Premium

Získejte všechny články
jen za 89 Kč/měsíc

Stačí šikovný mobil a v Plzni budete jezdit zadarmo

Na internetu se objevila aplikace, která umožňuje manipulovat s kreditem na Plzeňské kartě sloužící mimo jiné k úhradě jízdného v MHD. Stačí ji nahrát do mobilu s technologií NFC a kartu lze libovolně dobíjet, číst z ní osobní údaje či ji dokonce deaktivovat.

Paradoxem na celé situaci je, že nástroj k bezpečnostní chybě ve skutečnosti nabízejí samy Plzeňské městské dopravní podniky. Ty ve spolupráci s Telefónikou O2 uvedly telefony podporující technologii NFC 22. května 2010.

Takový mobil je totiž klíčem k celému bezpečnostnímu problému. Firmy tak lidem daly do rukou ideální nástroj, jak snadno manipulovat s Plzeňskou kartou a daty na ní uloženými.

Ve zkratce

Plzeňské městské dopravní podniky nabízejí Plzeňskou kartu, která slouží k bezkontaktní úhradě jízdného v MHD díky aplikaci elektronické peněženky. Zároveň ve spolupráci s Telefónikou O2 uvedla v praxi technologii NFC, díky níž lze platit v MHD i za pomoci mobilního telefonu. Právě takový mobil ale umožňuje snadnou manipulaci se standardní Plzeňskou kartou. Bezpečnostní problémy použité technologie Mifare Classic jsou přitom známy již od roku 2008 a mnohé firmy ve světě se od ní odklonily.

Na internetu je totiž k dispozici jednoduchá Java aplikace, díky níž lze snadno kartu dobíjet, zjistit z ní osobní údaje či ji dokonce deaktivovat. Lidem s různými pohnutkami tak stačí v přeplněné tramvaji mít v kapse mobil s aktivní aplikací, a cestujícím kolem může znehodnotit kartu, dovědět se jejich datum narození a jméno či jim přilepšit či přihoršit na kreditu, který na kartě aktuálně mají.

Komunikace s kartou totiž probíhá bezkontaktně, avšak jen na vzdálenost v řádu centimetrů. Na druhou stranu nevadí ani překážka mezi telefonem a kartou, komunikace tudíž funguje i přes oblečení či kabelku.

Navíc se zdá, že je tento problém firmě dobře znám. Jak jinak si vysvětlit nabídku stínícího pouzdra, které by mělo Plzeňskou kartu před podobnými útoky uchránit? Oficiální vyjádření společnosti Plzeňské městské dopravní podniky redakce do okamžiku vydání textu nezískala, je však připravena je dodatečně zveřejnit.

Unikátní systém, unikátní průšvih

Technicky vzato, Telefónica O2, pravděpodobně ještě ve spolupráci s Nokií, umožnila dopravnímu podniku využívat zabezpečenou část paměti, kterou telefony s NFC používají ke komunikaci s odbavovacími terminály ve vozech MHD v Plzni. S přihlédnutím na pochybné zabezpečení RFID karet využívající technologii Mifare Classic (případ Plzeňské karty) tím však firmy dodaly veřejnosti nejen pěkný telefon, ale také výbornou nabíječku elektronických peněženek. 

Jak lze s kartou manipulovat?

1. lze číst bez vědomí uživatele osobní údaje z karty (datum narození, jméno uživatele, číslo karty)

2. lze neomezeně manipulovat s kreditem v elektronické peněžence (nabíjet, mazat atp.)

3. lze kartu bez vědomí uživatele deaktivovat a tím dočasně znehodnotit

V obchodech O2 v Plzni jsou k dostání telefony Nokia 6212 Classic, které je možné k placení jízdného využívat. Tyto telefony je ale možné použít i k nekontrolovanému doplňování kreditu do elektronické peněženky Plzeňské karty a čtení osobních údajů bez vědomí uživatele.

Na stránkách dopravních podniků se přitom lze dočíst, že Plzeňská karta "je nejbezpečnější ze všech možných prostředků, které jsou v současné době k podobným účelům používány. Technologické zneužití je v podstatě vyloučeno."

Dlouhodobě neřešený problém

Kartu nabízejí Plzeňské městské dopravní podniky od roku 2004. Je postavena na technologii Mifare Classic, která byla v té době považována za jakýsi bezpečnostní standard. Jenže už brzy poté byly známy její nedostatky, docházelo k bezpečnostním útokům a mnoho firem se od této technologie začalo odvracet. Jenže Plzeňský dopravní podnik v jejím rozšiřování nadále pokračoval.

Už koncem roku 2008 bylo zřejmé, že karty typu Mifare není možno dále udržovat ve funkčních systémech. Toho roku byla diskutována vnitřní struktura Mifare a byly veřejně představeny překvapivé detaily. Časem se na veřejnost dostal i přesný technický popis zabezpečení a následovaly hackerské útoky. Obětí se stala například londýnská karta či karta holandských železnic.

Naproti tomu v Plzni slavnostně dva roky po zjištěných problémech rozšířili systém o funkci elektronické peněženky. Povolení k využívání bezkontaktních karet Mifare jako elektronických peněz vydala Plzeňským městským dopravním podnikům Česká národní banka.

Co je co aneb Slovníček pojmů

Co je NFC?

NFC je zkratka pro Near Field Communication, komunikaci na krátkou vzdálenost prostřednictvím elektromagnetického pole (rádiových vln). Podobá se technologii Bluetooth, jen použitá vlnová délka je mnohem větší a spadá do rozsahu krátkých  vln. Je stejná, jakou používají některé bezkontaktní čipové karty a proto mohou přístroje s touto technologií takové karty nahradit. NFC je definováno pro frekvenci 13.56 MHz a s přenosovou rychlostí až 824 kbps. Současný trend je tuto technologii integrovat do SIM karet pro mobilní telefony. Technologie NFC je ale schopna do určité míry nahradit technologii Bluetooth, umožňuje také přenos dat mezi telefony navzájem.

Co je RFID?

RFID je zkratka pro Radio Frequency IDentification, zkratka pro systém, který je schopen rozpoznat a identifikovat nějakou entitu pomocí rádiových vln. Může to být značka zašitá v oděvu, označující pozici ve skladu, zboží v obchodě, nebo nějakou součástku ve výrobním procesu v továrně, může to být vstupní karta do budovy, kanceláře nebo hotelového pokoje. RFID značek se dnes vyrábí veliké množství a mají různý tvar, od milimetrových kapsliček určených k aplikaci pod kůži živým tvorům, přes malé velmi pevné a odolné moduly určené k označení funkčních uzlů výrobků či obsahu přepravních kontejnerů, přes známé klíčenky až k standardním plastovým kartám.

Co je Plzeňská karta?

Plzeňská karta je také taková značka, kterou vyrábí firma NXP pod obchodním označením Mifare. Pracuje na stejné frekvenci jako NFC, tedy 13.56 MHz s rychlostí přenosu dat 106 kbps. Je navíc vybavena několika jednoduchými paměťovými funkcemi, aby na ni bylo možno uložit časové kupóny a obsah elektronické peněženky. Nemusí mít nutně podobu čipové karty, vyrábí se i ve tvaru klíčenky.

Autor:
  • Nejčtenější

Těžko uvěřit, jak šíleně staré mobilní fosilie Češi stále používají

15. června 2024

Premium Jsou přístroje, na které lidé ani po desítkách let nezanevřou. Ať už z nostalgie, nebo ze zvyku. A...

Vodafone láká na výhodná neomezená data. Jen dočasně, ale slevu dá nastálo

13. června 2024  7:02

Ještě pár dní lze u Vodafonu získat jeho datově neomezený tarif s nejvyšší omezenou rychlostí o pár...

{NADPIS}

{LABEL} {POPISEK}

Nový tenký iPhone bude zásadním krokem. Odpovídat tomu bude cena

18. června 2024  7:02

Příští rok bychom se měli dočkat nového iPhonu 17 Slim. Přístroj nebude jen náhradou za model Plus,...

Samsung se tenkrát rozhodl správně a tento model se stal legendou

17. června 2024  7:02

Už je to 15 let, co Samsung začal používat operační systém Android. Oproti jiným výrobcům z té doby...

{NADPIS}

{LABEL} {POPISEK}

Umělá inteligence táhne. Nové samsungy jsou hit

14. června 2024  7:02

Samsung začátkem letošního roku představil novou generaci svých smartphonů, které využívají umělou...

Zajímavý pokus o antismartphone. Dobrý nápad sráží nepřiměřená cena

20. června 2024  14:40

Na trhu je už několik antismartphonů, které mají za cíl omezit uživatelům přístup k internetu a...

Příští fanouškovský samsung povyroste. Bude spíše verzí Plus

20. června 2024  7:02

Samsung chystá další fanouškovskou edici svého vrcholného smartphonu, model FE (Fan Edition) tak...

Cool novinky kladou důraz na foťák. Jejich parketou jsou portréty

20. června 2024

Výrobci smartphonů se rozhodli před prázdninami uvést množství nových modelů střední třídy....

Huawei se snaží být soběstačný. Používá více čínských součástek

19. června 2024  7:02

Nejnovější supersmartphone od Huaweie obsahuje více čínských součástek, než tomu bylo v minulosti....

Akční letáky
Akční letáky

Prohlédněte si akční letáky všech obchodů hezky na jednom místě!

Putine, běž do prd*le, zahlásil na koncertě Rod Stewart. Němci zpěváka vypískali

S překvapivou vlnou nevole se na svém nedělním koncertu v Lipsku setkal rockový král Rod Stewart. Během vystoupení se...

Skandál kolem morbidně obézní Miss Alabama. Co se ztratilo mezi řádky

Sociální sítě počátkem června rozvášnila obézní plus size modelka Sara Millikenová oceněná titulem Miss Alabama 2024....

Ostuda bratrů Bendigů v AZ-kvízu. Jan se vymlouval na trému z Mareše

Ve speciálním díle AZ-kvízu s názvem ČT art kvíz se proti sobě utkali bratři Jan a Marsell Bendigovi. V soutěži se jim...

Tvrz koupil za 76 tisíc a daroval ji manželce. Pak ruinu 20 let opravoval

Pavel David zahlédl v dubnu roku 2003 v novinách inzerát: „Prodám tvrz za 76 000 Kč.“ Ještě ten den si jel zříceninu...

Survivor 2024 má vítěze, ten si kromě titulu odnáší i výhru 2,5 milionu korun

Na platformě Voyo mohli diváci v úterý večer sledovat napínavé finále reality show Survivor Česko & Slovensko. Na Nově...