Índice
Reputación plata
Reputación Oro
Aqui comparto algo que me resulta interesante les dejo el texto.
Corey Benninger y Max Sobell, investigadores de seguridad de Intrepidus Group, demostraron que un dispositivo Android con la función NFC (near-field communication) puede ser utilizado para evadir el pago de ingreso a los sistemas de transito metro de San Francisco y Nueva Jersey.
Los expertos desarrollaron la aplicación para Android llamada “UltraReset” que permite que los pasajeros reescriban los datos de una tarjeta contactless de acceso al metro directo al smartphone lo que permite restaurar el balance y conseguir viajes gratis.
El libero explota el chip Mifare Ultralight usado en las tarjetas, argumentaron los investigadores. Este tipo de chip permite que cualquier persona con pocos conocimientos técnicos reescriban los datos de la tarjeta NFC.
“Codifiqué la aplicación en una noche”, dijo Benninger, “y yo nosoy un programador así que si alguien sabe lo que hace es bastante fácil de realizar”, añadió.
Los investigadores ya dieron aviso a los sistemas de tránsito afectados de la vulnerabilidad desde diciembre de 2011, sin embargo aún no se hace nada al respecto.
Los metros de Nueva Jersey y San Francisco únicamente explicaron en un post que “mientras que estas tarjetas Ultralight no tengan características de control de acceso que se encuentran en tarjetas NFC más caras, lo hacen compatible con una característica llamada “One Way Counter”. Estos bits están en la página tres de datos de la tarjeta y una vez que un bit está activado, nunca se puede volver a apagar. De esta manera, una tarjeta puede ser limitada a ser utilizado sólo un número determinado de veces. Estos bits no se modifican por los dos sistemas de transporte que vimos que utilizan tarjetas Ultralight”.
Los bits no pueden dar marcha atrás, pero en un sistema vulnerable, la tarjeta comprueba la información de un usuario pero no activa los bits. Esto permite que éstas sean reescritas, argumentaron los investigadores.
Según Benninger y Sobell, la vulnerabilidad es muy fácil de arreglar. Las empresas podrían usar chips alternativos, más seguros o podrían ajustarse a otro tipo de sistemas back-end, para asegurarse de que los bits de las tarjetas se activen cuando deben.
Interesante no? ahora la parte que mas me hace pensar es que segun dice no es programador imaginen estaria bien hacer pruebas aqui en el pais saludos.
Corey Benninger y Max Sobell, investigadores de seguridad de Intrepidus Group, demostraron que un dispositivo Android con la función NFC (near-field communication) puede ser utilizado para evadir el pago de ingreso a los sistemas de transito metro de San Francisco y Nueva Jersey.
Los expertos desarrollaron la aplicación para Android llamada “UltraReset” que permite que los pasajeros reescriban los datos de una tarjeta contactless de acceso al metro directo al smartphone lo que permite restaurar el balance y conseguir viajes gratis.
El libero explota el chip Mifare Ultralight usado en las tarjetas, argumentaron los investigadores. Este tipo de chip permite que cualquier persona con pocos conocimientos técnicos reescriban los datos de la tarjeta NFC.
“Codifiqué la aplicación en una noche”, dijo Benninger, “y yo nosoy un programador así que si alguien sabe lo que hace es bastante fácil de realizar”, añadió.
Los investigadores ya dieron aviso a los sistemas de tránsito afectados de la vulnerabilidad desde diciembre de 2011, sin embargo aún no se hace nada al respecto.
Los metros de Nueva Jersey y San Francisco únicamente explicaron en un post que “mientras que estas tarjetas Ultralight no tengan características de control de acceso que se encuentran en tarjetas NFC más caras, lo hacen compatible con una característica llamada “One Way Counter”. Estos bits están en la página tres de datos de la tarjeta y una vez que un bit está activado, nunca se puede volver a apagar. De esta manera, una tarjeta puede ser limitada a ser utilizado sólo un número determinado de veces. Estos bits no se modifican por los dos sistemas de transporte que vimos que utilizan tarjetas Ultralight”.
Los bits no pueden dar marcha atrás, pero en un sistema vulnerable, la tarjeta comprueba la información de un usuario pero no activa los bits. Esto permite que éstas sean reescritas, argumentaron los investigadores.
Según Benninger y Sobell, la vulnerabilidad es muy fácil de arreglar. Las empresas podrían usar chips alternativos, más seguros o podrían ajustarse a otro tipo de sistemas back-end, para asegurarse de que los bits de las tarjetas se activen cuando deben.
Interesante no? ahora la parte que mas me hace pensar es que segun dice no es programador imaginen estaria bien hacer pruebas aqui en el pais saludos.
