Хакер створив додаток, що дозволяє безкоштовно їздити в московському метро і наземному транспорті, -

Користувач ресурсу «Хабрахабр» розповів про уразливість в системі карти «Трійка», а також створив додаток, що дозволяє безкоштовно поповнювати баланс. «Зламали» карта може використовуватися для оплати проїзду в громадському транспорті.

«Найбільше часу зайняло вивчення структури даних в пам'яті карти. Це виявилося можливим через те, що дані зберігаються в незашифрованому вигляді. У разі, якщо б дані в пам'яті карти були зашифровані, найімовірніше, було б потрібно фізичне проникнення в системи, що працюють з картою, що робить атаку істотно складніше », - пише Шевцов.

В результаті, знайдені «дірки» в системі дозволили виконати підробку балансу, який записаний на електронному гаманці картки «Трійка». Програміст також створив додаток під назвою TroikaDumper, яке можна завантажити з GitHub, і дав рекомендації, як уникнути фінансової блокування. Він зазначив, що надає ці матеріали «виключно в ознайомлювальних цілях.

«Не оперуйте сумами балансу понад 100 рублів. Ніколи не проходьте в метро два рази з однаковим часом останнього проходу. Після запису дампа поновіть даний час на карті, використовуючи валідатор в наземному транспорті. Тобто, перед кожним проходом в метро потрібно виконати списання через жовтий валідатор в автобусі або трамваї », - зазначив хакер.

Як заявив розробник, для виправлення недоліків системи «необхідне вдосконалення формату зберігання даних в пам'яті карти і оновлення програмного забезпечення всіх систем, що працюють з картою». Представник Департаменту транспорту та розвитку дорожньо-транспортної інфраструктури заявив, що про уразливість їм нічого не відомо.

Приєднуйтесь до нас в Twitter. ВКонтакте. Facebook. Google+ або через RSS. щоб бути в курсі останніх новин зі світу Apple, Microsoft і Google.