:36 | 泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了,跪着也要...)

    mark

  8. 2014-10-22 14:44 | Z-0ne 认证白帽子 ( 普通白帽子 | Rank:559 漏洞数:38 | 目前专注于工控安全基础研究,工业数据采集...)

    mark

  9. 2014-10-22 14:46 | 紫霞仙子 ( 普通白帽子 | Rank:2027 漏洞数:279 | 天天向上 !!!)

    哈哈,果然等出来了。

  10. 2014-10-22 14:48 | 大孩小孩 ( 路人 | Rank:7 漏洞数:7 | 哈哈哈哈)

    mark

  11. 2014-10-22 14:57 | 老笨蛋 ( 路人 | Rank:29 漏洞数:8 | 老笨蛋一个)

    路人甲无所不黑。

  12. 2014-10-22 15:02 | 贫道来自河北 ( 普通白帽子 | Rank:1395 漏洞数:423 | 一个立志要把乌云集市变成零食店的男人)

    小伙子,你知道的太多了,小心被失踪

  13. 2014-10-22 15:03 | 进击的zjx ( 普通白帽子 | Rank:295 漏洞数:61 | 工作需要,暂别一段时间)

    路人甲无所不能

  14. 2014-10-22 15:05 | wkc_2014 ( 普通白帽子 | Rank:164 漏洞数:45 | 2014-)

    神奇的路人甲

  15. 2014-10-22 15:06 | Adra1n ( 普通白帽子 | Rank:437 漏洞数:68 )

    神奇的路人甲

  16. 2014-10-22 15:17 | 白非白 ( 普通白帽子 | Rank:447 漏洞数:60 | ♫ Freedom - Anthony Hamilton ♫)

    我信洞主

  17. 2014-10-22 15:20 | coffiney ( 路人 | Rank:10 漏洞数:1 | 喵~)

    marke

  18. 2014-10-22 15:32 | Walle ( 路人 | Rank:0 漏洞数:5 | ... 位卑、未敢忘忧国! ...)

    神奇的路人甲

  19. 2014-10-22 15:41 | 龙猫侠 ( 路人 | Rank:2 漏洞数:5 | 我就是我。)

    mark

  20. 2014-10-22 15:43 | Demon ( 普通白帽子 | Rank:121 漏洞数:14 | You are my dream)

    mark

  21. 2014-10-22 15:49 | 银狼_avi ( 实习白帽子 | Rank:55 漏洞数:13 | 本屌十二岁破处)

    mark

  22. 2014-10-22 15:49 | qwerty ( 普通白帽子 | Rank:116 漏洞数:16 | 已注销)

    CCTV记者同志看这里

  23. 2014-10-22 16:19 | 冰冻冷咖啡 ( 路人 | Rank:5 漏洞数:2 | 菜鸟一只)

    http://hi.baidu.com/killererg/item/9b5677f5782d1829a62988d2 可以查看博主的百度空间 好像这地铁被国外利用来分析东西了?

  24. 2014-10-22 16:21 | 咸鱼翻身 ( 普通白帽子 | Rank:576 漏洞数:108 )

    我去。。。。楼上的看完蛋都疼了。。。。。

  25. 2014-10-22 16:40 | 浮萍 ( 普通白帽子 | Rank:555 漏洞数:118 | 默默潜水)

    碎了

  26. 2014-10-22 16:57 | Neeke ( 普通白帽子 | Rank:101 漏洞数:24 | 求传授刷Rank方法?)

    看完楼上上链接..........................卧槽

  27. 2014-10-22 17:00 | ki11y0u ( 普通白帽子 | Rank:104 漏洞数:23 | 好好学习,求带飞~~~~~~~~~~~~~~~~~~~~~~...)

    路人甲呢?

  28. 2014-10-22 17:01 | Murk Emissary ( 实习白帽子 | Rank:74 漏洞数:14 | 低调做人 低调行事)

    CCAV看这里!

  29. 2014-10-22 17:03 | Sunshine ( 实习白帽子 | Rank:51 漏洞数:10 | Nothing.)

    看完楼上上上链接.......................... 卧槽

  30. 2014-10-22 18:17 | 大亮 ( 普通白帽子 | Rank:306 漏洞数:65 | 慢慢挖洞)

    这个能让北京即将上涨的车票降价吗?

  31. 2014-10-22 18:43 | 袋鼠妈妈 ( 普通白帽子 | Rank:449 漏洞数:61 | 故乡的原风景.MP3)

    一大波记者正在路上

  32. 2014-10-22 18:59 | BMa ( 普通白帽子 | Rank:1776 漏洞数:200 )

    CCTV可以报道了

  33. 2014-10-22 19:08 | 老和尚 ( 普通白帽子 | Rank:223 漏洞数:45 | 总有一天,我会骑着雨牛@'雨。踩着一哥@jan...)

    @冰冻冷咖啡 这他吗都可以..

  34. 2014-10-22 19:58 | 毕月乌 ( 普通白帽子 | Rank:120 漏洞数:16 | 猜猜我是谁?)

    我要上电视!你们这些可恶的前排!

  35. 2014-10-22 20:13 | hacker@sina.cn ( 普通白帽子 | Rank:288 漏洞数:27 | ANONYMOUS)

    看过博主的博客文章 再结合今天的动作 你们可以多想一想 ,里面有很多值得回味的事情。 目标明确 结构严谨 论文表述 引人深思

  36. 2014-10-22 20:56 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)

    NB!

  37. 2014-10-22 21:10 | 0c0c0f ( 实习白帽子 | Rank:48 漏洞数:15 | My H34rt c4n 3xploit 4ny h0les!)

    这种基础设施一定要重视!

  38. 2014-10-22 22:04 | ahnhhh ( 路人 | Rank:5 漏洞数:1 | 你在乌云这么吊,你家人知道么?)

    看这里看这里!

  39. 2014-10-22 22:16 | 毕月乌 ( 普通白帽子 | Rank:120 漏洞数:16 | 猜猜我是谁?)

    @紫霞仙子 抓到你了!

  40. 2014-10-22 23:29 | Coffee ( 普通白帽子 | Rank:144 漏洞数:15 | Corie, a student of RDFZ.)

    这是要上电视的节奏……

  41. 2014-10-23 07:11 | scanf ( 核心白帽子 | Rank:1232 漏洞数:186 | 。)

    哈哈,这是在挑战什么吗?

  42. 2014-10-23 10:21 | 紫霞仙子 ( 普通白帽子 | Rank:2027 漏洞数:279 | 天天向上 !!!)

    鉴于该算法为某外国公司绕过中华人民共和国国家标准,有意为之的设计;难不成是敌对势力为北京项目中设计的“棱镜算法”吧?

  43. 2014-10-23 10:58 | 紫霞仙子 ( 普通白帽子 | Rank:2027 漏洞数:279 | 天天向上 !!!)

    @毕月乌 好吧,被你发现了。

  44. 2014-10-23 18:28 | SPRITEKING ( 路人 | Rank:18 漏洞数:3 | x)

    火钳刘明

  45. 2014-10-23 18:32 | SPRITEKING ( 路人 | Rank:18 漏洞数:3 | x)

    @紫霞仙子 @毕月乌 前排两个准备捡肥皂?

  46. 2014-10-24 13:13 | x37e ( 路人 | Rank:0 漏洞数:1 | HI!Man,what are you doing?)

    mark

  47. 2014-10-24 13:30 | testKaI ( 路人 | Rank:2 漏洞数:2 )

    mark

  48. 2014-10-24 21:38 | cnhello ( 路人 | Rank:0 漏洞数:1 | 小菜一枚,学习中。。。)

    mark

  49. 2014-10-25 00:05 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)

    NB!

  50. 2014-11-17 09:37 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    好像没有细节呢?

  51. 2014-12-02 20:19 | peter ( 路人 | Rank:0 漏洞数:2 | 孤单的活着,只为等待你!)

    西安地铁可以这么玩吗?

  52. 2014-12-03 00:10 | 无名指7年 ( 路人 | Rank:15 漏洞数:4 | 努力学习奋斗,争取成为一名合格的白帽子。)

    我上电视啦 我上电视啦

  53. 2014-12-03 13:57 | 紫霞仙子 ( 普通白帽子 | Rank:2027 漏洞数:279 | 天天向上 !!!)

    已经看到有人利用了。

  54. 2014-12-03 14:24 | abaddon ( 实习白帽子 | Rank:37 漏洞数:10 | 我叫什么名字)

    采购部门干啥吃的

  55. 2014-12-03 14:46 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @peter 不行,你西安的?

  56. 2014-12-03 19:43 | eycp ( 实习白帽子 | Rank:40 漏洞数:1 | 效布莱德利往事)

    立此存照:北京地铁公司今日回应,经核实纯属造谣。北京地铁自动售检票系统符合国家安全等级标准要求,具备全面的安全防范与控制能力。“请市民不信谣,不传谣,谨防上当受骗造成损失,规范使用车票,文明乘车。目前公安部门对此事已经介入调查,请市民遵守国家有关法律法规。

  57. 2014-12-03 22:04 | 路西法 ( 路人 | Rank:2 漏洞数:2 | 堕落天使路西法)

    @eycp 你怎么找到余额算法的.... 我买了20多张一次性的卡都没找到......

  58. 2014-12-05 19:42 | 北洋贱队 ( 普通白帽子 | Rank:252 漏洞数:25 )

    火钳刘明

  59. 2014-12-06 22:09 | Blunber ( 实习白帽子 | Rank:84 漏洞数:13 )

    给膝盖了。

  60. 2014-12-07 09:10 | Observer ( 实习白帽子 | Rank:35 漏洞数:8 | 我在夕阳下奔跑,那是我逝去的青春)

    碉堡了

  61. 2014-12-07 13:38 | RainShine ( 路人 | Rank:2 漏洞数:4 )

    @eycp 呃,不信谣,不传谣,我是好孩纸

  62. 2014-12-08 11:30 | 铁汉 ( 路人 | Rank:12 漏洞数:6 | 向各种大神学习之)

    骚年 你叫张呈?

  63. 2014-12-08 13:32 | erevus ( 普通白帽子 | Rank:177 漏洞数:31 | Hacked by @ringzero 我錯了)

    CCTV往这拍

  64. 2014-12-12 11:19 | eycp ( 实习白帽子 | Rank:40 漏洞数:1 | 效布莱德利往事)

    鉴于涉事单位出尔反尔的态度和事态异乎寻常的发展,本人被迫寻求公益律师提供法律支持!为表明态度,现发布单程票查询APP(阉割版)先;支持北京单程票的金额、时间查询(对应计程计时的用户需求)http://pan.baidu.com/s/1ntHp8ZB

  65. 2014-12-12 11:39 | 问题来了 ( 普通白帽子 | Rank:201 漏洞数:23 | 挖漏洞哪家强)

    @eycp 求完整版。。

  66. 2014-12-12 11:42 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    @eycp 我记得有人复制了500张,在中关村地铁站那刚卖几张就被抓了,罚了39W

  67. 2014-12-12 11:52 | 5d1 ( 路人 | 还没有发布任何漏洞 | 眼前一盆绿萝。)

    @eycp http://www.wooyun.org/lawer 这个人好像还行

  68. 2014-12-12 12:29 | 问题来了 ( 普通白帽子 | Rank:201 漏洞数:23 | 挖漏洞哪家强)

    @5d1 这人很厉害的。。

  69. 2014-12-12 12:55 | 小火苗 ( 路人 | Rank:6 漏洞数:1 | 我是一只小火苗呀,春风吹又生呀...)

    看来有些屁股是真的摸不得。

  70. 2014-12-12 13:48 | Documents ( 路人 | Rank:5 漏洞数:1 | 感谢李大牛)

    看不懂啊 ……

  71. 2014-12-12 14:01 | Rammstein ( 路人 | Rank:10 漏洞数:1 | 开源安全,metasploit开发,生存专家)

    好多年前就有某位同志上报过,这都多少年了,还没修补,po主自己又出来提交,还公开到wooyun上,这是作死的表现,wooyun也不是和平饭店,没有周润发出来保你不死,cnvd也不是,有些东西有他自己的特殊处理渠道,提交到wooyun不是拿到免死金牌,我想就是方胖子也不敢说你提交到乌云就没事了,别整天戴着个白帽子就什么漏洞都敢公布,做事动动脑子,po主处理的方式和流程有点问题。

  72. 2014-12-12 14:02 | Rammstein ( 路人 | Rank:10 漏洞数:1 | 开源安全,metasploit开发,生存专家)

    好多年前就有某位同志上报过,这都多少年了,还没修补,po主自己又出来提交,还公开到wooyun上,这是作死的表现,wooyun也不是和平饭店,没有周润发出来保你不死,cnvd也不是,有些东西有他自己的特殊处理渠道,不能随便的公开,不是说提交到乌云就获得了免死金牌,方胖子也不敢跟你这样保证,不要带着个白帽子以为谁都不会动你,提交之前先动动脑子

  73. 2014-12-12 14:50 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    @Rammstein 剑心不胖

  74. 2014-12-12 17:52 | Rammstein ( 路人 | Rank:10 漏洞数:1 | 开源安全,metasploit开发,生存专家)

    @浩天 叫了这么多年,习惯了,比以前胖多了

  75. 2014-12-18 18:49 | eycp ( 实习白帽子 | Rank:40 漏洞数:1 | 效布莱德利往事)

    请问北京市质监局公示的《北京市轨道交通自动售检票系统技术规范(征求意见稿)》是否与《CJ-166 建设事业IC卡应用》在MAC算法上是冲突的?答:您好: 来信收悉,现就您提出的问题答复如下: 因MAC算法涉及票卡安全,在2010年征求意见后,根据征求意见反馈情况,市交通委对《北京市轨道交通自动售检票系统技术规范(征求意见稿)》进行了大幅调整,形成标准送审稿时已将该部分内容取消,该部分内容已不属于本标准制定内容。目前,该标准已通过专家审查会审查,计划明年年初发布。待标准发布后可登录北京市质量技术监督局网站(www.bjtsb.gov.cn)或首都标准网(www.capital-std.com)查阅。 感谢您对北京市标准化工作的关心和支持。