【大紀元2023年09月07日訊】(大紀元記者劉景燁編譯報導)麻州麥德福(Medford)的4名高中生發現,竟然可以通過安卓手機向查理卡(Charlie Card)免費「充值」。他們將這個漏洞告知了麻州捷運署(MBTA)。
這4名學生是麥德福職業技術高中(Medford Vocational Technical High School)的哈里斯(Matty Harris)、吉普森(Noah Gibson)、貝爾托基(Zack Bertocchi)和坎貝爾(Scott Campbell)。他們發現,通過日常使用的電子設備,竟然可以為一張查理卡「充值」最多300美元。同樣的技術,甚至可以被用來偽造學生優惠卡和交通職工卡。
發現這個漏洞之後,這些學生立刻聯繫了MBTA的網絡安全部門。MBTA信息安全部長馬格利斯(Scott Margolis)對此非常感激。「我們甚至不知道這種漏洞可能會出現。」他對媒體說。
這4名高中生經過了2年的研究才發現了「無限複製卡」的漏洞。普通的安卓手機通常裝有用於「Google Pay」移動支付的芯片。利用這種芯片,以及學生們研發的「充值機」或自製軟體,就可以為查理卡免費「充值」。
這不是第一次有人發現MBTA的漏洞。2008年,麻省理工學院(MIT)的幾名學生發現了一種免費搭乘地鐵的方法。MBTA隨後在法庭申請了禁制令,禁止學生們公布這種方法。
2022年底,獨立信息安全分析師勞赫(Bobby Rauch)展示過將一張查理卡的餘額複製到另一張卡上的技術,他只用一部安卓手機就完成了這個過程。這位分析師後來與MBTA合作解決這種漏洞。
對於今年4位高中生的發現,MBTA表示,他們的技術非常複雜,所以不太可能被人濫用。另一方面,這個漏洞也是很難解決的,可能需要MBTA更換整個查理卡系統。◇
責任編輯:馮文鸞