Pondělí 14. června 2021, svátek má Roland
  • schránka
  • Přihlásit Můj účet
  • Pondělí 14. června 2021 Roland

Stačí šikovný mobil a v Plzni budete jezdit zadarmo

Na internetu se objevila aplikace, která umožňuje manipulovat s kreditem na Plzeňské kartě sloužící mimo jiné k úhradě jízdného v MHD. Stačí ji nahrát do mobilu s technologií NFC a kartu lze libovolně dobíjet, číst z ní osobní údaje či ji dokonce deaktivovat.

Paradoxem na celé situaci je, že nástroj k bezpečnostní chybě ve skutečnosti nabízejí samy Plzeňské městské dopravní podniky. Ty ve spolupráci s Telefónikou O2 uvedly telefony podporující technologii NFC 22. května 2010.

Takový mobil je totiž klíčem k celému bezpečnostnímu problému. Firmy tak lidem daly do rukou ideální nástroj, jak snadno manipulovat s Plzeňskou kartou a daty na ní uloženými.

Ve zkratce

Plzeňské městské dopravní podniky nabízejí Plzeňskou kartu, která slouží k bezkontaktní úhradě jízdného v MHD díky aplikaci elektronické peněženky. Zároveň ve spolupráci s Telefónikou O2 uvedla v praxi technologii NFC, díky níž lze platit v MHD i za pomoci mobilního telefonu. Právě takový mobil ale umožňuje snadnou manipulaci se standardní Plzeňskou kartou. Bezpečnostní problémy použité technologie Mifare Classic jsou přitom známy již od roku 2008 a mnohé firmy ve světě se od ní odklonily.

Na internetu je totiž k dispozici jednoduchá Java aplikace, díky níž lze snadno kartu dobíjet, zjistit z ní osobní údaje či ji dokonce deaktivovat. Lidem s různými pohnutkami tak stačí v přeplněné tramvaji mít v kapse mobil s aktivní aplikací, a cestujícím kolem může znehodnotit kartu, dovědět se jejich datum narození a jméno či jim přilepšit či přihoršit na kreditu, který na kartě aktuálně mají.

Komunikace s kartou totiž probíhá bezkontaktně, avšak jen na vzdálenost v řádu centimetrů. Na druhou stranu nevadí ani překážka mezi telefonem a kartou, komunikace tudíž funguje i přes oblečení či kabelku.

Navíc se zdá, že je tento problém firmě dobře znám. Jak jinak si vysvětlit nabídku stínícího pouzdra, které by mělo Plzeňskou kartu před podobnými útoky uchránit? Oficiální vyjádření společnosti Plzeňské městské dopravní podniky redakce do okamžiku vydání textu nezískala, je však připravena je dodatečně zveřejnit.

Unikátní systém, unikátní průšvih

Technicky vzato, Telefónica O2, pravděpodobně ještě ve spolupráci s Nokií, umožnila dopravnímu podniku využívat zabezpečenou část paměti, kterou telefony s NFC používají ke komunikaci s odbavovacími terminály ve vozech MHD v Plzni. S přihlédnutím na pochybné zabezpečení RFID karet využívající technologii Mifare Classic (případ Plzeňské karty) tím však firmy dodaly veřejnosti nejen pěkný telefon, ale také výbornou nabíječku elektronických peněženek. 

Jak lze s kartou manipulovat?

1. lze číst bez vědomí uživatele osobní údaje z karty (datum narození, jméno uživatele, číslo karty)

2. lze neomezeně manipulovat s kreditem v elektronické peněžence (nabíjet, mazat atp.)

3. lze kartu bez vědomí uživatele deaktivovat a tím dočasně znehodnotit

V obchodech O2 v Plzni jsou k dostání telefony Nokia 6212 Classic, které je možné k placení jízdného využívat. Tyto telefony je ale možné použít i k nekontrolovanému doplňování kreditu do elektronické peněženky Plzeňské karty a čtení osobních údajů bez vědomí uživatele.

Na stránkách dopravních podniků se přitom lze dočíst, že Plzeňská karta "je nejbezpečnější ze všech možných prostředků, které jsou v současné době k podobným účelům používány. Technologické zneužití je v podstatě vyloučeno."

Dlouhodobě neřešený problém

Kartu nabízejí Plzeňské městské dopravní podniky od roku 2004. Je postavena na technologii Mifare Classic, která byla v té době považována za jakýsi bezpečnostní standard. Jenže už brzy poté byly známy její nedostatky, docházelo k bezpečnostním útokům a mnoho firem se od této technologie začalo odvracet. Jenže Plzeňský dopravní podnik v jejím rozšiřování nadále pokračoval.

Už koncem roku 2008 bylo zřejmé, že karty typu Mifare není možno dále udržovat ve funkčních systémech. Toho roku byla diskutována vnitřní struktura Mifare a byly veřejně představeny překvapivé detaily. Časem se na veřejnost dostal i přesný technický popis zabezpečení a následovaly hackerské útoky. Obětí se stala například londýnská karta či karta holandských železnic.

Naproti tomu v Plzni slavnostně dva roky po zjištěných problémech rozšířili systém o funkci elektronické peněženky. Povolení k využívání bezkontaktních karet Mifare jako elektronických peněz vydala Plzeňským městským dopravním podnikům Česká národní banka.

Co je co aneb Slovníček pojmů

Co je NFC?

NFC je zkratka pro Near Field Communication, komunikaci na krátkou vzdálenost prostřednictvím elektromagnetického pole (rádiových vln). Podobá se technologii Bluetooth, jen použitá vlnová délka je mnohem větší a spadá do rozsahu krátkých  vln. Je stejná, jakou používají některé bezkontaktní čipové karty a proto mohou přístroje s touto technologií takové karty nahradit. NFC je definováno pro frekvenci 13.56 MHz a s přenosovou rychlostí až 824 kbps. Současný trend je tuto technologii integrovat do SIM karet pro mobilní telefony. Technologie NFC je ale schopna do určité míry nahradit technologii Bluetooth, umožňuje také přenos dat mezi telefony navzájem.


Co je RFID?

RFID je zkratka pro Radio Frequency IDentification, zkratka pro systém, který je schopen rozpoznat a identifikovat nějakou entitu pomocí rádiových vln. Může to být značka zašitá v oděvu, označující pozici ve skladu, zboží v obchodě, nebo nějakou součástku ve výrobním procesu v továrně, může to být vstupní karta do budovy, kanceláře nebo hotelového pokoje. RFID značek se dnes vyrábí veliké množství a mají různý tvar, od milimetrových kapsliček určených k aplikaci pod kůži živým tvorům, přes malé velmi pevné a odolné moduly určené k označení funkčních uzlů výrobků či obsahu přepravních kontejnerů, přes známé klíčenky až k standardním plastovým kartám.

Co je Plzeňská karta?

Plzeňská karta je také taková značka, kterou vyrábí firma NXP pod obchodním označením Mifare. Pracuje na stejné frekvenci jako NFC, tedy 13.56 MHz s rychlostí přenosu dat 106 kbps. Je navíc vybavena několika jednoduchými paměťovými funkcemi, aby na ni bylo možno uložit časové kupóny a obsah elektronické peněženky. Nemusí mít nutně podobu čipové karty, vyrábí se i ve tvaru klíčenky.

Autor:
  • Nejčtenější

Datově neomezený tarif nebyl nikdy tak levný. Co na to konkurence?

Datově neomezené tarify mají v nabídce všichni tuzemští mobilní operátoři, avšak ve srovnání s běžnými tarify s...

Žáci nesmí použít mobil coby kalkulačku. Ostudné, stojí v dopisu ministrovi

Zatímco čeští rodiče by uvítali plošný zákaz mobilů ve školách, tak vedení škol jsou v tomto ohledu benevolentnější....

Hacker představil nejnebezpečnější USB kabel. Od originálu ho nepoznáte

Bezpečnostní experti už v září 2019 varovali před využíváním veřejných nabíječek či půjčování kabelů od cizích lidí...

T-Mobile rozdává celé léto neomezená data. Zdarma a všem zákazníkům

Od poloviny června budou moct všichni zákazníci T-Mobilu využívat bezplatně neomezená mobilní data. Balíček půjde...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

KVÍZ: To se opravdu nepovedlo. Znáte největší mobilové průšvihy?

Svět smartphonů je velice rozmanité odvětví, kde čas od času můžete narazit jak na velké úspěchy, tak i propadáky....

Sledujeme začátek rituální sebevraždy lidstva, říká Čech s nejvyšším IQ

Premium Oficiálně je považován za nejchytřejšího Čecha. Jako robot ale nepůsobí. Při osobním setkání je Karel Kostka, vzděláním...

Upřímnost fotbalové antihvězdy. Souček o tetování, rasismu i vyjídání ledničky

Premium Říká o sobě, že je obyčejný kluk z Brodu. Přitom si ho už stihla zamilovat fotbalová Anglie a Česko na něj spoléhá: na...

O antikoncepci už není takový zájem. Párový sex upadá, míní gynekolog

Premium „Všichni strašili, že bude upadat mravnost a ženy budou mít z dlouhodobého užívání pilulek zhoubná onemocnění jater....

  • Další z rubriky

I takto Xiaomi vidí rolovací smartphone. Jako mobil vůbec nevypadá

Rolovací zařízení jsou jistě jednou z nejočekávanějších evolucí smartphonů. Výrobcům poskytnou spoustu prostoru, aby...

Hacker představil nejnebezpečnější USB kabel. Od originálu ho nepoznáte

Bezpečnostní experti už v září 2019 varovali před využíváním veřejných nabíječek či půjčování kabelů od cizích lidí...

Hodinky Applu s LTE přichází do Česka. Už k nim nebude potřeba iPhone

T-Mobile jako první tuzemský operátor umožní provoz hodinek Apple Watch s eSIM. Začíná je i prodávat, v nabídce je nyní...

KVÍZ: To se opravdu nepovedlo. Znáte největší mobilové průšvihy?

Svět smartphonů je velice rozmanité odvětví, kde čas od času můžete narazit jak na velké úspěchy, tak i propadáky....

Akční letáky
Akční letáky

Prohlédněte si akční letáky všech obchodů hezky na jednom místě!

Manželka majitele Alzy promluvila o fungování firmy, se Zavoralem se rozvádí

Majitel tuzemského internetového gigantu Alza.cz Aleš Zavoral patří se svým jměním mezi nejbohatší Čechy. Na rozdíl od...

Sledujeme začátek rituální sebevraždy lidstva, říká Čech s nejvyšším IQ

Premium Oficiálně je považován za nejchytřejšího Čecha. Jako robot ale nepůsobí. Při osobním setkání je Karel Kostka, vzděláním...

Moderátor Aleš Cibulka skončil na jednotce intenzivní péče

Čtyřiačtyřicetiletý Aleš Cibulka měl v sobotu v rozhlasovém pořadu Tobogan dělat narozeninový rozhovor s herečkou Marií...

Dušek: Očkovat se nenechám. Indiáni raději zemřeli, než se nechat zotročit

Jaroslav Dušek promluvil o svém rozhodnutí nenechat se očkovat vakcínou proti covidu-19. Herec, který nedávno oslavil...

Mladí by chtěli do penze v 60 letech. Mají jasno, jaký důchod jim postačí

Generace narozená po roce 1971 bude podle současných pravidel odcházet do penze v 65 letech. A to jak ženy, tak i muži....