Akıllı kart hatası, herkesin metroya ücretsiz binmesini sağlar
Hindistan’ın kitle hızlı Toplu taşıma sistemleri – veya yerel olarak bilindiği gibi metro – sömürüye açık olan ve herkesin ücretsiz olarak etkin bir şekilde seyahat etmesine izin veren banliyö akıllı kartlarına güveniyor.
Güvenlik araştırmacısı Nikhil Kumar Singh Delhi Metro’nun akıllı kart sistemini etkileyen bir hata keşfetti. Araştırmacı TechCrunch’a, hatanın, herkesin metro treninin akıllı kartını istediği kadar şarj etmesine izin veren yükleme işleminden yararlandığını söyledi.
Singh, TechCrunch’a, Delhi Metro istasyonunda katma değerli bir makine kullanarak metro akıllı kartına yanlışlıkla ücretsiz kontör aldıktan sonra hatayı keşfettiğini söyledi.
Singh, hatanın var olduğunu söylüyor, çünkü bir yolcu bir istasyon katma değer makinesi kullanarak metro akıllı kartına kredi verdiğinde metro şarj sistemi ödemeleri düzgün bir şekilde doğrulamaz. Çeklerin eksikliğinin, katma değer makinesi satın almanın başarısız olduğunu söylese bile, bir akıllı kartın, kontör yüklendiğini düşünmesi için kandırılabileceğini söyledi. Bu durumda bir ödeme beklemede olarak işaretlenir ve daha sonra geri ödenerek kişinin metroya ücretsiz olarak etkin bir şekilde binmesi sağlanır.
TechCrunch’a konuşan Singh, “Delhi Metro sisteminde denedim ve ücretsiz şarj alabildim” dedi. “Hala PhonePe veya Paytm kullanarak ödeme yaparak yeniden yükleme başlatmam gerekiyor, ancak yeniden yükleme hala beklemede olduğundan, 30 gün sonra iade edilecek. Bu nedenle teknik olarak ücretsizdir” dedi.
Singh, TechCrunch ile Şubat ayında kaydettiği, bir akıllı kartın bir Delhi Metro kartına değer katmak için nasıl aldatılabileceğini gösteren bir kavram kanıtı videosunu paylaştı. Hatayı daha iyi anladıktan sonra araştırmacı ulaştı bir gün sonra Delhi Metro Rail Corporation’a (DMRC) Yanıt olarak, DMRC, Singh’den hatanın ayrıntılarını, TechCrunch’ın gördüğü teknik bir rapor ve hatayı gösteren bir günlük dosyasıyla birlikte e-posta yoluyla paylaşmasını istedi. 16 Mart’ta Singh, e-postasının alındığını bildiren ortak bir yanıt aldı, ancak başka yanıt almadı.
Singh, TechCrunch’a çözülmeyen sorunun akıllı kartların kendisinde olduğunu söyledi. Delhi Metrosu, Hollandalı çip üreticisi NXP Semiconductors tarafından üretilen MiFare DESFire EV1 akıllı kartlarına güveniyor. Bengaluru dahil diğer metro sistemleri de aynı akıllı kart sistemi.
TechCrunch’a konuşan Singh, “Eğer diğer eyalet metro trenlerinde teknik altyapı aynıysa, o zaman bu hata orada da çalışacak” dedi.
Bu, güvenlik araştırmacılarının aynı marka akıllı kartlarla ilgili sorunları ilk kez bulmaları değil. Geçmiş araştırma bulundu Delhi Metrosu’nun kullandığı aynı DESFire EV1 akıllı kartlarını etkileyen benzer güvenlik açıkları ve diğer Avrupa toplu taşıma sistemleri. 2020 yılında MiFare tanıtıldı DESFire EV3, daha iyi güvenlik ile temassız çözümü olarak.
Singh, metro sistemleri DESFire EV3 kartlarına geçerse akıllı kart hatasının düzeltilebileceğini öne sürdü.
Üç DMRC sözcüsü, yorum isteyen birden fazla e-postayı yanıtlamadı. Ulaşıldığında, NXP sözcüsü (ajans aracılığıyla) yayınlandığı zaman yorum sağlayamadı. Kentin metro hizmetinden sorumlu kuruluş olan Bengaluru Metro Rail Corporation da yorum yapmadı.