BCBP登机牌安全研究の第三弹

基于180张真实登机牌样本分析的成果

Security Research of BCBP

——————————–

0x05    国内安全现状
5.1    国内机场登机牌安全现状

按照国际航协的要求，在2010年12月23日，就已经在全球各航空公司、机场、服务提供商和国际航协的共同努力下，公开宣称已经100％完成了二维条码登机牌的更换。出于安全研究精细严谨化的考虑，我对最近三四年国内的主要航空公司包括东航、海航、南航、国航、深航、首都、吉祥、厦航、昆明、山东、长龙等所用的登机牌样本，做了细致的解读与分析对比，特别是对航空公司自身的值机柜台与机场自助值机上的区别分析。

在对180份真实的登机牌样本做了逐样扫描分析和数字取证还原后，发现实际情况出现了明显的差异化，具体如下图所示：

   以下分析仅基于上述样本的分析结果，不代表任何非技术层面立场。在上图中我们能看到：
   1）    北京、上海、广州、深圳，作为一线城市在机场建设细节上的区别非常明显，二维码的使用率明显偏高，而个别旅游城市比如昆明，也超乎想象。
   2）    而从第5行开始就像是分水岭，杭州、成都、西安等二线城市在登机牌上明显就简化了很多，甚至出现了西安咸阳机场这样旅客在柜台值机拿到的登机牌上只有一维码，自助值机时的登机牌反而是一维码和二维码共存的情况。
   3）    对于国内那些普遍还在使用一维码的登机牌打印机而言，确实降低了伪造登机牌的难度。（关于伪造登机牌的环节详见4.2小节）
   值得庆幸的是，随着航空公司相关系统的升级、机场新安检设备的投入与安检力度的加大，重新强化了现有的安全防御体系，有效地降低了风险。但是对于这些可能存在的安全风险，还应引起足够重视。
5.2    国内机票诈骗分析

说明：以下仅考虑基于登机牌的标准业务模式下的机票欺诈方式，至于电话/短信退订类的欺诈案例不在本文讨论范畴。各类假期出行人士日益增多，不法风险加剧，国内购买机票时将可能面对如下一些诈骗行为：
   1）诈骗方式一：伪造出票/行程单
   有些不法分子会谎称己经订购好机票并出具了电子行程单，可等旅客到了机场才发现根本换不出登机牌，因为其实机票根本就没有订购成功。通过线下购买伪造的电子行程单据，然后调整打印机打出虚假的电子行程单拍照或者邮寄发给旅客，由于外观相似，一般人很难区分。
   防御建议：
   A．旅客在购票渠道选择上应当选择正规的航空公司官方网站或者其他正规途径。
   B．中国航信网站（网址见本文附录）提供了行程单验真查询，可以在拿到行程单后都可以在网站上输入电子客票号码和姓名，直接查询真伪，如下图所示：

   2）诈骗方式二：个人积分兑换票
   根据网上大量事件的反馈，乘客在网络购票平台上买到积分兑换的违规机票屡有发生。
   不同航空公司对会员累积积分兑换机票有不同要求，但基本都要求是会员本人或其直系亲属或指定受让人使用。买卖积分兑换机票属于违规行为。根据南方都市报记者报道，积分兑换违规机票有其商业链条，有出售积分，也有购买积分。去年某旅游平台曾爆出积分兑机票的大规模违规操作事件，恶意盗用法国航空公司、荷兰皇家航空公司的会员积分，百余名旅客遭遇锁票滞留机场，该旅游平台最终为这些旅客再次购买机票。
   防御建议：按照业界人士的说法，鉴别是否是积分兑换的违规机票，可以留意行程单。旅客最后打印的行程单上会有清晰的机票金额，若该金额与旅客付款金额不符，或出现“0元”字样的机票，一般情况就是由里程积分兑换而来的机票，这属于代理商明显违规的行为，乘客可保留完整的订单和行程单，以确保维权有据。
   3）诈骗方式三：伪造行程单赚差价
   在众多的购票陷阱中，有一种比较隐蔽，消费者可以顺利登机，甚至拿到纸质行程单，却不知道其实自己拿到的机票价格虚高，主要是第三方票务公司或个人通过伪造行程单来实现。
   根据航空公司票务方面的反馈：“经常有人联系不上代理商，就拿着纸质行程单找到售票处，我们一看那行程单就是假的，然后一查那张机票价格，比行程单上显示的价格要低得多，行程单上是打八折的价格，而实际出票是六折。”通过这样虚报价格，不仅让消费者多付钱，还将涉及到退改签等一系列费用，使消费者利益受损。
   防御建议：购买机票时，要索要电子行程单，查验行程单真伪，可检查行程单右上角印刷序号的后4位是否与验证码一致，如果不一致，该行程单就是假的（见下图所示）。还可以将行程单对准亮光处，看是否有SW、MH字样的水印，看行程单复印件的黄条位置是否显示”复印无效”字样。另外，还应该仔细核对姓名、航班日期、航程等重要信息。
   以下图为标准的行程单右上角印刷序号与左下方验证码的比对。


0x06    机票安全强化措施
6.1    美国TSA PreCheck预检计划（标识：TSA Pre✓）

TSA Pre-Check计划是一项由美国交通运输安全部(TSA)管理并运营一项快速安检计划，允许部分旅客从美国境内参加计划的机场出发时，更加快速、轻松地通过安检。目前这个已在美国境内各机场推行的快速安检计划，是以收集情报为目的的风险安全筛查方法的一部分。TSA Pre-Check将针对指定乘客进行预检，从而提高民航安全并加速旅行过程。在预检道上的乘客可以不必脱去他们的鞋子、腰带和薄外套。液体和笔记本电脑仍可放在袋子里，并接受标准的金属探测器侦测，而不是被全身扫描仪。乘客经过预检通道比通过正常检查的速度要快两倍以上。这样便可让TSA将其人力分配到有较高风险的乘客处。
   加入美国国土安全部(DHS)“信任旅客”计划的旅客可使用TSA Pre-Check通道。以下说明旅客可参加TSA Pre-Check的几种方式。旅客可申请TSA Pre-Check计划，在完成TSA背景检查和筛检后，获得批准的旅客会获得已知旅客编号(KTN)。旅客也可注册美国海关与边境保护局(CBP)的全球快速通关(GlobalEntrySM)计划、NEXUS卡或SENTRI卡，并使用其通行证ID作为KTN，来参加TSA Pre-Check。另外，美国部队军人可使用其美国国防部(DoD)身份识别号码注册，包括美国海岸警卫队、预备役军人和国民警卫队现役军人。

   如果TSA确定某位旅客符合快速安检计划条件，即会将信息嵌入其登机牌的条形码中。在旅客登机牌的姓名旁边也会印有TSAPre-Check徽标或”TSA PRE”字样。TSA工作人员在参加计划的机场扫描条形码后，会引导符合条件的旅客前往TSA Pre-Check通道。请注意，并非所有机场都提供TSA Pre-Check。
在2011年10月有四个机场实行预检筛查。而到2014年，有118个美国民用机场（包括西雅图-塔科玛机场）里有预检通道。每周搭机的1,400万乘客里，约有500万人经过预检筛查。政府也想要国外的营运商签署这方案，这样可以缓解拥堵的检查点。航空公司需要负责升级他们的电脑，因此不能很快参加。理论上获得最大好处的是经常搭载许多美国乘客的航空公司：例如英国航空、法国航空和德国汉莎航空公司。但TSA的官员表示，他们与所有的国际营运商都在协商。
   必须强调的是，TSA将始终在机场进行随机易变的安检措施，且为保持随机性，不保证任何人会获得快速安检。
6.2    TSA PreCheck预检识别

乘客将能够在登机牌的乘客姓名栏附近看到起预先通知作用的“TSAPRECHK”或“TSA Pre✓”的提示字样。在移动登机牌上，TSA Pre-Check标识将出现在条形码上方的右上角。请注意，如果符合TSA Pre-Check资格，无论航班的起飞机场是否设有预检通道，旅客整个行程的所有登机牌上均将显示此标识，如下图所示的美国航空公司登机牌。

通过读取上图中登机牌的二维码，获得对应串码如下：
M1MAHONY/RHONA ECOIAYT DFWDCAAA 1486 297S028B0013 148>218 WW0132BAA 00000000000002900100123835083 AA AA  ALhqidD5Qtg8LrvjCoylwanu7+LDJjCQPg==|AJbA0DRflaHGz6JsHYT3Dv+pDAv98dGJOA==
【解析如下】：

具体不再重复展开，主要是注意最后一段Hash（红色字），就是TSA最新增加的电子签名，该签名保证了不可伪造性。相对于早期的TSA Pre-Check所用的识别方式，可以通过查找串码中是否存在“32US”来辨别安全级别，也就存在伪造替换的可能，而现在的Hash需要连线才能读取其中的数据，不再支持离线读取，最大程度上保证了关键数据的安全。

6.3    其它安全强化手段和技术
   除了增加使用其它算法Hash的方法外，单就登机牌而言，也可以使用基于PGP签名技术的QR二维码，这样可以更加有效地加强登机牌的安全性。当然，采用复杂度高的QR二维码也可能会造成系统及设备升级成本的增加，需要综合多方面的考虑，在此不做过多讨论。

0x07    小结

限于篇幅和法律限制，一些深入内容就不再讨论展示，希望本文能协助国内航空公司改进现有体系中存在的安全隐患与风险，强化机场安全防御边界，推进打击业务非法行为。同时希望本文能对国内民众在保护隐私方面起到积极的促进作用。话说我最喜欢看到下面这样晒登机牌的图片了，每一次看到那个条形码，惊喜得就像抽奖：）

    最后，为确保自己的个人隐私不会通过登机牌外泄，在丢弃登机牌时可以采用直接撕碎，或者至少要做如下图般的涂抹处理后再丢弃（涂改二维码、姓名、航班号、登机时间、登机口、座位和序号之类……我擦，是挺麻烦的，还不如直接撕碎：）

   结尾放点资料，供感兴趣的朋友深入阅读（唉，可惜还不能打赏T_T  ）：

1）美国国土安全部的《关于登机牌扫描系统在隐私方面的评估》：
https://www.dhs.gov/xlibrary/assets/privacy/privacy_pia_tsa_bpss.pdf

2）《PASSENGERANDAIRPORTDATAINTERCHANGESTANDARDS》，乘客和机场数据交换标准，WCO/IATA/ICAO，2013
http://www.icao.int/Security/FAL/Documents/4-PNRGOV_XML-Implementation-Guide-13-1version-NEW-FOURTH.pdf

3）高级别航空保安会议（HLCAS）2012年9月12日至14日，蒙特利尔，“议程项目7：旅客姓名记录（PNR）数据及其在航空保安方面的作用”
http://www.icao.int/Meetings/avsecconf/Documents/WP%205/HLCAS.WP.5.PNR.FINAL.PUBLISHED.ch.pdf

4）“Insecure Flight: Broken Boarding Passes and Ineffective Terrorist Watch Lists”，Christopher Soghoian，反恐层面的，不多说，自己看吧：
http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1001675
……END

—————————————————————-

关注公众号，翻看前篇：

《BCBP登机牌安全研究の第一弹》

《BCPB登机牌安全研究の第二弹》

本文始发于微信公众号（全频带阻塞干扰）：BCBP登机牌安全研究の第三弹