IT壹周刊：特斯拉被指存漏洞 微软最大规模裁员【4】

　　7月18日 北京青年报 12306购票软件再曝漏洞 黄牛可利用漏洞多囤票

　　目前，正值暑运高峰期，热门线路车票一票难求。7月15日，第三方漏洞报告平台“乌云”再次曝出铁路12306购票软件存在漏洞，漏洞等级为“中”。黄牛破解后可以利用该漏洞囤积火车票。和前几次不同，这次乌云网曝出的漏洞，为去年底12306新推出的手机客户端。昨天，“乌云”已经得到12306厂商中国铁道科学研究院的确认，对于漏洞，研究院正在处理中。

　　7月15日，乌云网曝出“12306手机端so库算法泄露漏洞”，其分析，这一漏洞类型为设计缺陷/逻辑错误。该漏洞可以让人利用该算法软件模拟手机端来非法囤积车票。

　　猎豹移动安全专家李铁军昨天向北青报记者解释了这个漏洞会造成的后果。他解释说，在正常情况下，我们的一部手机同一时间只能有一个账号登录12306来购买火车票。目前，正规的抢票软件的购票流程也和12306官方客户端完全一样，一部设备同一时间只支持一个账号登录买票，购票过程完全遵守12306的规则。

　　但是，现在12306手机客户端的算法已经被泄露，黄牛知道了客户端和服务端是用什么原理连接的，这样黄牛就可以去伪造多个客户端信息，骗过服务器，从而实现用一台电脑或者一部手机同时模拟多个账号并连接到12306的服务器上进行购票。这个漏洞会造成购票的不公平，一个人可以囤积多张火车票。

　　李铁军分析，12306手机客户端的算法被泄露后，厂商可以用修改算法等方式来修复漏洞。

　　据了解，2013年12月，铁路部门的官方手机购票客户端“铁路12306”正式上线试运行，上线首日就迎来了20万人的体验。2014年春运，12306手机客户端逐渐被旅客接受。