Подменить QR-код электронного посадочного талона можно при помощи простого Android-приложения

Любой пользователь может обмануть автоматическую систему регистрации на входе в бизнес-зал аэропорта при помощи специального мобильного приложения, способного подменять QR-код электронного посадочного талона, утверждает руководитель CERT Polska Пшемек Ярошевский (Przemek Jaroszewski).

Эксперт разработал Android-приложение, генерирующее поддельные QR-коды для подмены электронного посадочного талона. Причем в посадочном талоне может быть указано любое имя, место назначения, класс авиабилета и номер рейса. По его словам, при регистрации система не проверяет достоверность информации в QR-коде, за исключением существования рейса с данным номером. Эксперт протестировал приложение в ряде аэропортов Европы и в каждом из них ему удавалось получить доступ в эксклюзивные лаунж-залы. Ярошевский не проверял, как программа будет работать в аэропортах США или других стран за пределами Европы, поэтому не уверен, что и там ему удастся провернуть подобный трюк.

Издание WIRED обратилось за комментариями в Управление транспортной безопасности США и Международную ассоциацию воздушного транспорта, однако там журналистам заявили, что не рассматривают данную проблему как угрозу. Кроме того, ответственность за усиление безопасности лежит на самих авиакомпаниях, отметили в ведомстве.

Ярошевский продемонстрировал работу приложения в рамках конференции по безопасности DEF CON, однако отказался публиковать его код.