Od kiedy karty zbliżeniowe szturmem zdobyły systemy komunikacji miejskiej, czekaliśmy, aż pojawią się opisy metod wykorzystania ich słabości. Najwyraźniej zagadnienie nie było trywialne, ponieważ dopiero dzisiaj pojawił się pierwszy exploit.
Badacze z firmy Intrepidus Group (tej samej, która ustaliła źródło wycieku identyfikatorów UDID Apple) pokazali dzisiaj na konferencji EUSecWest 2012 w Amsterdamie metodę nieograniczonego doładowywania karty miejskiej systemów komunikacji w New Jersey oraz w San Francisco. Co ciekawe, metoda ta wykorzystuje aplikację działającą na telefonie pod kontrolą Androida, wyposażonym z moduł NFC.
Nieskończona liczba przejazdów
Oba systemy, podatne na atak, używają kart Mifare Ultralight, wykorzystywane najczęściej jako bilety jednorazowe lub pozwalające na kilka przejazdów. Z opisu producenta kart wynika, że są one wyposażone w unikatowy numer seryjny oraz sumy CRC zapewniające integralność danych. Najwyraźniej jednak te zabezpieczenia nie wystarczyły, ponieważ badaczom udało się sklonować kartę, pozwalającą na 10 przejazdów i następnie nagrać ponownie jej zawartość po wykorzystaniu dostępnego limitu.
Aplikacja na Androida do rewitalizacji biletów
Jeden z autorów odkrycia, Corey Benninger, poinformował, że aplikację, wykonującą odpowiednie operacje na karcie, napisał w ciągu jednej nocy, nie będąc zawodowym programistą. Odkrywcy błędu postanowili opublikować aplikację w wersji testowej, umożliwiającej weryfikację, czy dany system komunikacji miejskiej może być podatny na opracowany przez nich atak. Aplikacja ma się nazywać UltraCardTester, jednak do tej pory nie udało się nam odnaleźć linku do jej pobrania. Mamy za to dla Was film z demonstracją jej działania.
Mimo, iż badacze poinformowali zarządzających systemami dostępu do komunikacji miejskiej o odkrytych błędach, problem ciągle występuje w obu sieciach. Najwyraźniej nie uznano ataku za poważny.
A co u nas?
Czy opisywany powyżej błąd występuje również w Polsce? Systemy zbliżeniowe są dość popularne, niewykluczone więc, że w którymś z polskich miast wprowadzono podobne rozwiązania, oparte na identycznym modelu karty. Jeśli znacie takie wdrożenie, dajcie znać.
Aktualizacja
Już można pobrać aplikację do testowania kart.
Komentarze
A czy nie można używać w takim razie samego telefonu zamiast karty?
@dogi
to wyobraz sobie szczene kanara jak pokazujesz mu telefon z appka :)
W Krakowie można mieć kartę w portfelu i ich czytniki nie mają z tym problemów. Po prostu zbliżasz portfel.