Покупать билет бизнес-класса не нужно, необходимо лишь составить корректный для сканера посадочных талонов QR-код
Пшемек Ярошевски демонстрирует QR-код, позволяющий ему получить доступ в VIP-зал аэропорта
Глава польского подразделения «Компьютерной группы реагирования на чрезвычайные ситуации» (computer emergency response team, CERT) Пшемек Ярошевски (Przemek Jaroszewski) очень часто отправляется в международные командировки. Обычно он летает самолетом, в среднем 50 — 80 раз в год. С такой частотой перелетов авиакомпании предоставляют клиенту множество бонусов, включая доступ в VIP-залы. Ярошевски по душе зал Turkish Airlines, где можно посмотреть кино, опробовать турецкую выпечку и даже получить сеанс бесплатного массажа.
В одном из полетов статус вип-клиента не был распознан системой при сканировании посадочного талона поляка. Ярошевски решил проблему, используя свои навыки специалиста по информационной безопасности. Он научился составлять для системы аэропорта QR-код, позволявший ему получить статус вип-клиента практически в любом из аэропортов Европы.
Поляк написал специальную программу, которая использовала фиктивные данные пассажира и реальные данные рейса, формируя QR-код для посадочного талона. Использовать можно любое имя, номер рейса, конечный аэропорт и класс билета. Как оказалось, системе нужен лишь реальный номер рейса. Все остальные данные можно брать «с потолка». Приложение для Android, созданное Ярошевски, позволяет любому человеку получить доступ к VIP-залу ряда авиакомпаний. Также при помощи этого приложения можно делать покупки в duty free магазинах.
Уязвимость систем, сканирующих посадочные талоны, далеко не новость. Впервые ею воспользовался специалист по криптографии Брюс Шнейер (Bruce Schneier). Он описал свой метод в 2003 году. Еще один специалист по информационной безопасности <ahref=«www.dubfire.net/boarding_pass»>создал веб-сайт, автоматически генерировавший поддельные посадочные талоны. Сайт еще работает, но вот скрипт, формировавший фальшивые посадочные талоны — нет. Владельца сайта заставило убрать этот скрипт ФБР, еще в 2006 году.
Ярошевски своим приложением показал, что уязвимость существует и по сей день, десять лет спустя. «В самом деле, для создания поддельного посадочного талона нужно лишь 10 секунд», — говорит он.
Процесс создания QR-кода поляк записал на видео. Здесь он использует имя Бартоломью Симпсон и генерирует код. После с этим кодом он регистрируется на рейс и входит в VIP-зал Turkish Airlines в Стамбуле.
Пшемек Ярошевски говорит, что не проверял свое приложение в аэропортах вне Европы, поэтому он не может сказать, получится ли использовать его в США или других странах. Кроме того, он никогда не пробовал полететь под фальшивым именем. По его мнению это вряд ли возможно, поскольку при посадке на самолет приходится проходить повторную проверку уже с документами. Кроме того, этот метод могут использовать только те пользователи, которые уже находятся в аэропорте, пройдя все проверки, включая «рамки». Трюк может использоваться только лишь для получения привилегий для себя в качестве пассажира с VIP-статусом. Создав соответствующий QR-код, пассажир из эконом-класса может без проблем проходить в зал ожидания для пассажиров, которые купили гораздо более дорогой билет.
Журналисты Wired обратились в Управление транспортной безопасности США и Международную ассоциацию воздушного транспорта, попросив прокомментировать ситуацию. Представители этих организаций ответили, что не рассматривают текущую ситуацию как угрозу. Также журналистам сообщили, что ответственность за безопасность своих пассажиров лежит на самих авиакомпаниях. Похоже, проблема в том, что у сканирующих систем нет возможности проверить данные о пассажире, в их базе данных есть только номера авиарейсов. Подключиться к внешней сети для проверки всех данных, содержащихся в QR-коде такие сканеры не могут.
Пшемек Ярошевски, выступая на конференции Defcon, заявил, что он никогда не пробовал попасть в залы авиакомпаний, к которым у него не было бы доступа, как вип-пассажира под своим реальным именем. Также он не пробовал при помощи своего приложения покупать товары в duty free магазинах, когда он летел в пределах одной страны. Эксперт объяснил это тем, что не хотел нарушать закон. Правда, один раз он сгенерировал код для своего друга, который находился в аэропорту Стамбула, ожидая пересадки на рейс в течение 7 часов. Он сказал другу, чтобы тот использовал QR-код на свой страх и риск. И у того все получилось.
Ярошевски сказал, что не собирается выкладывать свое приложение в общий доступ. Он утверждает, что для любого более-менее опытного специалиста не будет проблемой создать точно-такое же приложение. Сама программа проста — в ней всего 500 строк кода. А намерения человека, который решит сделать нечто подобное, могут быть уже далеки от желания проверить идею о возможности обмана систем аэропорта.
Автор: marks
