Польский хакер использовал смартфон для бесплатного входа в VIP-залы аэропортов

В качестве главы польской компании Computer Emergency Response Team, разработчик Пржемек Ярожевски летает от 50 до 80 раз в год и поэтому стал ценителем VIP-залов аэропортов (особенно он поклонник зала Turkish Airlines в Стамбуле, где имеется кинотеатр, растения, турецкая пекарня и бесплатный массаж).

Поэтому, когда его статус Gold был ошибочно отменен в прошлом году автоматизированной посадочной системой распознавания в аэропорту Варшавы, он применил свои навыки хакера, чтобы застраховаться от будущих блокировок в лоундж авиакомпании.

Результат, который Ярожевски планирует представить в воскресенье на конференции по безопасности Defcon в Лас-Вегасе - простое приложение, которое он использовал десятки раз, чтобы попасть в VIP-залы аэропортов по всей Европе. Это Android-приложение, которое генерирует поддельные QR-коды для подмены посадочного талона на экране смартфона на любое имя, номер рейса, пункт назначения и класс.

И на основе своих опытов с фейковым QR-кодом, он доказал, что ни в одном протестированном зале никто не проверяет базу данных авиакомпании на предмет существования номера рейса, указанных в QR-коде. И эта уязвимость безопасности, он говорит, позволяет ему или кому-либо еще, генерировать простой QR-код для доступа в эксклюзивные залы ожидания в аэропортах и покупать вещи в duty free, даже не приобретая сам билет.

Поддельные посадочные талоны не являются новым хакерским трюком. Были зарегистрированы несколько случаев изготовления поддельных талонов еще десять лет назад.

Но выступление Ярожевски на конференции Defcon призван подчеркнуть, что даже сейчас, десять лет спустя, проблема безопасности в аэропортах не только сохраняется, а в некотором смысле стала проще, благодаря использованию аэропортами автоматизированных ридеров QR-кода. "Буквально, создание посадочного талона на смартфоне занимает 10 секунд", - говорит Ярожевски.

В видео ниже, Ярожевски показывает, как он вводит поддельные учетные данные в приложение. Он под вымышленным именем Бартоломью Симпсон генерирует QR-код посадочного талона и использует его, чтобы войти в VIP-зал Turkish Airlines в Стамбуле.