【大纪元2023年09月07日讯】(大纪元记者刘景烨编译报导)麻州麦德福(Medford)的4名高中生发现,竟然可以通过安卓手机向查理卡(Charlie Card)免费“充值”。他们将这个漏洞告知了麻州捷运署(MBTA)。
这4名学生是麦德福职业技术高中(Medford Vocational Technical High School)的哈里斯(Matty Harris)、吉普森(Noah Gibson)、贝尔托基(Zack Bertocchi)和坎贝尔(Scott Campbell)。他们发现,通过日常使用的电子设备,竟然可以为一张查理卡“充值”最多300美元。同样的技术,甚至可以被用来伪造学生优惠卡和交通职工卡。
发现这个漏洞之后,这些学生立刻联系了MBTA的网络安全部门。MBTA信息安全部长马格利斯(Scott Margolis)对此非常感激。“我们甚至不知道这种漏洞可能会出现。”他对媒体说。
这4名高中生经过了2年的研究才发现了“无限复制卡”的漏洞。普通的安卓手机通常装有用于“Google Pay”移动支付的芯片。利用这种芯片,以及学生们研发的“充值机”或自制软体,就可以为查理卡免费“充值”。
这不是第一次有人发现MBTA的漏洞。2008年,麻省理工学院(MIT)的几名学生发现了一种免费搭乘地铁的方法。MBTA随后在法庭申请了禁制令,禁止学生们公布这种方法。
2022年底,独立信息安全分析师劳赫(Bobby Rauch)展示过将一张查理卡的余额复制到另一张卡上的技术,他只用一部安卓手机就完成了这个过程。这位分析师后来与MBTA合作解决这种漏洞。
对于今年4位高中生的发现,MBTA表示,他们的技术非常复杂,所以不太可能被人滥用。另一方面,这个漏洞也是很难解决的,可能需要MBTA更换整个查理卡系统。◇
责任编辑:冯文鸾
