\o"Permanentlinkto一卡通安全探討"一卡通安全探討如果沒有特別的說明，本文所說的“一卡通”都是北京市政交通一卡通有限公司發(fā)行的“市政交通一卡通”。簡(jiǎn)單來說，“一卡通”就是符合ISO14443TypeA標(biāo)準(zhǔn)的非接觸式IC卡，在《北京市政交通一卡通卡在軌道交通自動(dòng)售檢票系統(tǒng)中應(yīng)用的技術(shù)規(guī)定（暫行）》（下載鏈接要把.RAR修改成為.rar，此文檔為公開文檔，本人從互聯(lián)網(wǎng)下載得到）中說明為：一卡通卡規(guī)格應(yīng)符合ISO/IEC14443TYPEA標(biāo)準(zhǔn)和DB11/T159.1-2002標(biāo)準(zhǔn)(《市政交通一卡通技術(shù)標(biāo)準(zhǔn)第1部分：卡片》)。一卡通卡芯片包括Mifare?1（S50、S70）、Mifare?Pro、Mifare?DESFire等。目前在北京市范圍內(nèi)廣泛使用的是MifareS70卡。由于在2008年麻省理工大學(xué)的學(xué)生已經(jīng)成功破解Mifare卡，能夠完成對(duì)Mifare卡的讀取，并“克隆”Mifare卡。相關(guān)的資料已經(jīng)在DEFCON上公開了。同樣，荷蘭的地鐵電子票也遭破解。從某種渠道獲得的消息稱，北京“一卡通”也已經(jīng)遭受類似的攻擊。正因?yàn)檫@樣的原因，有消息稱“公交一卡通明年升級(jí)為CPU卡”。不過個(gè)人認(rèn)為這樣的升級(jí)將非常困難——如果升級(jí)后的系統(tǒng)不兼容舊的存在安全問題的“一卡通”，這就必然會(huì)要求所有“一卡通”持有者進(jìn)行卡片的更換，這樣的成本由誰支出？“一卡通”持有者必然不愿意，并且會(huì)有較大的反對(duì)意見，而這樣的成本肯定也是“一卡通”的發(fā)行公司京市政交通一卡通有限公司無法承擔(dān)的。如果兼容舊的存在安全問題的“一卡通”，那相當(dāng)于整個(gè)系統(tǒng)中的安全漏洞并沒有得到修補(bǔ)。目前“一卡通”除了能夠作為城市交通工具上作為電子票使用以外，還能在一些商鋪進(jìn)行小額的消費(fèi)。由于“一卡通”中保存有金額等信息，因此如果攻擊者能夠?qū)?shù)據(jù)進(jìn)行修改或者復(fù)制卡片，這將意味著可以使用“一卡通”進(jìn)行免費(fèi)乘坐交通工具或者到相關(guān)商鋪進(jìn)行免費(fèi)的消費(fèi)。除了升級(jí)卡片之外，還有什么辦法能夠降低“一卡通”系統(tǒng)被破解帶來的損失呢？我認(rèn)為可以通過以下幾點(diǎn)來實(shí)現(xiàn)：第一：對(duì)“一卡通”消費(fèi)情況進(jìn)行日結(jié)。這里說的“日結(jié)”就是每天完成對(duì)當(dāng)天的“一卡通”消費(fèi)情況進(jìn)行統(tǒng)計(jì)、結(jié)算和分析。第二：對(duì)“一卡通”的帳號(hào)收支情況進(jìn)行分析，通過財(cái)務(wù)分析發(fā)現(xiàn)收支異常的“一卡通”帳號(hào)。第三：對(duì)“一卡通”的消費(fèi)記錄結(jié)合地理信息進(jìn)行分析。例如，同一張“一卡通”在很短時(shí)間內(nèi)在相聚很遠(yuǎn)的物理地點(diǎn)進(jìn)行消費(fèi)。第四：調(diào)整“一卡通”交易程序，要求所有的交易設(shè)備在每天初始化時(shí)從“一卡通”發(fā)行公司獲取異常卡清單，一旦發(fā)現(xiàn)異常卡停止交易，并立即進(jìn)行告警。第五：限制“一卡通”的消費(fèi)金額，使其僅限于小額消費(fèi)。除此之外，還要說些題外話，在《北京市政交通一卡通卡在軌道交通自動(dòng)售檢票系統(tǒng)中應(yīng)用的技術(shù)規(guī)定（暫行）》能夠看到“一卡通”系統(tǒng)同時(shí)支持記名和非記名卡。目前，我們大家使用的都是非記名的“一卡通”，如果某天推出了記名可掛失的“一卡通”，一定要想清楚自己是不是要申請(qǐng)。如果申請(qǐng)了記名可掛失的“一卡通”，就意味著你把自己的幾點(diǎn)坐車到哪的隱私拱手送人……Postedin\o"查看I.T.的全部文章"I.T..\o"一卡通安全探討上的評(píng)論"4commentsBy\o"Viewallpostsbysbilly"sbilly–2009/02/264ResponsesStayintouchwiththeconversation,subscribetotheRSSfeedforcommentsonthispost.kxlzxsays我說一些關(guān)于一卡通破解的設(shè)想。

站在軟件工程師的角度，思考每次我們刷卡的流程實(shí)現(xiàn)。

首先，刷卡只能扣錢，不能加錢，加錢這個(gè)接口，要在地鐵站實(shí)現(xiàn)。

公交車上的刷卡機(jī)是可以調(diào)整數(shù)額的，很明顯，他不能在金額里面加“負(fù)號(hào)”。

而刷卡是否可以實(shí)時(shí)更新數(shù)據(jù)庫(kù)呢？答案肯定是否定的，很明顯，上海的一卡通刷卡的頻率太高，我比較懷疑哪些數(shù)據(jù)庫(kù)集群和網(wǎng)絡(luò)通道（延時(shí)？）能滿足這樣恐怖的需求。再考慮到成本問題，我認(rèn)為他們應(yīng)該是每天回去后，才找時(shí)間更新數(shù)據(jù)庫(kù)的，但是具體是什么時(shí)候，我就不清楚了。

那么為什么我們看到的數(shù)額總在變化呢？那是因?yàn)榭▋?nèi)也有個(gè)“可以修改數(shù)額的”值。如何破解呢？

1，卡內(nèi)金額變動(dòng)

我們可以盜取公交車上的刷卡機(jī)，破解，其實(shí)不用完全破解，只要在里面加一個(gè)“負(fù)號(hào)”的按鈕即可。。。

這種情況僅僅允許我們?nèi)ゼ磿r(shí)的修改，可能會(huì)遇到一些情況，比如在地鐵站里刷卡的時(shí)候“有可能”會(huì)遇到刷卡機(jī)已經(jīng)同步的情況。

從實(shí)用的角度上講，我們的使用范圍，僅僅是在刷卡設(shè)備沒有聯(lián)網(wǎng)的情況下。

甚至我們可能會(huì)遇到以下情況，去地鐵站刷卡，卡機(jī)有和“黑名單”系統(tǒng)，報(bào)警。

即使不報(bào)警，當(dāng)刷卡設(shè)備的數(shù)據(jù)更新了，我們?cè)偃ニ?，?huì)出問題。所以，我比較懷疑破解的卡到底能刷多少次，會(huì)不會(huì)當(dāng)場(chǎng)被抓。2，用卡，攻擊數(shù)據(jù)庫(kù)。

數(shù)據(jù)庫(kù)的更新，是有一定的時(shí)限的，公交車，地鐵站，輪渡，他們不一定每天都更新，也不一定頻率一樣。

如果我在地鐵站刷了，公交站刷了，而公交車因?yàn)楣收?，今天沒更新，那這筆錢扣不扣呢？如果沒扣，而卡上扣了，很可能，他們會(huì)把最新的卡內(nèi)數(shù)額放進(jìn)數(shù)據(jù)庫(kù)。也就是說，他們沿用了最新的數(shù)據(jù)。這樣的情況，會(huì)造成，我破解了卡，改為1W，z這個(gè)數(shù)額會(huì)從地鐵站的機(jī)器上，更新到數(shù)據(jù)庫(kù)里。

如果不是把最新的放入數(shù)據(jù)庫(kù)呢？他只能先不同步了，請(qǐng)注意，我卡內(nèi)此時(shí)是已經(jīng)刷了公交的價(jià)格，而數(shù)據(jù)庫(kù)是另一個(gè)。

那我去地鐵站交錢，50。交錢的時(shí)候，一定會(huì)同步數(shù)據(jù)的，他會(huì)按哪個(gè)金額給我呢？我記得這種情況是卡上的金額為準(zhǔn)，此時(shí)我的卡，如果是1w，不知