Эксперт взломал систему карты «Тройка» и нашел способ пользоваться услугами московского транспорта бесплатно.
Московский метрополитен совместно с ВТБ устранили уязвимость в приложении «Мой проездной», позволявшей при помощи стороннего ПО пополнять баланс карты «Тройка» без внесения денег с целью бесплатного проезда в наземном и подземном общественном транспорте. Об этом сообщает информагентство «Интерфакс» со ссылкой на пресс-службу столичного метрополитена.
Проблема была обнаружена разработчиком Игорем Шевцовым, задавшимся целью проверить защищенность системы электронного кошелька от манипуляций с балансом. В ходе исследования специалист использовал дешевый смартфон на базе Android и персональный компьютер.
Шевцов успешно провел реверс-инжиниринг приложения «Мой проездной» и получил доступ к памяти карты. Изучив структуру хранения данных, эксперт обнаружил уязвимости, позволяющие подделать баланс на электронном кошельке карты «Тройка». В результате Шевцов получил возможность использовать карты для бесплатного проезда в общественном транспорте. Как заявил разработчик, взлом карты производился исключительно в ознакомительных целях.
По словам сотрудника пресс-службы метрополитена, мониторинг уязвимости транспортных приложений, позволяющих пополнить баланс карты «Тройка», ведется постоянно.