Stačí šikovný mobil a v Plzni budete jezdit zadarmo

Na internetu se objevila aplikace, která umožňuje manipulovat s kreditem na Plzeňské kartě sloužící mimo jiné k úhradě jízdného v MHD. Stačí ji nahrát do mobilu s technologií NFC a kartu lze libovolně dobíjet, číst z ní osobní údaje či ji dokonce deaktivovat.

Paradoxem na celé situaci je, že nástroj k bezpečnostní chybě ve skutečnosti nabízejí samy Plzeňské městské dopravní podniky. Ty ve spolupráci s Telefónikou O2 uvedly telefony podporující technologii NFC 22. května 2010.

Takový mobil je totiž klíčem k celému bezpečnostnímu problému. Firmy tak lidem daly do rukou ideální nástroj, jak snadno manipulovat s Plzeňskou kartou a daty na ní uloženými.

Ve zkratce

Plzeňské městské dopravní podniky nabízejí Plzeňskou kartu, která slouží k bezkontaktní úhradě jízdného v MHD díky aplikaci elektronické peněženky. Zároveň ve spolupráci s Telefónikou O2 uvedla v praxi technologii NFC, díky níž lze platit v MHD i za pomoci mobilního telefonu. Právě takový mobil ale umožňuje snadnou manipulaci se standardní Plzeňskou kartou. Bezpečnostní problémy použité technologie Mifare Classic jsou přitom známy již od roku 2008 a mnohé firmy ve světě se od ní odklonily.

Na internetu je totiž k dispozici jednoduchá Java aplikace, díky níž lze snadno kartu dobíjet, zjistit z ní osobní údaje či ji dokonce deaktivovat. Lidem s různými pohnutkami tak stačí v přeplněné tramvaji mít v kapse mobil s aktivní aplikací, a cestujícím kolem může znehodnotit kartu, dovědět se jejich datum narození a jméno či jim přilepšit či přihoršit na kreditu, který na kartě aktuálně mají.

Komunikace s kartou totiž probíhá bezkontaktně, avšak jen na vzdálenost v řádu centimetrů. Na druhou stranu nevadí ani překážka mezi telefonem a kartou, komunikace tudíž funguje i přes oblečení či kabelku.

Navíc se zdá, že je tento problém firmě dobře znám. Jak jinak si vysvětlit nabídku stínícího pouzdra, které by mělo Plzeňskou kartu před podobnými útoky uchránit? Oficiální vyjádření společnosti Plzeňské městské dopravní podniky redakce do okamžiku vydání textu nezískala, je však připravena je dodatečně zveřejnit.

Unikátní systém, unikátní průšvih

Technicky vzato, Telefónica O2, pravděpodobně ještě ve spolupráci s Nokií, umožnila dopravnímu podniku využívat zabezpečenou část paměti, kterou telefony s NFC používají ke komunikaci s odbavovacími terminály ve vozech MHD v Plzni. S přihlédnutím na pochybné zabezpečení RFID karet využívající technologii Mifare Classic (případ Plzeňské karty) tím však firmy dodaly veřejnosti nejen pěkný telefon, ale také výbornou nabíječku elektronických peněženek. 

Jak lze s kartou manipulovat?

1. lze číst bez vědomí uživatele osobní údaje z karty (datum narození, jméno uživatele, číslo karty)

2. lze neomezeně manipulovat s kreditem v elektronické peněžence (nabíjet, mazat atp.)

3. lze kartu bez vědomí uživatele deaktivovat a tím dočasně znehodnotit

V obchodech O2 v Plzni jsou k dostání telefony Nokia 6212 Classic, které je možné k placení jízdného využívat. Tyto telefony je ale možné použít i k nekontrolovanému doplňování kreditu do elektronické peněženky Plzeňské karty a čtení osobních údajů bez vědomí uživatele.

Na stránkách dopravních podniků se přitom lze dočíst, že Plzeňská karta "je nejbezpečnější ze všech možných prostředků, které jsou v současné době k podobným účelům používány. Technologické zneužití je v podstatě vyloučeno."

Dlouhodobě neřešený problém

Kartu nabízejí Plzeňské městské dopravní podniky od roku 2004. Je postavena na technologii Mifare Classic, která byla v té době považována za jakýsi bezpečnostní standard. Jenže už brzy poté byly známy její nedostatky, docházelo k bezpečnostním útokům a mnoho firem se od této technologie začalo odvracet. Jenže Plzeňský dopravní podnik v jejím rozšiřování nadále pokračoval.

Už koncem roku 2008 bylo zřejmé, že karty typu Mifare není možno dále udržovat ve funkčních systémech. Toho roku byla diskutována vnitřní struktura Mifare a byly veřejně představeny překvapivé detaily. Časem se na veřejnost dostal i přesný technický popis zabezpečení a následovaly hackerské útoky. Obětí se stala například londýnská karta či karta holandských železnic.

Naproti tomu v Plzni slavnostně dva roky po zjištěných problémech rozšířili systém o funkci elektronické peněženky. Povolení k využívání bezkontaktních karet Mifare jako elektronických peněz vydala Plzeňským městským dopravním podnikům Česká národní banka.

Co je co aneb Slovníček pojmů

Co je NFC?

NFC je zkratka pro Near Field Communication, komunikaci na krátkou vzdálenost prostřednictvím elektromagnetického pole (rádiových vln). Podobá se technologii Bluetooth, jen použitá vlnová délka je mnohem větší a spadá do rozsahu krátkých  vln. Je stejná, jakou používají některé bezkontaktní čipové karty a proto mohou přístroje s touto technologií takové karty nahradit. NFC je definováno pro frekvenci 13.56 MHz a s přenosovou rychlostí až 824 kbps. Současný trend je tuto technologii integrovat do SIM karet pro mobilní telefony. Technologie NFC je ale schopna do určité míry nahradit technologii Bluetooth, umožňuje také přenos dat mezi telefony navzájem.

Co je RFID?

RFID je zkratka pro Radio Frequency IDentification, zkratka pro systém, který je schopen rozpoznat a identifikovat nějakou entitu pomocí rádiových vln. Může to být značka zašitá v oděvu, označující pozici ve skladu, zboží v obchodě, nebo nějakou součástku ve výrobním procesu v továrně, může to být vstupní karta do budovy, kanceláře nebo hotelového pokoje. RFID značek se dnes vyrábí veliké množství a mají různý tvar, od milimetrových kapsliček určených k aplikaci pod kůži živým tvorům, přes malé velmi pevné a odolné moduly určené k označení funkčních uzlů výrobků či obsahu přepravních kontejnerů, přes známé klíčenky až k standardním plastovým kartám.

Co je Plzeňská karta?

Plzeňská karta je také taková značka, kterou vyrábí firma NXP pod obchodním označením Mifare. Pracuje na stejné frekvenci jako NFC, tedy 13.56 MHz s rychlostí přenosu dat 106 kbps. Je navíc vybavena několika jednoduchými paměťovými funkcemi, aby na ni bylo možno uložit časové kupóny a obsah elektronické peněženky. Nemusí mít nutně podobu čipové karty, vyrábí se i ve tvaru klíčenky.

Autor:
  • Nejčtenější

Podívejte se na fotografie vylepšené umělou inteligencí. Nadchla i Google

12. března 2024  7:02

I nejlepší fotomobil může trpět řadou nedokonalostí, které se projeví na výsledných fotografiích....

O2 dává neomezená data s příjemnou slevou. Avšak pouze dočasně

14. března 2024  7:02

Neomezená data s přenosovou rychlostí 10 Mbit/s představují až na jednu výjimkou základ nabídky...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

KOMENTÁŘ: Za pár let budeme rozvojovým zemím závidět jejich mobilní sítě

16. března 2024

Premium Je dost možné, že za pár let budou mít v rozvojových zemích lepší mobilní sítě, než jaké budou...

Ultrasamsung možná přiměje zastánce klasiky přejít ke skládačce

15. března 2024  6:57

Samsung podle dostupných informací chystá hned dva modely řady Galaxy Z Fold, kterých bychom se...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Opravdu nadupaný smartphone za dobrou cenu. Test OnePlusu 12

17. března 2024

Aktuální top model od OnePlusu představuje docela atraktivní nabídku. OnePlus 12 je skvěle...

VIDEO: Střílej po mně! Kameraman natočil téměř celý útok v centru Prahy

Premium Ve čtvrtek zemřelo rukou střelce Davida K. 14 obětí, 25 lidí je zraněných, z toho deset lidí těžce. Jedním z prvních na...

Máma ji dala do pasťáku, je na pervitinu a šlape. Elišku čekají Vánoce na ulici

Premium Noční Smíchov. Na zádech růžový batoh, v ruce svítící balónek, vánoční LED svíčky na baterky kolem krku. Vypadá na...

Test světlých lahvových ležáků: I dobré pivo zestárne v obchodě mnohem rychleji

Premium Ležáky z hypermarketů zklamaly. Jestli si chcete pochutnat, běžte do hospody. Sudová piva totiž dopadla před časem...

Chytrému prstenu Samsung hodně věří. Na start bude mít připravené zásoby

19. března 2024

Samsung by měl chytrý prsten Galaxy Ring představit 10. července spolu s novými skládačkami. Prodej...

Vyzkoušeli jsme za vás kontroverzní Temu. Drobnosti za desetikoruny

19. března 2024

Internetový obchod Temu budí kontroverze. U influencerů je neuvěřitelně populární a jejich...

VIDEO: Apple zfilmoval kultovní komiks. Zamířil kvůli tomu do Japonska

18. března 2024  6:57

Děj nového krátkometrážního snímku, jehož prostřednictvím Apple tradičně demonstruje přednosti...

Chytré, nebo klasika? Mrkněte na hodinky Casio inspirované Apple Watch

18. března 2024

Značka Casio letos oslavuje 50 let výroby svých náramkových hodinek a patří na tomto poli k...

Nutný výchovný pohlavek, souhlasí Bouček i Havlová s přerušením projevu na Lvu

Moderátor Libor Bouček ostře zareagoval na kauzu ohledně délky proslovu režisérky Darji Kaščejevové na předávání cen...

Švábi, vši a nevychované děti. Výměna manželek skončila už po pěti dnech

Nová Výměna manželek trvala jen pět dní, přesto přinesla spoustu vyhrocených situací. Martina ze Znojma se pokoušela...

Vyzkoušeli jsme podvod z Aliexpressu. Může vás přijít draho, i po letech

Nakoupili jsme na Aliexpressu a pěkně se spálili. Jednu USB paměť, dvě externí SSD a jeden externí HDD. Ve třech...

Chtěli, abych se vyspala s Baldwinem kvůli jeho výkonu, říká Sharon Stone

Herečka Sharon Stone (66) jmenovala producenta, který jí řekl, aby se vyspala s hercem Williamem Baldwinem (61). Měla...

Konec nadvlády programátorů. Pozic ubývá, na jednu se hlásí stále víc lidí

Premium Ochota firem splnit uchazečům skoro jakýkoli požadavek a velmi nízká konkurence. Tak by se ještě nedávno dala definovat...