Мелочь а приятно
Бесплатная ускоренная регистрация на полет для всех желающих! Бесплатный обед и выпивка в VIP залах ожидания аэропорта для всех! Магазины беспошлинной торговли для всех!
Всем этим, по словам Пржмека Ярозевски, руководителя Компьютерной Группы Быстрого Реагирования (CERT), вас обеспечит приложение, генерирующее поддельный QR-код.
На конференции по безопасности компании Defcon, проходившей в Лас-Вегасе в минувшее воскресенье, Ярозевски представил простую программу, которую он уже испытал десятки раз для доступа в VIP залы ожидания аэропортов по всей Европе.
Приложение для Android генерирует QR-коды для того, чтобы клонировать посадочный талон на любое имя, номер рейса, пункт назначения и класс.
Он еще не испытывал данное приложение в США, но что касается Европы, ни в одном из VIP залов ожидания, используемых для тестирования приложения, никто не сравнил поддельный QR код с данными собственной базы по продаже билетов. Все авиакомпании проверили лишь тот факт, что указанный QR-код на самом деле существует.
Это означает, что он — или любой другой хакер, способный копировать 500 строк JavaScript, используемых для создания приложения — могут получить доступ к VIP залам ожидания в аэропорту или покупать вещи в магазинах беспошлинной торговли, где при покупке требуют предъявления посадочного талона.
Звучит довольно знакомо. И Ярозевски далеко не первый, кто смог миновать проверку безопасности в аэропорту. В его презентации были перечислены следующие хакерские атаки:
- В 2003 году Брюс Шнайер описал, как совершить полет по чужому билету благодаря махинациям с электронными билетами. По его словам, ему не первому пришла в голову подобная идея.
- В 2005 году Энди Боуэрс описал, как он-лайн регистрация поможет вам получить всевозможные бонусы. При этом нет необходимости доказывать, что именно вы являетесь человеком, купившим билет.
- В 2007 году Кристофер Сохоян создал веб-генератор поддельных посадочных талонов, что позволяет генерировать посадочный талон на рейс авиакомпании Northwest Airlines, используя любое имя, названия аэропорта, дату или номер рейса, продемонстрировав тем самым очевидную уязвимость в системе безопасности аэропорта, использующую посадочные талоны и удостоверения личности. Это привело к посещению представителями ФБР, которые выбили входные двери его дома, обыскали жилище и конфисковали все компьютеры.
- В 2008 году Джеффри Голдберг продемонстрировал неэффективность системы безопасности при регистрации, пронеся на борт удивительный ассортимент запрещенных предметов: футболку с изображением Усамы бен Ладена, исламского героя; стопку изготовленных кустарным способом посадочных талонов; флаг Хизбаллы с изображением кулака, сжимающего автомат АК-47; а его живот служил прикрытием для двух банок пива Budweiser.
Ярозевски сообщил порталу Wired, что цель его доклада – продемонстрировать, что спустя столько лет после указанных инцидентов уязвимость при формировании посадочных талонов сохраняется. Кроме того, стало гораздо проще использовать эксплойт по причине чрезмерного доверия автоматизированным ридерам QR-кодов.
Портал Wired цитирует Ярозевски:
«Создать посадочный талон, используя мобильный телефон, занимает буквально 10 секунд. И поскольку это делается с использованием автоматизированной системы, подобные действия не обязательно могут быть законными».
Вот видео ( https://www.youtube.com/watch?v=7829-HtV3uo ), демонстрирующее как Ярозевски использует поддельный QR-код, чтобы попасть в VIP зал ожидания аэропорта в Стамбуле, где ожидающим предлагается просмотр кино, лужайки для игры в гольф, турецкая выпечка и бесплатный массаж.
Прежде, чем разоблачить его как мошенника, не желающего платить за билет первого класса, примите во внимание, что, по мнению портала Wired, Ярузевски летает 50-80 раз в году, а потому является достойным обладателем VIP статуса. После того, как в прошлом году его VIP статус был ошибочно заблокирован, он создал данное приложение, чтобы гарантировать, что подобное не повторится.
Что более важно, Ярозевски воздержался от использования поддельных QR-кодов для попадания в те места, куда он не имел права доступа. При совершении международных полетов, он не делал покупок в магазинах duty-free. Скорее всего, подобные действия с его стороны были бы незаконными.
По заявлению Администрации по вопросам транспортной безопасности США (TSA) и Международной Ассоциации Воздушного Транспорта (IATA), подобные инциденты не являются проблемой системы безопасности, а потому указанные организации не планируют предпринимать никаких действий по исправлению уязвимостей. Что касается авиакомпаний, они не хотят, чтобы хакеры незаконно пользовались удобствами, предназначенными для VIP клиентов.
Обе организации заявили порталу Wired, что посадочный талон с фальшивым штрих-кодом не даст вам попасть на рейс незаконно. Другие меры безопасности, скорее всего, выявят, что обладатель поддельного QR-кода не имеет настоящего посадочного талона.
Тем не менее, существование приложения для создания поддельных QR-кодов еще раз доказывает слова Ярозевски: даже спустя 13 лет после создания Шнайером первого фальшивого посадочного талона, систему безопасности аэропорта нельзя назвать безупречной.