悠遊卡秩序恐大亂記者會現場
思瑤要打造一個公義的社會,確保市民權益!
今天,『護台北』行動列車來到—悠遊卡破解記者會。
發行了一千六百多萬張的悠遊卡,面臨了被複製、盜刷、任意儲值的巨大危機!台北市議員周威佑、吳思瑤今天上午召開記者會指出,包括歐洲以及美國都陸續傳出捷運(地下鐵)的儲值卡遭到破解的消息,遭破解後,即可複製偽卡,並且自己任意加值。而且這些城市地鐵的儲值卡和台北市悠遊卡是同一家公司所研發,使用的也是同一個加密系統。因此,台北悠遊卡被複製且任意加值,將是可預見的未來。一旦如此,捷運系統將出現空前的亂象,悠遊卡衍生的小額消費功能,將引發台灣金融危機。
周威佑議員表示,台北市捷運系統使用的悠遊卡,和其他世界的許多城市的地鐵所使用的卡片,都是來自恩智浦半導體公司(NXP, 其前身係飛利浦半導體部門)所製造的MIFARE Classic智慧卡系列,使用相同的加密系統Crypto 1。在全球的發行量已經超過十億張。日前傳出,其加密系統已遭到破解,除了可以用來製造偽卡之外,甚至連儲值的金額,都可以任意更改。
周威佑在記者會上播放荷蘭Radboud大學破解恩智浦MIFARE Classic晶片卡的影片,突顯悠遊卡容易被複製的問題。只要簡單的讀、寫卡設備,加上一台電腦,就可以不斷複製偽卡。 另外較為轟動的則是美國麻省理工學院的三名學生,破解了波士頓地鐵「查理卡」(CharlieCard)的加密系統,並將原理公布在麻省理工學院的網路上。內容包括如何更改捷運儲值卡的儲值金額。經過他的測試,最多可以加到655.36美元。 第三個案例則是英國倫敦學院(University College London)的研究團隊,破解了倫敦地鐵「牡犡卡」(Oyster Card)的加密系統。該研究團隊並估計犯罪集團將複製卡片的工具組商業化,只要200英磅就可以買一套回家,自己製造偽卡搭免費地鐵。 周威佑表示,各國的研究團隊都指出恩智浦公司的加密系統顯然有容易破解的瑕疵,未來悠遊卡如果想要做更多的運用,其加密的技術安全等級一定要更為提昇才行。 阻斷式攻擊將造成捷運癱瘓 此外,荷蘭的研究人員甚至發現可以成功對通行閘道進行阻斷式攻擊,造成閘道無法通行。這個研究成果如果被有心人士拿來對捷運公司的進出閘道進行攻擊,而且選擇在跨年夜的話,台北市的交通就癱瘓了。 悠遊卡公司面臨兩難 吳思瑤議員表示,NXP公司雖然在今年已推出進階加密標準的新一代晶片卡「MIFARE Plus」 , 但是由於加密演算更為複雜,進出閘道感應卡片的時間可能會變得更久,對捷運來往的人潮來說,可能會在閘道口造成回堵。而且面對已經發行1600萬張的悠遊卡,要全面回收,恐怕也是非常浩大的工程。 離線交易是偽卡犯罪天堂 或許悠遊卡公司認為他們可以藉由一些比對的方式,在捷運站的閘門就可以將偽卡偵測出來,接著進行鎖卡的動作。但是如果是離線狀態,例如搭乘公車、計程車、停車場或其他衍生性消費等,沒有直接和主機連線的情形下,就是偽卡犯罪的天堂,根本就查不到。 金監會勿任意放行悠遊卡消費功能 吳思瑤表示,目前台北市悠遊卡,除了可以搭乘捷運、公車、停車場等交通用途之外,還有中興醫院、三重醫院的醫療費用也可以用悠遊卡繳費。連聖文上任後,不斷努力希望能打進超商系統甚至其他小額消費的範疇,所幸小額消費這個部份,金監會還沒有放行。因為悠遊卡的加密系統已經遭人破解,若有心人士持偽卡消費,這筆損失究竟要由店家自行吸收? 或是悠遊卡公司願意賠償? 或甚至是NXP恩智浦公司要賠呢? 必然造成重大的金融糾紛。吳思瑤也呼籲中央(交通部及金融監督管理委員會),正視這個問題,在遭破解的問題未解決之前,切勿貿然讓悠遊卡增加其他消費功能,以免造成金融問題。
記者會說明
三城市地鐵智慧卡晶片遭破解
思瑤提出相關說明
恩智浦智慧卡全球發行超過十億張
吳思瑤指出,目前使用恩智浦 MIFARE Classic智慧卡的城市,除了台北悠遊卡、高雄一卡通之外,荷蘭阿姆斯特丹 (OV-Chipkaart)、英國倫敦(Oyster Card牡犡卡)、美國波士頓(CharlieCard查理卡)、中國北京 (一卡通)、南韓 (U pass)、巴西里約熱內盧 (RioCard)、西班牙馬德里 (Sube-T)、澳洲布里斯本、新德里、曼谷……真的是族繁不及備載,全球的發卡數量已經超過十億張,都是用同一個加密系統。加密系統被破解,影響的層面相當廣泛。吳思瑤議員要求悠遊卡公司立即研擬因應措施。
『思瑤護台北』下一站,即將出發,歡迎您加入!
留言列表
