Kontrapunkt

Dva istraživača, Corey Benninger i Max Sobell, iz Grupe Intrepidus, smislili su način za besplatnu dopunu potrošenih karata za prevoz. Oni su iskoristili bezbednosni propust u RFID/NFC tehnologiji koja se koristi u sistemu naplate karata u podzemnoj železnici Nju Džerzija i San Franciska. Pošto se ista tehnologija koristi i u smartfonovima, nedostajala je samo odgovarajuća aplikacija za Android (verzija 2.3 i novije). Zato je Benninger, koji inače nije programer, prionuo na posao i vrlo brzo uspešno rešio taj problem – kodirajući aplikaciju za samo jednu noć. Svako, kaže on, ko ume da presnimi podatke na NFC čip može da napravi sopstvenu verziju.

Svoje otkriće Benninger i Sobell predstavili su na bezbednosnoj konferenciji EUSecWest koja je održana u Amsterdamu. Oni su istakli da sve veći broj gradova uvodi RFID/NFC tehnologiju za očitavanja karata i da, po svemu sudeći, problem nije u lošoj tehnologiji već u implementaciji tih sistema. Oba testirana sistema, Path u Nju Džerziju i Muni u San Francisku, nisu koristila bezbednosna podešavanja na odgovarajući način, što je njima dvojici omogućilo da resetuju svoje karte.

Aplikaciju za smartfonove koja omogućava besplatnu vožnju nazvali su UltraReset. U demonstrativnom videu oni koriste Nexus S smartfon kojim resetuju podatke na NFC Mifare Ultralight čipu.

Uštrojena verzija aplikacije UltraReset, nazvana UltraCardTester, dostupna je za download. Njena svrha je testiranje bezbednosti sistema naplaćivanja karata i ona ne omogućava resetovanje kartice. No, to sigurno neće obeshrabriti hakere kojima ova aplikacija može da posluži makar kao putokaz ka jednostavnom exploitu. Jer, ako je to mogao da učini neko ko nije programer, šta tek mogu da urade Anonymous i ostala subverzivna tech-savvy banda?