Карта Тройка представляет из себя универсальный пополняемый электронный кошелек, широко используемый в системах оплаты общественного транспорта Москвы с 2013 года.
Цель данного исследования — выяснить защищенность системы электронного кошелька от подделки баланса, оценить безопасность инфраструктуры, работающей с картой. Вся работа была выполнена без использования специальных технических средств. Использовался дешевый смартфон на платформе Android и персональный компьютер. Общее время, затраченное на исследование, составило 15 дней.
В ходе работы был успешно проведен реверс¬-инжиниринг мобильного приложения «Мой проездной», что позволило получить доступ к памяти карты и изучить структуру хранения данных. Были найдены уязвимости, позволяющие выполнить подделку баланса, записанного на электронном кошельке карты Тройка. В результате чего стало возможным использование систем, поддерживающих карту, без оплаты.
Итогом исследования стала разработка приложения TroikaDumper, позволяющего эксплуатировать уязвимости системы электронного кошелька.
Внимание! Данные материалы представлены исключительно в ознакомительных целях. Подделка проездных билетов является уголовным преступлением и преследуется по закону.
Бесконтактные платежи становятся все более популярны. На текущий момент общественный транспорт в Москве полностью переведен на бесконтактную систему оплаты. Самым популярным платежным средством становится универсальная карта Тройка, которая активно интегрируется в различные системы помимо общественного транспорта. Картой уже можно оплатить билет в московский зоопарк, планетарий, каток, арендовать велосипед и прочее. Недавно Тройка была интегрирована в SIM-карты всех мобильных операторов города — услуга Мобильный билет. Очевидно, что распространение карты будет только увеличиваться. Транспортная сеть города обслуживает территорию с населением свыше 20 млн человек и обеспечивает перевозку более 350 млн пассажиров в месяц. В свете этого становится важным вопрос защищенности карты.
Целью данного исследования было выяснить насколько защищена карта от подделки баланса электронного кошелька, изучить принцип работы карты. Проверить защищенность инфраструктуры работающей с картой Тройка.
Карта Тройка введена в эксплуатацию в 2013 году. Представляет из себя универсальный пополняемый электронный кошелек. Согласно сайту troika.mos.ru, продано более 7 миллионов карт.
Поставщиком чипов для карты Тройка является (являлась?) компания NXP. Согласно пресс-релизу компании NXP, чипы выполнены по технологии MIFARE Plus. На данный момент сайт компании NXP более не доступен на русском языке и оригинал пресс-релиза удален. Несмотря на то, что спецификация технологии Mifare Plus недоступна публично, известно что данные чипы могут работать в нескольких режимах. Карта Тройка работает в режиме совместимости с устаревшими чипами Mifare Classic (SL1). Спецификация на данную технологию доступна публично. При этом чип Mifare Plus избавлен от известных уязвимостей технологии Mifare Classic. Поэтому известные оффлайн-атаки на данный чип не применимы.
Был проведен обзор инфраструктуры, работающей с картой Тройка, для установления наиболее привлекательных целей для атаки. Рассмотрены системы, позволяющие производить запись и считывание баланса электронного кошелька. Из основных критериев оценки была доступность для изучения без риска быть задержанным, простота и низкая стоимость. Требовалось найти наиболее простую цель для проведения атаки, не требующую использования специальных технических средств и дорогостоящего оборудования. Турникеты в метро Выполняют списания за поездки в метро. Предположительно, подключены к единой сети метрополитена, куда передаются проведенные транзакции. Вероятно, имеют возможность удаленного управления. Не имеют легкодоступных интерфейсов для подключения. Всегда находятся под наблюдением.
Потенциальный вектор атаки: проникновение в сеть, MitM.
Предположительно, работают локально, без подключения к сети. Поэтому должны содержать в памяти все необходимые данные для выполнения записи баланса на карту. Электронная часть может быть отсоединена с помощью замка снизу. Замечено, что водитель автобуса в конце рабочего дня отсоединяет валидаторы.
Потенциальный вектор атаки: физическое извлечение прошивки и данных из памяти устройства.
Служат для проверки состояния проездных билетов и записи баланса на электронный кошелек карты Тройка. Подключены к сети. Предположительно, работают на базе x86-компьютера и операционной системы Windows.
Потенциальный вектор атаки: проникновение во внутреннюю сеть, эксплуатация уязвимостей операционной системы.
Служат для продажи проездных билетов и пополнения электронного кошелька карты Тройка. Возможна оплата наличными и кредитными картами с помощью систем PayPass/PayWave. Работают на базе x86 компьютера под управлением операционной системы Windows. В момент сбоя управляющей программы можно видеть интерфейс операционной системы и служебные программы. Подключены к сети по технологии Ethernet, замечен UTP кабель, идущий к автомату.
Потенциальный вектор атаки: проникновение во внутреннюю сеть, эксплуатация уязвимостей операционной системы. _ Приложения для смартфонов
В Google Play Market было найдено несколько приложений, позволяющих работать с электронным кошельком карты Тройка. Наиболее популярным по числу установок является приложение «Мой проездной», позволяющее напрямую пополнять карту с помощью смартфона с функцией NFC. Это означает, что приложение содержит данные, позволяющие производить запись в память карты.
Из всех рассмотренных целей было решено остановиться на реверс-инжиниринге приложения «Мой проездной», как на более простом и безопасном варианте. Для этого достаточно было приобрести смартфон на платформе Android с поддержкой функции NFC. Выбор данной цели обусловлен еще и тем, что для исследования не требовалось иметь доступ к объектам общественного транспорта, и все операции по поиску уязвимостей можно было произвести не выходя из дома.
Приложение «Мой проездной» предназначено для самостоятельного пополнения карты Тройка. Работает на смартфонах с операционной системой Android и функцией NFC. Приложение бесплатное и доступно для загрузки через Google Play Market (каталог приложений Android). Так как приложение позволяет производить непосредственную запись баланса на карту, очевидно, что оно содержит ключи для чтения и записи. Далее будут описаны шаги реверс-инжиниринга приложения для получения требуемых данных. Загрузка APK-архива
Для изучения кода необходимо получить приложение в виде установочного архива APK (Android application package). Проще всего это сделать, используя один из многочисленных онлайн-сервисов для загрузки APK, например apkpure.com. С помощью данного сервиса можно загрузить любые приложения из Google Play Market на компьютер. _ Внимание! Данные материалы представлены исключительно в ознакомительных целях. Подделка проездных билетов является уголовным преступлением и преследуется по закону. Отсюда: https://habrahabr.ru/post/301832/
Это сообщение отредактировал ivaha - 27 мая 2016 г. в 15:40
Внимание! Данные материалы представлены исключительно в ознакомительных целях. Подделка проездных билетов является уголовным преступлением и преследуется по закону.
Да мы знаем, знаем...не волнуйтесь
Цитата
Были найдены уязвимости, позволяющие выполнить подделку баланса
Не могу одного понять. Нашел уязвимость - бери и пользуйся! Нахера на всю страну трубить? Ежу же понятно, что дыру прикроют. А ещё в моё время реверс инжениринг назывался тупо декомпиляцией.
Надеется, что его возьмут переделать защиту. Я бы взял.
"Шевцову удалось получить исходный код программы, а потом изменить его таким образом, чтобы пополнение счёта осуществлялось без реальной оплаты."
Как у них там это реализовано? Типа смартфон отсылает кодик на сервер и карта пополняется без всякой проверки поступления именно денег на счет? Оригинальное решение, ничего не скажешь.
Разработчик Игорь Шевцов нашёл уязвимости в системе Тройка, используемой для оплаты в московском общественном транспорте, получив возможность бесплатно пополнять её баланс. Об этом он рассказал на «Хабрахабре».
По словам Шевцова, на исследование защищённости системы электронного кошелька Тройка «от подделки баланса», у него ушло пятнадцать дней. Взлом удалось осуществить без использования специальных технических средств, ограничившись только компьютером и недорогим Android-смартфоном с NFC-чипом.
Шевцов подробно разобрал все возможные подходы к системе, включая турникеты в метро, валидаторы в наземном транспорте и метро, а также автоматы продажи билетов.
Однажды пополнял тройку ,вставил купюру 50 руб а высветилось на мониторе как 100 руб !!!! Это был мой первый фарт в жизни .....
За проверку систем "на взлом" другие компании платят овердохуя денег. А тут чел бесплатно нашёл уязвимость и всем похуй.
Так бы они еще из бюджета денег просили на исследования по безопасности, а тут чувак бесплатно им все преподнес и закрыл, таким образом, бюджетную кормушку.
Таких взломщиков уже не одна сотня. Читал кучу статей на эту тему, ничего нового кроме приложухи. А так, карту просто заблочат через несколько проходов.
Метрополитен и ВТБ устранили возможность взлома карты "Тройка"
Москва. 27 мая. INTERFAX.RU - Уязвимость работы приложения "Мой проездной", из-за которой при помощи стороннего софта хакеры имели возможность менять баланс карты "Тройка", устранена, сообщили "Интерфаксу" в пятницу в пресс-службе московского метрополитена.
"Для нас бесперебойная и безопасная работа подобных систем - вопрос принципиальный и важный. Обнаружив эту проблему ранее, мы оперативно ее устранили совместно с коллегами из ВТБ", - сказал сотрудник пресс-службы.
Он отметил, что приложение "Мой проездной" - совместный с банком ВТБ пилотный проект, который был запущен в 2015 году. "По факту успешного завершения пилота данный функционал будет добавлен в перечень официальных точек пополнения", - сказал собеседник агентства.
Он подчеркнул, что мониторинг уязвимости транспортных приложений, которые позволяют пополнить карту "Тройка", ведется на постоянной основе.
"Мы регулярно реализуем инициативы по ее улучшению и открыты для совершенствования карты "Тройка" и билетной системы в целом", - заявил сотрудник пресс-службы.
Ранее в СМИ была распространена информация о том, что хакеры взломали систему карты "Тройка" и нашли способ пользоваться услугами московского транспорта бесплатно.
Дайте ссылку? Как сделать? А то я тут буквально пять дней назад ,поставил себе "Мой проездной " от ВТБ и Банка Москвы" , как раз эта тема! А то у меня стояло приложение "Транспортные карты"- ну так , слабо , "Тройку " не читала! А это , читает, все карты..!
Это сообщение отредактировал tvcman - 27 мая 2016 г. в 18:53
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста, или зарегистрируйтесь, если не зарегистрированы.
1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)
yaplakal.com