Passbook של אפל נפרצת; מאפשרת להזמין כרטיסי טיסה בחינם

פרצת אבטחה שהתגלתה על ידי סטודנט בן 18 איפשרה לו להזמין כרטיסי טיסה למחלקה הראשונה, בחינם.

מקור: Flickr, cc-by Johan Larsson

מקור: Flickr, cc-by Johan Larsson

סטודנט למדעי המחשב מאוניברסיטת כרתים ביוון הצהיר כי הצליח למצוא ״חולשה״ באפליקציית Passbook מבית אפל, המאפשרת לו להשיג כרטיסי טיסה בחינם. למעשה, לא מדובר על “סתם” כרטיסי טיסה, אלא על כרטיסים למחלקה הראשונה.

ללא צורך ברכישה

לדברי הסטודנט בן ה-18, אנתוני האריטון (Anthony Hariton), פרצה פשוטה ב-Passbook מאפשרת להזמין כרטיסי טיסה במחלקה ראשונה לכל טיסה שרק ירצה. למעשה, האריטון אמר שמדובר בתהליך כה פשוט, שאפילו המשתמש הממוצע ללא ידע או נסיון קודם בפריצות או בהאקינג יוכל לעשות זאת, במידה ואכן ידע מה התהליך.

לצערה של אפל ואולי אפילו לצערם של המשתמשים, האלמנטים היחידים שהאריטון מוכן לחשוף בשלב זה אודות הפריצה הם שמדובר במעקף למכשירי סריקת הכרטיסים הקיימים בשדות התעופה, הפועל עוד לפני שהנוסעים מגיעים אל שרוול המטוס והטכניקה שלו משלבת CSS וג’אווהסקריפט בתוך הדפדפן.

בנוסף, סביר להניח שהפרצה רלוונטית בעיקר בשל ארץ מוצאו, יוון, החברה באיחוד האירופי. שכן אזרחים המתגוררים באחד ממדינות האיחוד האירופי זכאים לתנועה חופשית בכל רחבי אירופה, ללא צורך בביקורת גבולות או באישורים מיוחדים.

המשמעות היא שהאזרחים זקוקים לכרטיס טיסה בלבד, כאשר האריטו מוסיף שלצד הכרטיס כדאי להצטייד בפני פוקר טובים במיוחד ועצבי ברזל, על מנת לשכנע את הפקידים שהכרטיס אכן אמיתי ותקף.

הודות לאפליקציית Passbook, המאפשרת למשתמשים לסרוק מידע כגון כרטיסי מתנה, כרטיסים לסרט וכאמור כרטיסי עלייה למטוס ולחסוך מהם את הצורך לסחוב את הניירת הפיזית, הפרצה הופכת ללגיטימית גם עבור צוות האבטחה בשדה התעופה, שיכול לסרוק את המידע ממכשיר הסמארטפון של המשתמשים.

מחכים להוכחות

לצערה של אפל ואולי אפילו לצערם של המשתמשים, האריטון אינו מוכן לחשוף כיצד ניתן לנצל את הפרצה ולמעשה עדיין לא הציג הוכחות בשטח שהיא אכן עובדת. הוא מתכנן להציג את ממצאיו לקהל הרחב במסגרת כנס האבטחה Hack in the Box שיתקיים ב-29 במאי באמסטרדם, כאשר מצגתו תהיה תחת הכותרת “Exploiting Passbook to Fly for Free”.

בעוד שמשתמשים רבים ישמחו לקבל כרטיס טיסה בחינם, במיוחד אם מדובר על כרטיס למחלקה ראשונה – חשוב לציין כי מדובר פה על שתי עברות חמורות במיוחד: הונאה וגניבה. במידה והמשתמשים יגיעו לטיסה המלאה עד אפס מקום, יתיישבו בכסא שכבר נרכש על ידי נוסע אחר או פשוט יתפסו מכיוון שלא יודעים לשקר – הם עשויים לשלם על כך ביוקר.

חן אידן

אוהבת גאדג'טים, אפליקציות ואת עולם הטכנולוגיה בכלל. שלל עיסוקיה כוללים הריסת מכשירים סלולריים לצרכי בדיקה, התעסקות בלתי פוסקת ברשתות חברתיות, סקירת אפליקציות חדשות, סטארטאפים מבטיחים והתנסות עם (כמעט) כל מוצר חדש שיוצא לשוק.

הגב

הגב ראשון!

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

wpDiscuz

תגיות לכתבה: