刚刚落幕的拉斯维加斯黑帽大会,再次验证了“自古黑客出少年”的传奇,几个17、18岁的学生,搞定了波士顿地铁计费系统可实现免费无限乘车。此前,2021年8月,来自波士顿的四名高中生重现了麻省理工学院(MIT)学生于2008年发现的该市地铁票价系统中的漏洞。四个少年实现了与技术的与时俱进,不仅复制了旧方法,还为当前最新的CharlieCard系统开发了一种新方法,用它可以免费乘坐地铁。这些青少年与两位黑客朋友一起进行了两年的攻击技术研究,并在本月拉斯维加斯举行的Defcon 2023黑客会议上展示了他们的研究成果。他们创建了一个便携式“自动售货机”和一个Android移动应用程序,可以向CharlieCard添加任意金额或更改卡设置。也就是说,继2008年研究者搞定了Charle Ticket磁条卡的充值之后 ,四名少年黑客现在搞定了非接触式智能卡CharlieCard。与2008年不同的是,波士顿当局没有提起诉讼,而是邀请学童到交通部门总部,在那里他们交流了发现的漏洞。该市公共关系总监Joe Pesaturo表示,该漏洞并不是直接威胁,将在2025年实施新支付系统时得到解决。目前交通部门正试图通过检测和拦截修改过的卡来反制他们的方法,但大多数这些卡仍然可以通过。15年过去了,不变的是漏洞的机理、黑客的执着,变化的是技术的进步和官方对漏洞研究和披露的态度。
据维基百科,波士顿地区的地铁票务系统经历多次升级,但安全问题一直持续不断。
根据连线的报道,15年前,拉斯维加斯Defcon黑客大会遭遇了其历史上最严重的丑闻之一。就在一群麻省理工学院的学生计划在会议上发表演讲时,他们发现了一种可以免费乘坐波士顿地铁系统(即马萨诸塞湾交通管理局)的方法,MBTA起诉了他们,并获得了一项限制令,以阻止他们这样做。不允许他们发声。演讲被取消,但在此之前黑客的幻灯片被广泛分发给与会者并在网上发布。
2021年夏天,15岁的马蒂·哈里斯(Matty Harris)和扎卡里·贝尔托基(Zachary Bertocchi)正在乘坐波士顿地铁,哈里斯向贝尔托基讲述了他读过的一篇维基百科文章,其中提到了黑客历史上的这一时刻。这两名青少年都是波士顿梅德福职业技术高中的学生,他们开始思考是否可以复制麻省理工学院黑客的工作,甚至可以免费乘坐地铁。
他们认为这是不可能的。哈里斯说:“我们认为,因为那是十多年前的事了,而且已经得到了广泛的宣传,所以他们会解决这个问题。”
波士顿地铁黑客(从左到右)Scott Campbell,16岁;诺亚·吉布森,17岁;马蒂·哈里斯,17岁;和 Zack Bertocchi,17岁。摄影:ROGER KISBY
现在,经过两年的工作,这对青少年和两位黑客好友诺亚·吉布森(Noah Gibson)和斯科特·坎贝尔(Scott Campbell)在拉斯维加斯举行的Defcon黑客会议上展示了他们的研究成果。事实上,他们不仅复制了麻省理工学院黑客2008年的伎俩,而且更进了一步。2008年的团队入侵了波士顿的Charle Ticket磁条纸卡,对其进行复制、更改其价值并获得免费乘车服务,但这些卡在2021年失效了。因此,这四名青少年扩展了2008年黑客团队所做的其他研究,以完全逆转设计了CharlieCard,MBTA目前使用的RFID非接触式智能卡。黑客现在可以向其中一张卡充值任意金额,或者无形地将其指定为打折学生卡、老年卡,甚至是提供无限免费乘车服务的MBTA员工卡。“你能想到的,我们都能做到”。
为了展示他们的作品,这些青少年甚至创建了自己的便携式“自动售货机”——一种带有触摸屏和RFID卡传感器的小型桌面设备——可以为CharlieCard添加他们选择的任何价值或更改其设置,并且他们在Android应用程序中内置了相同的功能,只需轻按一下即可添加积分。他们在视频中演示了这两种技巧。
与2008年Defcon地铁黑客袭击事件形成鲜明对比的是,这四名黑客表示,MBTA没有威胁要起诉他们或试图阻止他们,这表明公司和政府机构与网络安全社区的关系已经取得了多大进展。他们的Defcon谈话。相反,今年早些时候,它邀请他们前往交通管理局总部,就他们发现的漏洞进行演示。然后MBTA礼貌地要求他们隐藏部分技术,以使其他黑客更难复制。
黑客表示,MBTA并未真正修复他们发现的漏洞,而是似乎在等待计划于2025年推出的全新地铁卡系统。当《连线》杂志联系MBTA时,其通讯总监Joe Pesaturo在一份声明中回应称,“MBTA很高兴学生们主动与收费团队合作。”
Pesaturo补充道:“应该指出的是,学生们发现的漏洞不会构成影响安全、系统中断或数据泄露的迫在眉睫的风险。” “MBTA的欺诈检测团队已加强监控以解决此漏洞,[并且]预计不会对MBTA造成任何重大财务影响。一旦新的售票系统上线,这个漏洞就不会存在,因为它将是一个基于账户的系统,而不是今天的基于卡的系统。”
这些高中生表示,当他们在2021年开始研究时,他们只是试图复制2008年团队的CharlieTicket黑客研究。但几个月后,当MBTA逐步淘汰这些磁条卡时,他们想了解CharlieCard的内部工作原理。经过几个月对不同RFID读取器的反复试验,他们最终能够将卡上的数据内容转储并开始解密。
与信用卡或借记卡不同的是,信用卡或借记卡的余额是在外部数据库中而不是在卡本身上进行跟踪的,CharlieCards实际上在自己的内存中存储了大约1KB的数据,包括其货币价值。为了防止该值被更改,卡内存中的每行数据都包含一个“校验和”,即使用MBTA未公开的算法根据该值计算出的字符串。
黑客想出了如何重现“校验和”计算,旨在防止CharlieCard上存储的值被更改,从而绕过反黑客保护。摄影:罗杰·基斯比
通过比较不同卡上相同的内存行并查看它们的校验和值,黑客开始弄清楚校验和功能是如何工作的。他们最终能够计算出允许他们更改卡上的货币价值的校验和,以及使CharlieCard读卡器接受其有效的校验和。他们为每个值计算一长串校验和,以便他们可以随意将卡上的余额更改为他们选择的任何金额。应MBTA的要求,他们不会发布该表,也不会发布其校验和逆向工程工作的详细信息。
去年12月,就在他们取得这一突破后不久,这些青少年在《波士顿环球报》上读到了另一位黑客的报道,他是麻省理工学院的毕业生,也是渗透测试员,名叫Bobby Rauch,他想出了如何使用Android手机或Flipper克隆CharlieCards零手持无线电黑客设备。劳赫表示,通过这种技术,他可以在花费其价值之前简单地复制一张CharlieCard,从而有效地获得无限的免费乘车服务。然而,当他向MBTA演示这项技术时,MBTA声称它可以在使用克隆卡时发现它们并使其失效。
今年年初,这四名青少年展示了他们的技术,这些技术不仅限于克隆,还包括对卡数据进行更精细的更改。这位年长的黑客印象深刻,并主动提出帮助他们向MBTA报告他们的发现,而且不会被起诉。
在与Rauch的合作中,MBTA创建了一个漏洞披露计划,与同意分享他们发现的网络安全漏洞的友好黑客合作。这些青少年表示,他们被邀请参加MBTA的一次会议,与会者包括不少于12名该机构的高管,他们似乎都对自己愿意分享自己的发现表示感谢。MBTA官员要求高中生在90天内不要透露他们的发现,并对他们的校验和黑客技术的细节保密,但除此之外同意他们不会干扰任何结果的展示。这四名青少年表示,他们发现MBTA的首席信息安全官斯科特·马戈利斯 (Scott Margolis) 特别容易合作。“太棒了,”贝尔托基说。
这些青少年表示,与劳奇的克隆技术一样,交通当局似乎试图通过检测被篡改的卡并阻止它们来对抗他们的技术。但他们表示,他们充值的卡中只有一小部分被抓获。“他们所采取的缓解措施并不是真正能够修复漏洞的补丁。相反,他们会在牌出现时玩打地鼠游戏,”坎贝尔说。
“我们的一些卡被禁用,但大多数都可以通过,”哈里斯补充道。
那么他们四个人是否都使用CharlieCard黑客技术免费在波士顿地铁系统中漫游?“没有答复。”
目前,黑客团队很高兴能够在没有MBTA在15年前在诉讼中尝试的严厉审查制度的情况下发表演讲。哈里斯认为,MBTA可能从这种做法中吸取了教训,这种做法只会引起人们对黑客调查结果的关注。“很高兴他们现在没有这样做——他们没有搬起石头砸自己的脚。这对每个人来说压力都小了很多,”哈里斯说。
另一方面,他也很高兴MBTA在2008年的演讲中采取了如此强硬的态度,以至于引起了他的注意,并在近十五年后启动了该小组的研究。“如果他们没有这样做,”哈里斯说,“我们就不会在这里。”
2014年12月,北京地铁收费系统基础安全算法爆出漏洞,有人还为此专门做了一次攻击试验,证明可以通过一款手机App增减票卡面值等关键计费信息。
注:连线的报告适时进行了更新,2023年8月10日东部时间下午5点更新:添加了MBTA发言人的声明。2023年8月11日上午11:25更新:澄清了青少年与MBTA会面的时间。
1、https://www.wired.com/story/mtba-charliecard-hack-defcon-2023/
2、https://www.securitylab.ru/news/540853.php
3、https://en.wikipedia.org/wiki/CharlieCard
原文始发于微信公众号(网空闲话plus):少年黑客破解地铁卡可无限免费乘坐—美国波士顿地铁计费系统惊险不断
