Menu

Telefon s Androidem a NFC umožňuje cestujícím jezdit metrem zadarmo

Výzkumníci vyvinuli aplikaci, která ukazuje zranitelnost systému elektronického jízdného v amerických městech.

V amerických městech New Jersey a San Francisco používají k zaplacení jízdného v metru bezkontaktní karty. Výzkumníci Corey Benninger a Max Sobell ze skupiny Intrepidus ve čtvrtek na bezpečnostní konferenci EUSecWest v Amsterdamu ukázali aplikaci pro Android, která dovoluje cestujícím manipulovat s obsahem karty – konkrétně obnovit původní zůstatek a cestovat tak zadarmo. Stačí k tomu telefon s Androidem a čipem NFC (Near Field Communication) s nainstalovanou aplikací UltraReset.

Badatelé otestovali funkčnost jejich aplikace v obou zmiňovaných městech a informovali provozovatele dopravního systému o možnosti zneužití. Podle jejich slov jsou ale oba systémy velmi pravděpodobně stále zranitelné. Samotná chyba je přitom v NFC kartách, konkrétně v čipu Mifare Ultralight, používaném v jednorázových předplacenkách pro daný počet jízd. Tento typ čipu umožňuje každému, kdo má patřičné znalosti, přepsat na něm uložená data. Napsání aplikace, která toto dokáže, trvlalo Benningerovi jednu noc. Funguje tak, že přečte a uloží do telefonu stav z “nabité”/nově zakoupené karty, a po jejím vyčerpání (proježdění) ho opět na kartu zapíše. Toto je přitom možné opakovat prakticky neomezeně. UltraReset funguje na zařízeních s Androidem 2.3.3 nebo novějším.

Na následujícím videu můžete vidět praktickou ukázku, během které nejprve dojde k vyplýtvání deseti jízd z karty a následně k jejímu nabití z telefonu Nexus S. Systém, kontrolující elektronickou jízdenku, pak kartu skutečně detekuje jako nabitou.

UltraReset – Using a smartphone for free subway rides from Intrepidus Benn on Vimeo.

Podobný systém je používán také v daších amerických městech – jmenovitě v Bostonu, Seattlu, Salt Lake City, Chicagu a Philadelphii by mohli být ohroženi stejnou technikou. Tyto systémy však výzkumníky nebyly testovány.

Benninger a Sobell uvolnili ve čtvrtek upravenou verzi aplikace UltraReset, pojmenovanou UltraCardTester, aby lidé mohli vyzkoušet bezpečnost jejich místního dopravního systému. UltraCardTester má stejné schopnosti jako UltraReset, ale není schopen přepsat kartu – pouze detekuje, zda je či není čip zranitelný.

Testovací aplikaci v akci můžete vidět na tomto videu.

Vyřešení problému přitom není složité – stačilo by použít bezpečnější čip.

Hack NFC ukazuje, jak v některých odvětvích vstupují do implementace NFC nepřipraveni. Ať už je to důsledek nedbalosti či nedostatek pochopení toho, co přesně NFC poskytuje pokud jde o rovnováhu mezi pohodlím a bezpečností. Jedna věc je jistá – je to stále poměrně nová technologie, která by mohla v konečném výsledku přinést nepříjemné následky.

Zdroj: ComputerWorld.

 

Komentáře

uni

uni

21.9.2012 10:24

A teď se někteří diví, že to takové džungle polo pravidel apod. nechce Apple poslat iPhone 5:-D

vlados

vlados

21.9.2012 10:50

Máš pravdu. Apple to asi neumí udělat pořádně, tak to radši neudělal vůbec. Docela rozumný přístup.

J

J

21.9.2012 11:19

To neumíte napsat ani převzatý článek bez pravopisných chyb? “Vyvynuli” me doslova rozsekalo. Opravte si tu strašnou hrubku a naučte se česky!

Karelk

Karel Kiliánexternista 14

21.9.2012 11:23

To: J
Dobrý den,

děkuji za upozornění na chybu – uznávám, že tohle byla hodně brutální hrubka a nedivím se, že Vás rozčílila. Kdybych byl čtenářem, také bych kroutil hlavou :). Omlouvám se za rozčílení :)
Jednalo se ale spíše o nepozornost, nikoli o mou neznalost českého jazyka. Byť, to uznávám, mám stále co zlepšovat, zrovna slovo vyvinout za normálních okolností píšu správně :).

uni

uni

21.9.2012 11:34

vlados: Přésně, Apple se soustředí na uživatelský zážitek, proto vypouští hotové věci (nové mapy tomu ale odporují, pravda), na druhou stranu, v ČR máme stejně lepší mapy.cz a na navigaci má člověk stejně něco kvalitnějšího od TomTom apod.

Ardarel

Ardarel

21.9.2012 12:38

našel někdo ten UltraCardTester?

Sir Sprice

Sir Sprice

21.9.2012 14:11

To nemůžete do titulku článku napsat, ze se jedna o Spojené státy?? Když jsem to četl, tak mě to zaujalo a článek nasledne zklamal

Neonik

Neonik

21.9.2012 15:12

Jojo, taky sem si říkal, že je to super a pak sem byl zklamanej..:-D Ale podle mě by to mělo jít i bez toho programu, stačí si nějakým NFC retagem zálohovat obsah čipu a pak ho tam jen znova nahrát.. nebo se pletu?..(Samozřejmě by stačilo, aby se to odečítalo ze serveru a ne z karty a pak by má teorie byla nahouby..)

Vlados

Vlados

23.9.2012 7:41

Uni:
No můj příspěvek byl sice ironie, ale budiž ;-)
Tak k rekaci: No nejsem sice příznivec Applu, ale byly časy, kdy jsem ho uznával, že dělá kvalitní věci. Bohužel, přijde mi v souvislosti IP, že tomu už tak není. Tolik chyb při vypuštění, to snad nezvládal ani MS. zpomalování po updatu, ztráty signálů, mapy jak sám píšeš a další a další.

RSS (komentáře k článku)