Title: 康百世票用手機App可破解 掃描篡改數據 過期票變有效

Date: Saturday, April 9, 2016

Synopsis: 其中一次性使用的康百世票（Compass Ticket）被揭能遭破解，有心逃票的不法之徒只需一部智能手機和免費下載的手機應用程式；這類車票存保安漏洞問題並且更非秘密，數年前已被流動保安科技界發現和公開

Image(s):

​Article Text:

Article Text: 【明報專訊】運輸聯線（TransLink）花近2億元設計及安裝的智能車票系統，其中一次性使用的康百世票（Compass Ticket）被揭能遭破解，有心逃票的不法之徒只需一部智能手機和免費下載的手機應用程式；這類車票存保安漏洞問題並且更非秘密，數年前已被流動保安科技界發現和公開。 內藏NFC晶片 有保安漏洞 據電視台CTV報道指，外表看來似紙票的康百世票，內藏使用近距離無線通訊（NFC）技術的晶片，但它存在保安漏洞，只要一部具備取讀NFC功能的智能手機和一些免費程式便能破解。報道指，將一張原本已無效的康百世票，放在手機背面掃一掃，其晶片內的數據便可被讀取和更改，它便變成一張可成功打開架空列車站閘門的車票。 有民眾得悉存在這問題後表示沮喪，指運聯花一大筆金錢安裝「新系統」，但卻未能適當發揮功效。 保安漏洞問題數年前已被公開，有研究員早將測試新澤西州（New Jersey）公交系統漏洞的短片放上網。（見另稿） 運聯康百世系統副主席Lloyd Bauer回應指，機構在去年12月已得悉有這問題存在，但認為相對一個用量如此高，如前日拍卡的次數有達150萬次的系統，屬這類問題的車票應佔極少數。報道指，若運聯職員發現車票被「改動」，便將它取消，不過，若被運輸警察發現，持票人有可能會被控行騙。 不法之徒只需用智能手機和應用程式便可破解康百世票。（CTV電視畫面） 同類問題 美國5年前已揭發 據指，可破解NFC的問題最先在2011年發現，當時在流動保安企業當顧問的本寧格（Corey Benninger）與朋友於一次前往三藩市的旅程中，發現當地公共交通系統的智能車票是使用NFC科技，他手上有一部當時最先具備NFC科技的手機，他們好奇那新手機能否感應到車票，一試發現竟可成功讀取數據。 當他們回到紐約後更發現，手機不但可讀取，也可更改如上述同類車票內晶片的數據，並從而聯想到對於一些不法之徒，編寫逃票的手機應用程式並不困難。 後來有流動保安技術的研究員指，有應用程式能將數據複製和更改，研究員測試新澤西州（New Jersey）火車系統的車票，並能成功破解，他們更將測試的短片放到上述流動保安企業網站的博客中。 本寧格與朋友後來通知三藩市和新澤西州公共交通管理部門，希望能提醒當局修補漏洞，他們並在數個月後一次在荷蘭舉行的流動保安研討會上將發現公開。