8 月 29 日消息,共同社今天(8 月 29 日)发布博文,报道称索尼承认用于日本全国公共交通 IC 卡的非接触式 IC 技术“FeliCa”存在严重安全漏洞,存在破解加密系统后篡改数据的风险。
援引博文介绍,FeliCa 是由索尼公司推出的非接触式智能卡技术,其名称由“felicity”(幸福)与“card”(卡片)组合而成,采用 13.56MHz 无线通信频段,通信距离在 10 厘米以内,最高传输速率为 424kbps。
该技术于 2003 年被纳入国际标准 ISO / IEC 18092,属于近场通信(NFC)技术范畴,主要应用于电子支付、交通票证、门禁系统及身份识别等领域。
FeliCa 被广泛用于 JR 东日本的“Suica”、JR 西日本的“ICOCA”、香港地区的八达通卡等交通卡,以及政府机构、大学和企业的身份识别与门禁系统。
索尼表示目前 FeliCa 芯片目前累计超过 18 亿颗,并确认 2017 年以前出货的一部分有漏洞,存在密码被破解的可能。
共同社指出:
一旦遭到篡改,不仅会扰乱交通网络,还可能破坏公众对电子支付的信任,甚至对涉及机密信息的组织构成入侵风险。专家形容这是“动摇对基础设施信任的极为严重的事态”,不过目前尚未发现实际受损案例。
根据漏洞发现团队切敷裕大的说法,FeliCa 的运作机制是在每个系统下,所有卡片和设备共用相同的密钥。
虽然新版 FeliCa 已修复漏洞,但由于新旧版本共用密钥,因此新版卡片也可能被攻击者篡改。团队已经于今年 7 月已通过日本经济产业省下属的信息处理推进机构(IPA)将问题通报给索尼。
另一家网络安全公司 GMO Cybersecurity by Ierae 的验证结果同样证实,攻击者可以获取密钥并篡改内部数据,该公司警告可能有高级网络攻击团伙利用漏洞伪造员工身份卡,进行间谍活动。
切敷指出,FeliCa 的加密方式较为陈旧,早有专家质疑其强度不足,本应及早采用更安全的加密技术。
索尼目前正在锁定受影响范围,并探讨应对措施。虽然未公布具体方案,但有专家认为,要彻底解决问题,可能需要全部停用存在漏洞的旧版卡片。