Uudis

IT-tudeng leidis, et Tallinna ja Tartu ühistranspordikaardid on kloonitavad

Sellise komplektiga saab kuulata pealt NFC ja RFID kaarte. Foto: tootja

Tartu ülikooli krüptograafia uurimisseminari käigus anti tudengitele ülessanne testida lähiväljasidel põhinevaid NFC ja RFID kaarte ning kontrollida nende turvalisust. Ülesande põhjal koostas tudeng Yauhen Yakimenka uurimistöö, millest selgub, et Tallinna ja Tartu ühistranspordis kasutatavad sõidukaardid on ebaturvalised.

Yakimenka keskendus NFC/RFID kaartide kõige enamlevinud variatsioonile Mifare Classic. Uurimistöö käigus selgus, et ühistranspordis olevaid nn validaatoreid saab pealt kuulata. Kaardid edastavad lugejatele unikaalseid identifitseerimise võtmeid ja allkirju, mis seadistatakse kaardile sel hetkel, mil see aktiveeritakse müügipunktis. Yakimenka tõi välja, et kaartide paljundamise (kloonimise) ainus kaitse põhinebki sellel faktil, et neid on ilma spetsiaalse riistvarata raske kopeerida.

Kaartide poolt edastatavat informatsiooni saab pealt kuulata ligikaudu 400 eurose seadmega Proxmark III, mille saab iga huviline endale internetist vabalt osta.

Sajad tuhanded ühistranspordi kasutajad kasutavad isikustatud sõidukaarte. Sõiduõiguse kontrollimisel küsitakse lisaks ühistranspordikaardile tihti ka isikut tõendavat dokumenti, mis tähendab, et kaardi lihtsast kopeerimisest ei piisa. Piletisüsteemi arendaja Ridango ei ole tudengi uurimistööd veel kommenteerinud.

Muudetud 22.02.2017 13:00: täpsustatud pealkirjas kursusetöös tehtud avastuse sisu.

Telli Geeniuse uudiskiri

Saadame sulle igal argipäeval ülevaate tehnoloogia-, auto- ja rahaportaali olulisematest lugudest.