Разработчик софта Игорь Шевцов нашел уязвимость карты «Тройка», которая позволяет пополнять баланс электронного кошелька без внесения денег. «Взломанная» карта может использоваться для оплаты проезда в общественном транспорте. Об этом в пятницу, 27 мая, сообщает TJournal.
Шевцов пояснил, что целью его исследования была проверка защищенности системы от подделки баланса, а также оценка безопасности инфраструктуры, работающей с картой. По его словам, уязвимость удалось найти с помощью простого смартфона на платформе Android и персонального компьютера, никакие специальные технические средства в ходе исследования не использовались.
По результатам своей работы разработчик создал приложение для Android, которое демонстрирует возможности обнаруженной им уязвимости. Он отметил, что представил эти материалы «исключительно в ознакомительных целях», и добавил, что на проведение такого исследования ему понадобилось две недели.
Шевцов также заявил, что для исправления найденных им ошибок необходимо усовершенствовать формат хранения данных в памяти карты и обновить программное обеспечение всех систем.
Транспортная карта «Тройка» начала действовать в апреле 2013 года. Карта не только используется для оплаты проезда в общественном транспорте, но и функционирует как электронный кошелек. С помощью «Тройки» можно купить билеты в Московский зоопарк и планетарий или, к примеру, арендовать велосипед. На данный момент в Москве продано около семи миллионов карт.