נסיעות חינם: סיפורם של האקרים של רכבת התחתית בסמארטפון

שני חוקרי אבטחה ניידים גילו שאפשר לפרוץ כרטיסי רכבת תחתית מסוימים לנסיעות חינם. מה שגרוע יותר, הם חושבים שהטריק לא קשה מדי לשחזור - כל מה שהם היו צריכים זה סמארטפון פשוט. עם זאת, לא ברור מי אשם בחור האבטחה הזה.

הכל התחיל כשקורי בנינגר, יועץ אבטחה נייד שעובד עבורקבוצה ללא חת, טייל בסן פרנסיסקו בשנת 2011. באותו זמן, הוא ועמיתו וחברו מקס סובל התחילו לשחק עם Google Nexus S ו-תקשורת שדה קרוב(NFC), טכנולוגיה אלחוטית המאפשרת למכשירים לתקשר ולהחליף נתונים למרחקים קצרים או באמצעות תגובה פיזית.

כשבנינגר נסע באוטובוס Muni בסן פרנסיסקו, הוא שם לב שהכרטיסים לשימוש מוגבל שלהם פועלים עם NFC, ומאפשרים לנוסעים פשוט להניח את הכרטיס על קורא כדי לשלם עבור הנסיעות שלהם. לאחרונה הוא שם את ידו על אחד הטלפונים הראשונים התומכים ב-NFC, הNexus S, אז הוא שאל את עצמו, "אני יכול לסרוק את הכרטיס הזה איתו?" התשובה הייתה כן.

ראה גם:

כשבנינגר חזר לניו יורק, הוא התחיל לעבוד עם סובל כדי לראות מה הם יכולים לעשות עם הנתונים הנגישים רק על ידי הנחת הכרטיס בגב הטלפון. כרטיס Muni שהם התנסו בו היה אMifare Ultralightכרטיס, כרטיס נמוך שהשתמש בשבב על ידיNXP, חברה הולנדית המייצרת מגוון כרטיסי Mifare. כרטיסים נטולי מגע אלה יכולים לשמש עבור כרטיסי הובלה, מפתחות כרטיס מלון וכרטיסי הופעות, בין היתר.

בנינגר וסובל שמו לב שהקטעים שתואמים לנסיעות הנותרות לא רק נראים לעין, אלא ניתנים לשכתב. השניים, שמספרים ל-Mashable שהם לא "מפתחים מתקדמים בשום אופן", התחילו לעבוד על אפליקציית אנדרואיד. בתחילה, המכשול הגדול ביותר היה ש-Android SDK למפתחים לא תמך באפליקציות המופעלות על NFC. אבל ברגע שהיכולת הזו נוספה ל-API, כתיבת האפליקציה בפועל הייתה קלה.

"אני חושב שחיברנו את הגרסה הראשונה של האפליקציה בערב, אז זה לא היה כל כך מסובך לכתוב בפועל", אומר בנינגר.

וזה אומר שזה לא יהיה קשה מדי לאיזה האקר בעל כוונות רעות לבנות אפליקציה דומה ולנסוע בחינם ברכבת התחתית. "אני כן מרגיש שזה משהו שאנשים אחרים יכולים לשכפל די בקלות", אומר בנינגר ל-Mashable.

האפליקציה, שנקראת UltraReset, בעצם מאפסת את הכרטיס הריק, מרמה אותו לחשוב שעדיין נותרו נסיעות.

קולין מולינר, חוקר פוסט-דוקטורט המתמקד באבטחה ניידת ומכיר את הפריצה, מסכים. בראיון טלפוני עם Mashable, מוליינר מסביר שכל מה ששני החוקרים עשו היה לנצל "מערכת מהונדסת עלובה" באמצעות "לא ציוד מפואר" אלא בטלפון רגיל. לפני טלפונים NFC כמו Nexus S, מסביר מוליינר, היית צריך קורא כרטיסים, מחשב נייד ותוכנה מתאימה. זה פשוט לא היה שווה את הטרחה. עַכשָׁיו? אתה רק צריך סמארטפון עם NFC ואפליקציה. אז אתה פשוט "מעתיק וכותב את הנתונים בחזרה" כי לכרטיסים האלה "אין אבטחה", הוא אומר.

"הטלפונים האלה מסוג NFC הם די קלים לשימוש", אומר מוליינר. "אז זה פשוט מוריד את הרף לאנשים שרוצים לבצע הונאה לרמה מאוד מאוד נמוכה".

בטיול אחר, הפעם בניו ג'רזי, שני החוקרים שמו לב שהרכבת PATH של ניו ג'רזי השתמשה באותה טכנולוגיה. מעניין, הם ניסו להשתמש באפליקציה שלהם עם כרטיס Smartlink לשימוש מוגבל של PATH. כפי שהם ציפו, זה עבד. אתה יכול לראות סרטון של הניסוי שלהם למטה, והחוקרים כתבופוסט בבלוגבאתר האינטרנט של Intrepidus.

בנינגר וסובל יצרו קשר עם סוכנות התחבורה העירונית של סן פרנסיסקו ועם רשות הנמלים של ניו יורק וניו ג'רזי (PATH) חודשים לפני שפרסמו את הממצאים שלהם לציבור, מה שעשו בוועידת האבטחהEUSecWest, שנערך באמסטרדם ב-19 בספטמבר. הם גם היו בקשר עם שתי הסוכנויות כדי לייעץ להם לגבי תרופות ותיקונים. הם לא רצו להקל על האקר פוטנציאלי ולכן החליטו לא לשחרר את האפליקציה המאפסת את הכרטיס, אלא רק את זו שמאפשרת למשתמש לקרוא את הנתונים בכרטיסי ה-Ultralight. כשהם הודיעו לשתי הסוכנויות, הם אמרו שהמטרה שלהם הייתה לוודא שהם מודעים לבעיה ויכולים לעבוד כדי לתקן אותה, או לפחות לפקח על המערכת שלהם כדי לזהות ניצול לרעה פוטנציאלי.

NXP, יצרנית השבב, התייחסה לראשונה לבעיהבהצהרהשוחרר ל-NFCWorld. בציינו כי החוקרים פרצו רק כרטיסי Mifare Ultralight, החברה אמרה כי דגם זה "מספק רק תכונות אבטחה בסיסיות, כגון ביטים חד-פעמיים ניתנים לתכנות (OTP) ותכונת נעילת כתיבה למניעת שכתוב של דפי זיכרון, אך אינו כולל קריפטוגרפיה", משהו שכרטיסי Mifare חדשים ובטוחים יותר מציעים. NXP גם הצהיר כי דגם חדש יותר, Mifare Ultralight C, צויד באבטחה נוספת, "בציפייה לאימוץ נרחב של טלפונים תומכי NFC וכתוצאה מכך, תרחישי תקיפה אפשריים".

עם זאת, מרטין גרובר, המנהל הבכיר של גביית תעריפים אוטומטית ב-Mifare של NXP אומר ל-Mashable שהשבבים המצויים בכרטיסים למעשה בנויים כדי לספק אבטחה מספקת. הבעיה היא שהאבטחה לא יושמה כהלכה בשני המקרים הללו. זו הסיבה שהפריצה היה כל כך קל לביצוע. "כמה זה מסובך לפתוח את הדלת אם הדלת פתוחה והיא לא נעולה? כמה קשה לגנוב רכב כשהדלת פתוחה והמפתח בפנים?" שואל גרובר.

גרובר מסביר כי, כיצרני שבבים, כל מה שהחברה שלו יכולה לעשות הוא לספק תכונות אבטחה שצריכות להיות מיושמות על ידי סוכנויות התחבורה ומפיצי הכרטיסים שמתכננים את כל המערכת. הוא מדגיש שלשבב ה-Ultralight יש מספיק אבטחה כדי למנוע התקפות קלות כמו זו שעשו בנינגר וסובל, אבל משום מה, התכונות האלה לא שימשו בכרטיסי Muni ו-PATH.

הוזהר על ידי שני החוקרים, שתי סוכנויות התחבורה המעורבות עובדות על פתרונות, אך לא ברור מי אחראי לחור האבטחה.

ג'ון גודווין, דובר ועדת התחבורה המטרופולינית של אזור המפרץ (MTC), אומר ל-Mashable שהם היו מודעים לפגיעות של כרטיסי הנסיעה המוגבלת ומציין שבשלב זה מדובר רק ב"פריצה פוטנציאלית". כשנשאל מי אחראי להטמעת האבטחה ש-NXP טוענת שהכרטיסים שלה מצוידים בה, אומר גודווין שה-MTC פשוט קונה מלאי כרטיסים מהקבלן שלהם, שאחראי על הטמעת המערכת כולה. במקרה זה, הקבלן הואמערכות הובלה מעוקבות, חברה שבסיסה בסן דייגו, חלק מקבלן הגנהתאגיד קוביק.

Mashable פנה ל-Cubic להערה, אך החברה, שנראתה בתחילה נוטה לדבר, לא הגיבה לשיחות נוספות ולאימיילים.

מדי יום, בערך 700,000 אנשים משתמשים במערכת Muni באזור המפרץ. ומתוכם, רק 23,000 משתמשים בכרטיס נסיעה מוגבל כמו זה שנפרץ על ידי בנינגר וסובל. רשות התחבורה עוקבת בחודשים האחרונים אחר התעללות במערכת, אך היא זיהתה רק עסקה חריגה אחת. לגודווין לא היו פרטים נוספים על זה, אבל אמר שהשלב הבא הוא פיתוח כלים לזיהוי התעללות בזמן אמת. פתרונות פוטנציאליים ארוכי טווח, אומר גודווין, יכולים לכלול החלפת הכרטיס, קיצור תקופת התוקף ובכך לתת להאקרים פוטנציאליים פחות זמן לנצל אותו, או ביטול כליל של כרטיסי נסיעה מוגבלים.

רשות המעבר PATH לא ענתה לבקשותינו להערות אבלפרסם הצהרהל-ZDNet: "מערכת הרכבות PATH לא חוותה פעילות הונאה כזו בכרטיסי SmartLink שלה עד היום, אבל אנחנו דנים בנושא עם ספק הכרטיסים שלנו".

אין זו הפעם הראשונה בה נחשפים ליקויי אבטחה חמורים במערכות תחבורה מרכזיות. ב-2008, שלושה חוקרים מ-MIT גילו ארבעה פגמי אבטחה גדולים ברכבת התחתית של בוסטון, ובמיוחד, בכרטיסים שנקראים CharlieTicket ו-CharlieCard - עוד שני כרטיסי רכבת תחתית Mifare המשתמשים בטכנולוגיית NFC. ההפרות היו כה חמורות, שכאשר פורסם ששלושת הסטודנטים יציגו את ממצאיהם בכנס ההאקרים המפורסם Defcon, רשות התחבורה של בוסטון תבעה את התלמידים והשיגה צו איסור פרסום שמנע את הצגתם.

בנינגר וסובל מזהירים שהפריצה שלהם לא חושפת את אותו סוג של פגמים חמורים, אבל זה עדיין נושא שצריך לטפל בו. ואולי הבעיה לא מוגבלת לסן פרנסיסקו וניו ג'רזי. אותם כרטיסי Ultralight נמצאים בשימוש בכל העולם, ממדריד ללונדון ועד ריו ז'ניירו.

התמונות באדיבות פליקר,טלסטאר לוגיסטיקה, קורי בנינגר