当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0104794

漏洞标题:成都地铁公交卡可被无限复制篡改从而可免费出行(射频卡设计安全隐患)

相关厂商:CNCERT

漏洞作者: Ano_Tom

提交时间:2015-03-30 17:12

修复时间:2015-07-02 15:32

公开时间:2015-07-02 15:32

漏洞类型:设计不当

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-03-30: 细节已通知厂商并且等待厂商处理中
2015-04-03: 厂商已经确认,细节仅向厂商公开
2015-04-06: 细节向第三方安全合作伙伴开放
2015-05-28: 细节向核心白帽子及相关领域专家公开
2015-06-07: 细节向普通白帽子公开
2015-06-17: 细节向实习白帽子公开
2015-07-02: 细节向公众公开

简要描述:

继上次免费用水、吃饭后,这次该免费出行了,很简单的M1卡设计缺陷,可将卡数据无限复制篡改,且使用时,各卡金额互不影响。

详细说明:

初始过程为,天府通卡。充值电子钱包10.20,充值公交次数6次(刷卡金额提示12元,2元一次)。刷地铁是消耗的电子钱包,分段计费。刷工具有时是按次数计费(冲6次,刷卡会提示有12元,此12元不是电子钱包的余额),有的公交是扣的电子钱包的钱(刷卡提示的金额为电子钱包的余额)
详情如下

IMG_20150330_161900.jpg


IMG_20150330_161656.jpg


IMG_20150330_161703.jpg


复制卡如图

IMG_20150330_161711.jpg


关于算法缺陷等等问题,请自行查看国外相关paper。我们只需要证明公交卡可以被读取全卡数据,且卡可被无限复制,而且其在刷卡过程中并未进行网络验证即可。
读取的初始卡信息为

b.png


同时将数据写入白卡里(可改uid,可多次擦写)。
上午公交测试:
初始刷的白卡,消耗的为公交次数

c.png


消耗1次公交次数,剩余10元
然后刷了原卡,消耗了1.8元,其消耗的是电子钱包,剩余8.4元。
由于上午测试,有两张未拍到照片,所以将复制卡也消费了1.8元电子钱包,使其金额也为8.4元,与原始卡金额相同。转而下午进行测试。
下午测试,从地铁口刷卡,然后直接在出口刷,如图
复制卡,入口:

IMG_20150330_150247.jpg


直接出口刷:

IMG_20150330_150313.jpg


此时余额为6.6元,即一站的地铁花了1.8元
测试原始卡,入口:

IMG_20150330_150342.jpg


出口

IMG_20150330_150403.jpg


也花费了1.8元,剩余6.6元。两张卡的金额互不影响。其在初始状态并未联网进行数据的确认。
测试公交:
原始卡(未拍到卡):

IMG_20150330_151028.jpg


在之前6.6的基础上消费了0.9元
然后测试复制卡:

IMG_20150330_151306.jpg


同样可以使用。
综上,卡信息可被完全读取,再消费完毕后,可以将卡的信息继续写入,从而可以无限使用。在消费过程中卡数据并未联网认证。在消费了几次后,去柜台充值,依然可以正常使用。当然,财务汇总对账的时候是否会出现异常,并不清楚。

漏洞证明:

如上。注:以上的消费均为善意地安全测试,如封卡请查看图片的卡号以及uid序列号

修复方案:

升级卡

版权声明:转载请注明来源 Ano_Tom@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-04-03 15:31

厂商回复:

CNVD未直接复现,已经转由CNCERT下发给四川分中心,由其后续协调网站管理单位处置。

最新状态:

暂无


漏洞评价:

评论

  1. 2015-03-30 17:14 | scanf ( 核心白帽子 | Rank:1232 漏洞数:186 | 。)

    成都牛带上我

  2. 2015-03-30 18:04 | sco4x0 ( 实习白帽子 | Rank:31 漏洞数:13 | O_o)

    正好公交卡只剩4次了

  3. 2015-03-30 18:06 | 黑色二进制 ( 路人 | Rank:5 漏洞数:3 | 一只小白)

    围观大牛

  4. 2015-03-30 19:07 | 牛肉包子 ( 普通白帽子 | Rank:254 漏洞数:64 )

    请充值

  5. 2015-03-31 08:51 | Linglin ( 实习白帽子 | Rank:55 漏洞数:5 | 迷糊...)

    没啥意思,你确实可以无限制复制,但是只要你用复制的卡消费,那么你原来的卡就会被卡公司给锁定,将会无法充值。等你用完 那就是废卡一张。并且现在地铁也在验证,也就是说,你用复制的卡在某些地铁口子是出不去的。

  6. 2015-03-31 21:53 | Ano_Tom ( 普通白帽子 | Rank:368 漏洞数:40 | Talk is cheap.:)

    @Linglin 没啥意思?是没意思,本来就很简单。不过楼主您测试过么?您能帮我解释下,为何我前几天原始卡和复制卡都刷了,昨天两张卡也都刷了,今晚去充值后卡都能正常使用,是什么鸟情况么?

  7. 2015-04-19 22:06 | 黑暗游侠 ( 普通白帽子 | Rank:1780 漏洞数:268 | 123)

    @Ano_Tom 我笑哭了

  8. 2015-04-21 10:54 | Herolon ( 普通白帽子 | Rank:185 漏洞数:42 | ******)

    还是M1类型的射频卡啊 这个类型的卡 只要有一个射频读卡器 一个空卡 想做什么样的卡 就做什么样的卡

  9. 2015-05-27 12:22 | 小辉 ( 普通白帽子 | Rank:111 漏洞数:21 | 低调。。。)

    @Linglin 实习白帽子,请测试后再说,OK?我就测试成功了,谁说出不了出口?

  10. 2015-06-25 11:56 | Linglin ( 实习白帽子 | Rank:55 漏洞数:5 | 迷糊...)

    @小辉 多测试几次哈

  11. 2015-07-02 16:04 | Ton7BrEak ( 普通白帽子 | Rank:211 漏洞数:43 | 吃苦耐劳,我只会第一个!)

    mark

  12. 2015-07-02 18:42 | Deep. ( 路人 | Rank:0 漏洞数:1 | ‮)

    你上班怎么走``一路不``

  13. 2015-07-02 23:43 | Stardustsky ( 路人 | Rank:4 漏洞数:3 | ……)

    成都的盆友一起玩啊

  14. 2015-08-24 13:10 | JoyChou ( 路人 | Rank:16 漏洞数:4 | 无)

    nice