Středa 4. srpna 2021, svátek má Dominik
  • schránka
  • Přihlásit Můj účet
  • Středa 4. srpna 2021 Dominik

Stačí šikovný mobil a v Plzni budete jezdit zadarmo

Na internetu se objevila aplikace, která umožňuje manipulovat s kreditem na Plzeňské kartě sloužící mimo jiné k úhradě jízdného v MHD. Stačí ji nahrát do mobilu s technologií NFC a kartu lze libovolně dobíjet, číst z ní osobní údaje či ji dokonce deaktivovat.

Paradoxem na celé situaci je, že nástroj k bezpečnostní chybě ve skutečnosti nabízejí samy Plzeňské městské dopravní podniky. Ty ve spolupráci s Telefónikou O2 uvedly telefony podporující technologii NFC 22. května 2010.

Takový mobil je totiž klíčem k celému bezpečnostnímu problému. Firmy tak lidem daly do rukou ideální nástroj, jak snadno manipulovat s Plzeňskou kartou a daty na ní uloženými.

Ve zkratce

Plzeňské městské dopravní podniky nabízejí Plzeňskou kartu, která slouží k bezkontaktní úhradě jízdného v MHD díky aplikaci elektronické peněženky. Zároveň ve spolupráci s Telefónikou O2 uvedla v praxi technologii NFC, díky níž lze platit v MHD i za pomoci mobilního telefonu. Právě takový mobil ale umožňuje snadnou manipulaci se standardní Plzeňskou kartou. Bezpečnostní problémy použité technologie Mifare Classic jsou přitom známy již od roku 2008 a mnohé firmy ve světě se od ní odklonily.

Na internetu je totiž k dispozici jednoduchá Java aplikace, díky níž lze snadno kartu dobíjet, zjistit z ní osobní údaje či ji dokonce deaktivovat. Lidem s různými pohnutkami tak stačí v přeplněné tramvaji mít v kapse mobil s aktivní aplikací, a cestujícím kolem může znehodnotit kartu, dovědět se jejich datum narození a jméno či jim přilepšit či přihoršit na kreditu, který na kartě aktuálně mají.

Komunikace s kartou totiž probíhá bezkontaktně, avšak jen na vzdálenost v řádu centimetrů. Na druhou stranu nevadí ani překážka mezi telefonem a kartou, komunikace tudíž funguje i přes oblečení či kabelku.

Navíc se zdá, že je tento problém firmě dobře znám. Jak jinak si vysvětlit nabídku stínícího pouzdra, které by mělo Plzeňskou kartu před podobnými útoky uchránit? Oficiální vyjádření společnosti Plzeňské městské dopravní podniky redakce do okamžiku vydání textu nezískala, je však připravena je dodatečně zveřejnit.

Unikátní systém, unikátní průšvih

Technicky vzato, Telefónica O2, pravděpodobně ještě ve spolupráci s Nokií, umožnila dopravnímu podniku využívat zabezpečenou část paměti, kterou telefony s NFC používají ke komunikaci s odbavovacími terminály ve vozech MHD v Plzni. S přihlédnutím na pochybné zabezpečení RFID karet využívající technologii Mifare Classic (případ Plzeňské karty) tím však firmy dodaly veřejnosti nejen pěkný telefon, ale také výbornou nabíječku elektronických peněženek. 

Jak lze s kartou manipulovat?

1. lze číst bez vědomí uživatele osobní údaje z karty (datum narození, jméno uživatele, číslo karty)

2. lze neomezeně manipulovat s kreditem v elektronické peněžence (nabíjet, mazat atp.)

3. lze kartu bez vědomí uživatele deaktivovat a tím dočasně znehodnotit

V obchodech O2 v Plzni jsou k dostání telefony Nokia 6212 Classic, které je možné k placení jízdného využívat. Tyto telefony je ale možné použít i k nekontrolovanému doplňování kreditu do elektronické peněženky Plzeňské karty a čtení osobních údajů bez vědomí uživatele.

Na stránkách dopravních podniků se přitom lze dočíst, že Plzeňská karta "je nejbezpečnější ze všech možných prostředků, které jsou v současné době k podobným účelům používány. Technologické zneužití je v podstatě vyloučeno."

Dlouhodobě neřešený problém

Kartu nabízejí Plzeňské městské dopravní podniky od roku 2004. Je postavena na technologii Mifare Classic, která byla v té době považována za jakýsi bezpečnostní standard. Jenže už brzy poté byly známy její nedostatky, docházelo k bezpečnostním útokům a mnoho firem se od této technologie začalo odvracet. Jenže Plzeňský dopravní podnik v jejím rozšiřování nadále pokračoval.

Už koncem roku 2008 bylo zřejmé, že karty typu Mifare není možno dále udržovat ve funkčních systémech. Toho roku byla diskutována vnitřní struktura Mifare a byly veřejně představeny překvapivé detaily. Časem se na veřejnost dostal i přesný technický popis zabezpečení a následovaly hackerské útoky. Obětí se stala například londýnská karta či karta holandských železnic.

Naproti tomu v Plzni slavnostně dva roky po zjištěných problémech rozšířili systém o funkci elektronické peněženky. Povolení k využívání bezkontaktních karet Mifare jako elektronických peněz vydala Plzeňským městským dopravním podnikům Česká národní banka.

Co je co aneb Slovníček pojmů

Co je NFC?

NFC je zkratka pro Near Field Communication, komunikaci na krátkou vzdálenost prostřednictvím elektromagnetického pole (rádiových vln). Podobá se technologii Bluetooth, jen použitá vlnová délka je mnohem větší a spadá do rozsahu krátkých  vln. Je stejná, jakou používají některé bezkontaktní čipové karty a proto mohou přístroje s touto technologií takové karty nahradit. NFC je definováno pro frekvenci 13.56 MHz a s přenosovou rychlostí až 824 kbps. Současný trend je tuto technologii integrovat do SIM karet pro mobilní telefony. Technologie NFC je ale schopna do určité míry nahradit technologii Bluetooth, umožňuje také přenos dat mezi telefony navzájem.


Co je RFID?

RFID je zkratka pro Radio Frequency IDentification, zkratka pro systém, který je schopen rozpoznat a identifikovat nějakou entitu pomocí rádiových vln. Může to být značka zašitá v oděvu, označující pozici ve skladu, zboží v obchodě, nebo nějakou součástku ve výrobním procesu v továrně, může to být vstupní karta do budovy, kanceláře nebo hotelového pokoje. RFID značek se dnes vyrábí veliké množství a mají různý tvar, od milimetrových kapsliček určených k aplikaci pod kůži živým tvorům, přes malé velmi pevné a odolné moduly určené k označení funkčních uzlů výrobků či obsahu přepravních kontejnerů, přes známé klíčenky až k standardním plastovým kartám.

Co je Plzeňská karta?

Plzeňská karta je také taková značka, kterou vyrábí firma NXP pod obchodním označením Mifare. Pracuje na stejné frekvenci jako NFC, tedy 13.56 MHz s rychlostí přenosu dat 106 kbps. Je navíc vybavena několika jednoduchými paměťovými funkcemi, aby na ni bylo možno uložit časové kupóny a obsah elektronické peněženky. Nemusí mít nutně podobu čipové karty, vyrábí se i ve tvaru klíčenky.

Autor:
  • Nejčtenější

Vyzkoušeli jsme revoluční novinku: telefon s rolovacím displejem uchvátí

Už při prvních zprávách o ohebných displejích začali konstruktéři i uživatelé snít o telefonu s rolovacím displejem....

Získejte zdarma Samsung Galaxy S21 5G. Přečtěte si, jak na to

Premium Nejnovější modely řady Samsung Galaxy S vás spojí s celým světem, umožňují sdílet špičkové fotografie a videa, pyšní se...

Vyplňte formulář. Každý navrátilec do Česka dostane SMS s výzvou

Češi vracející se ze zahraničí obdrží nově uvítací SMS, která je informuje o potřebě vyplnit Příjezdový formulář. SMS...

Úplně obyčejný mobil ukrýval zlatý poklad. Přes celníky neprošel

Ve statisícovou záležitost proměnil muž obyčejný mobil. V jeho útrobách se totiž snažil do své vlasti propašovat stovky...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Motorola má smartphonové žiletky. Od levného po výborně vybavený

Motorola představila novou řadu Edge. Tentokrát má tři zástupce včetně levnějšího modelu Lite. Vrcholný model Pro je...

Mnoho Rusů v sobě skrývá ukřivděného a žlučovitého Rusáka, říká cestovatel

Premium Na východě leží obrovská země, kterou jsme ještě před 30 lety museli povinně milovat. Fero Richard Hrabal-Kronďák ji...

Správnou technikou dýchání můžeme předejít i bolesti zad, radí fyzioterapeut

Premium Dýchání je provázané s tím, jak se člověk cítí. „Propojení dechu a emocí je neuvěřitelné,“ říká uznávaný fyzioterapeut...

Zmrzlinová mapa Česka. Přinášíme čtyřicet tipů, kde si dát blaho v kornoutu

Premium Zmrzliny jsou sladké, pikantní, plné ovoce nebo čabajkové, ze smetany či veganské, ale vždy řemeslně připravené a...

  • Další z rubriky

Inspirace iPhonem a nezvyklá klávesnice. Tak vidí designér nové blackberry

V první polovině letošního roku jsme se měli dočkat dalšího restartu původně kanadského BlackBerry. Texaská společnost...

Používáte ji také? Druhá aplikace pokořila rekordních 10 miliard stažení

Operační systém Android má dalšího aplikačního rekordmana v počtu stažení z obchodu Google Play. Aplikaci, jejíž počet...

Letos nové mobily řady Note nečekejte, potvrdil Samsung

Ačkoliv doposud letní premiéry Samsungu patřily řadě Note, letos to bude jinak. Jejich místo přebírají ohebné modely,...

Úplně obyčejný mobil ukrýval zlatý poklad. Přes celníky neprošel

Ve statisícovou záležitost proměnil muž obyčejný mobil. V jeho útrobách se totiž snažil do své vlasti propašovat stovky...

LETNÍ SOUTĚŽ: Sdílejte svoje tipy na výlety i ve 4. týdnu a hrajte o krásné ceny
LETNÍ SOUTĚŽ: Sdílejte svoje tipy na výlety i ve 4. týdnu a hrajte o krásné ceny

Vítejte ve 4. týdnu letní soutěže. I v tomto týdnu vkládejte svoje tipy na výlety s dětmi, hodnoťte výlety ostatním a vyhrajte jednu z 10 týdenních...

Orgasmy předstírám. Muži to mají horší, říká pornoherečka Daisy Lee

Karolína Urbanová (23), známá pod uměleckým jménem Daisy Lee, patří k nejznámějším českým pornoherečkám. Dcera bývalé...

Podtrženo, sečteno, potvrzeno, říká Vondráčková o vztahu s Vojnarem

Zpěvačka Lucie Vondráčková (41) má nový vztah. Informoval o tom web Expres.cz, podle kterého je jejím novým partnerem...

Zemřel herec Vladimír Marek, roky bojoval s rakovinou

V nedožitých 70 letech zemřel ve čtvrtek divadelní, muzikálový i televizní herec Vladimír Marek. Podle Blesk.cz se od...

Dubrovník se konečně připojil ke zbytku země, most se vyhýbá Bosně

Připevněním posledního segmentu budovaného mostu na poloostrov Pelješac se ve čtvrtek spojila dosud oddělená oblast...

Teď už se nestává, že bych si místo peněz odvezl auto, říká podnikatel

Táta Ivo byl původně horníkem, syn stejného jména automechanikem. Hned po revoluci skočili rovnýma nohama do podnikání...