恩智浦回應(yīng)NFC乘車卡入侵事件

　　最近，移動(dòng)安全專家Intrepidus Group的研究人員展示了如何用安卓NFC手機(jī)為乘車卡充值，而且不用花費(fèi)一分一毫。據(jù)研究人員說，這款名為“UltraReset”的應(yīng)用可以向舊金山城市鐵路和新澤西路軌交通系統(tǒng)發(fā)布的卡進(jìn)行十次免費(fèi)充值。

　　對于這次的事件，恩智浦回應(yīng)說，這些漏洞的存在，是因?yàn)榘l(fā)布商沒有將Mifare Ultralight升級(jí)到Mifare Ultralight C技術(shù)。

　　“研究人員利用NFC手機(jī)進(jìn)行充值的智能紙質(zhì)票是基于Mifare Ultralight技術(shù)的。而這項(xiàng)技術(shù)是一個(gè)成本優(yōu)化方案，設(shè)計(jì)理念是用于一次性、非充值、應(yīng)用范圍受限的紙質(zhì)票上的。它只提供基本的安全功能，如一次性可編程（OTP）比特，以及一個(gè)寫入鎖定功能，防止改寫儲(chǔ)存頁面，但是并不包含乘車卡中所使用的加密手段?！?/P>

　　“恩智浦在08年就已經(jīng)推出了Mifare Ultralight的改良版——Mifare Ultralight C。這項(xiàng)新技術(shù)改善了安全性能（3DES鑒定），防止未經(jīng)授權(quán)的訪問，預(yù)期能廣泛應(yīng)用于NFC手機(jī)中、防止黑客入侵。Mifare Ultralight C由恩智浦和領(lǐng)銜運(yùn)輸系統(tǒng)方案供應(yīng)商聯(lián)合開發(fā)。目前所知，許多公共交通運(yùn)營商正在調(diào)整系統(tǒng)設(shè)計(jì)?！?/P>

　　“就目前所得的第一手資料顯示，這款名為‘UltraReset’的應(yīng)用，與其說是針對乘車卡和NFC的相關(guān)漏洞，倒不如說是針對系統(tǒng)本身的漏洞。其報(bào)道的關(guān)鍵句中提到‘比特本身并沒有被打開’，這里的比特指的就是OTP比特，這就意味著乘車卡在這里的用途已經(jīng)超出了Mifare Ultralight的應(yīng)用范圍。”

　　“智能紙質(zhì)票的一個(gè)關(guān)鍵元素是不可復(fù)原性，用于實(shí)施系統(tǒng)安全措施。Mifare Ultralight的OTP比特就代表著這樣一個(gè)元素。像Mifare Ultralight C這樣的改良版已經(jīng)加入了單向計(jì)數(shù)器，擴(kuò)大了其不可復(fù)原性?！?RFID世界網(wǎng)編輯整理)

【責(zé)任編輯：廖小亞】