Обновена на 26.11.2014 от Questo
TrendMicro съобщава за приложение за Android, което може да хаква карти за градски транспорт. Приложението се е разпространявало по форумите в Чили и не присъства в официалния магазин Google Play.
Веднъж инсталирано на телефона, приложението може да чете и записва информация върху чиповетe на безконтактните карти, казват от TrendMicro. Авторите на статията посочват, че става дума за някои модели безконтактни карти от серията MIFARE (MIFARE Classic), които се използват основно за разплащания и за идентификация от системите за сигурност (баджове за достъп до сградата и т.н.)
Всъщност MIFARE Classic беше разбит грандиозно още през 2008г.
„Тези конкретни модели бяха подменени с по-сигурни още преди години. Но, изглежда, някои картоиздатели предпочитат по-евтини решения, които излагат клиентите им на риск“, казва от компанията.
Полюбопитствах дали сред тези картоиздатели попада и столичният градски транспорт. Проверих тази обществена поръчка за смарт карти от 2013г. и не останах изненадан:
3. Защита на картите:
Ключове за достъп 2 ключа за всеки сектор
Условия на достъп на всеки сектор
Протокол Mifare® Classic
Генератор на случайни числа вграден
Което, разбира се, не означава, че конкретното андроидско приложение ще Ви помогне да се возите безплатно в метрото. Но проблемът със защитата на картите за градски транспорт си остава.
Ключ с размер FF FF FF FF FF FF = трилион комбинации, при високоскоростна връзка или около 500 000 проверки на генерирани пароли „брут форс“ за 24 часа за да се улучи са нужни XY? години. Сигурността са крепи на най-слабите звена т.е. откраднати данни от БД на централен компютър, зловреден софтуер на тези касиерки на станциите, който да прихване пароли при комуникации, защото старите четци са на сериен порт, все до човешки фактор опира. Другите варианти са за младите хакери, ще научат нещо по трудния път, или пък късметлии да улучат някои популярни пароли или фабрични пароли да са останали по картите, кой знае. Поръчкова статия, дайте пари за по-голяма сигурност, а не по добра профилактика на слаби звена.