Хакер взломал карту "Тройка" и мог бесплатно ездить в метро

В электронной карте «Тройка», которая используется для оплаты проезда на столичном общественном транспорте и других услуг, была найдена уязвимость. Эксперт в сфере безопасности Игорь Швецов обнаружил «дыру» в системе, с помощью которой можно пополнять баланс, не тратя при этом собственных денег. Таким образом, используя эту уязвимость можно бесплатно пользоваться общественным транспортом, а также бесплатно посещать каток, зоопарк и даже арендовать велосипеды.

При этом программист не использовал специального ПО для взлома карты «Тройка», ему понадобился лишь компьютер и недорогой смартфон на платформе Android. С помощью метода обратного инжиниринга, была произведена декомпиляция APK-файла в мобильном приложении, позволяющая пополнять карту со смартфона с функцией NFC.

Таким образом программист получил доступ к памяти карты и подробно изучил структуру хранения базы данных. Изучив исходный код, хакер нашел возможность вносить запись в память карты, не используя реальные денежные средства. Несмотря на все защитные системы доступа к карте подделать баланс оказалось очень просто.

В итоге Швецов разработал приложение TroikaDumper, с помощью которого можно использовать уязвимость электронной карты и пополнять баланс не потратив при этом ни копейки. Приложение было выложено в открытый доступ, но программист отметил, что выложил он её для ознакомления, а использование «дыры» является преступлением и преследуется по закону.

Опубликовано: 30.05.2016