Telefon s Androidem a NFC umožňuje cestujícím jezdit metrem zadarmo

Android novinky na Instagramu. Neváhej a klikej

reklama

Výzkumníci vyvinuli aplikaci, která ukazuje zranitelnost systému elektronického jízdného v amerických městech.

Decentralizované a nezávislé Android novinky na Mastodon. Vyzkoušej

reklama

V amerických městech New Jersey a San Francisco používají k zaplacení jízdného v metru bezkontaktní karty. Výzkumníci Corey Benninger a Max Sobell ze skupiny Intrepidus ve čtvrtek na bezpečnostní konferenci EUSecWest v Amsterdamu ukázali aplikaci pro Android, která dovoluje cestujícím manipulovat s obsahem karty – konkrétně obnovit původní zůstatek a cestovat tak zadarmo. Stačí k tomu telefon s Androidem a čipem NFC (Near Field Communication) s nainstalovanou aplikací UltraReset.

Badatelé otestovali funkčnost jejich aplikace v obou zmiňovaných městech a informovali provozovatele dopravního systému o možnosti zneužití. Podle jejich slov jsou ale oba systémy velmi pravděpodobně stále zranitelné. Samotná chyba je přitom v NFC kartách, konkrétně v čipu Mifare Ultralight, používaném v jednorázových předplacenkách pro daný počet jízd. Tento typ čipu umožňuje každému, kdo má patřičné znalosti, přepsat na něm uložená data. Napsání aplikace, která toto dokáže, trvlalo Benningerovi jednu noc. Funguje tak, že přečte a uloží do telefonu stav z „nabité“/nově zakoupené karty, a po jejím vyčerpání (proježdění) ho opět na kartu zapíše. Toto je přitom možné opakovat prakticky neomezeně. UltraReset funguje na zařízeních s Androidem 2.3.3 nebo novějším.

Na následujícím videu můžete vidět praktickou ukázku, během které nejprve dojde k vyplýtvání deseti jízd z karty a následně k jejímu nabití z telefonu Nexus S. Systém, kontrolující elektronickou jízdenku, pak kartu skutečně detekuje jako nabitou.

Android 15 přinese nový způsob bezdrátového nabíjení. Kdo ho využije?

Zprávičky Adam Kurfürst

Podobný systém je používán také v daších amerických městech – jmenovitě v Bostonu, Seattlu, Salt Lake City, Chicagu a Philadelphii by mohli být ohroženi stejnou technikou. Tyto systémy však výzkumníky nebyly testovány.

Benninger a Sobell uvolnili ve čtvrtek upravenou verzi aplikace UltraReset, pojmenovanou UltraCardTester, aby lidé mohli vyzkoušet bezpečnost jejich místního dopravního systému. UltraCardTester má stejné schopnosti jako UltraReset, ale není schopen přepsat kartu – pouze detekuje, zda je či není čip zranitelný.

Testovací aplikaci v akci můžete vidět na tomto videu.

Vyřešení problému přitom není složité – stačilo by použít bezpečnější čip.

Hack NFC ukazuje, jak v některých odvětvích vstupují do implementace NFC nepřipraveni. Ať už je to důsledek nedbalosti či nedostatek pochopení toho, co přesně NFC poskytuje pokud jde o rovnováhu mezi pohodlím a bezpečností. Jedna věc je jistá – je to stále poměrně nová technologie, která by mohla v konečném výsledku přinést nepříjemné následky.

Zdroj: ComputerWorld.