Чилийские хакеры обошли защиту NFC-проездных

31/10/2014 15:51

Чилийским хакерам удалось обойти защиту системы электронных платежей "Tarjeta BIP!", которая позволяет пользователям в Чили оплачивать общественный транспорт при помощи NFC-модуля смартфона или специальной транспортной карты. Хакерам удалось разработать мобильное приложение для бесплатного пополнения транспортных карт и модификации других служебных данных. 16 октября появилось первое публичное приложение для Android, позволяющее пользователям пополнять эти транспортные карты на 10000 чилийских песо (17 долларам США). Сразу после появления приложения в интернете, множество пользователей скачало его, проверило на практике и убедилось в его работе. Всё, что для этого нужно – установить приложение (PuntoBIP.apk) на Android-устройство, поддерживающее NFC, поднести транспортную карту к телефону и нажать кнопку "Cargar 10k", что означает "пополнить карту на 10000 [чилийских песо]". Судя по метаданным, содержащимся в DEX-файле, он был скомпилирован 16 октября 2014 г. Его размер 884.5 kB (884491байт). Встроенная функция прямо взаимодействует с NFC-портом: "android.hardware.nfc". У приложения есть четыре основные функции: "número BIP" – получить номер карты, "saldo BIP" – узнать баланс на карте, "Data carga" – пополнить баланс и, пожалуй, самое интересное – "cambiar número BIP" – изменить номер карты. Согласно некоторым источникам, власти Чили планировали блокировать BIP-карты, пополненные незаконным образом. Но, возможность сменить номер карты при помощи приложения делает блокировку полностью бессмысленной. Первоначальные ссылки для скачивания приложения уже заблокированы, однако появились новые ссылки, ведущие на новые сервера. Оказалось, что к скачиванию с них предлагается, по сути, новое приложение (PuntoBIP-Reloaded.apk). Это видоизмененная версия предыдущего приложения, скомпилированная 17 октября 2014. Размером она гораздо больше – 2.7 MB (2711229 байт). Версия включает в себя рекламный модуль, который демонстрирует рекламу через сеть DoubleClick. Поскольку оба приложения позволяют пользователям взламывать легитимное приложение, "Лаборатория Касперского" уже добавила их в свои базы вредоносного ПО, которое детектируется как HEUR:HackTool.AndroidOS.Stip.a. Антивирусные эксперты рекомендуют использовать свой продукт для определения настоящих приложений, поскольку повышенный интерес к этому приложению может вызвать появление подделок, представляющих реальную угрозу для персональных данных и мобильного устройства в целом.
Источник