Na konferencii Confidence o bezpečnosti informačných technológií bola v máji 2009 v Krakove odprezentovaná prednáška s názvom „Hackovanie SMS lístka vo verejnej doprave“. V nej špecialista na bezpečnostné technológie Pavol Lupták predstavil spôsoby ako cestovať prostredníctvom hacku SMS lístka lacnejšie.Zatiaľ čo každý SMS lístok obsahuje unikátny kód, pomocou ktorého revízor kontroluje platnosť cestovného lístka, identita cestujúceho sa už nekontroluje. Takto je možné jeden kód SMS lístka v súčasnosti použiť na viacerých mobilných telefónoch bez toho, aby revízor zistil, že jeden lístok používa viacero cestujúcich.
Systémy SMS služieb vyhodnotia prijatú SMS od cestujúceho, vygenerujú unikátny kód a zašlú ho späť v rámci SMS lístka. Ak sa však ako medzičlánok medzi cestujúceho a dopravcu (resp. poskytovateľa služieb SMS lístka) vloží SMS hack-server, je možné jeden lístok využiť na viacerých mobilných telefónoch. Podmienkou je použitie špeciálnej aplikácie v mobilnom telefóne, ktorá komunikuje s hack-serverom. Cestujúci nezasiela požiadavku na SMS lístok v podobe SMS dopravcovi, ale namiesto toho otvorí v mobile aplikáciu a zvolí požiadavku na vygenerovanie SMS lístka. Aplikácia kontaktuje hack-server, pričom ak tento nemá v databáze platný cestovný lístok, zašle SMS dopravcovi, ktorý mu vráti pravý SMS lístok. Server prečíta kód, uloží ho do databázy a zašle ho späť do mobilného telefónu cestujúceho. Priamo v mobilnom telefóne aplikácia na základe kódu vygeneruje falošnú avšak od pravej nerozoznateľnú SMS s kódom platného cestovného lístka. Ak iný cestujúci zašle o niekoľko minút neskôr požiadavku na SMS lístok, hack-server už nekontaktuje dopravcu, ale hneď vráti aktuálny kód SMS lístka. Týmto spôsobom je možné, aby jeden kód lístka zdieľal ľubovoľný počet cestujúcich.
celé na: imhd.sk
a DP hneď reaguje, vraj sa to nedá: Hackeri vraj SMS lístky neohrozia
Žiadne komentáre:
Zverejnenie komentára