Experimentos realizados por pesquisadores de segurança de computadores da ETH Zurich mostraram que os smartphones podem ser manipulados para permitir que o proprietário viaje gratuitamente nos trens suíços. Os pesquisadores também destacaram formas de conter esse uso indevido.
Isso torna a viagem de trem, ônibus e bonde muito fácil: em vez de comprar uma passagem convencional, quem usa a função EasyRide no aplicativo da SBB pode iniciar sua viagem com um único toque no smartphone. Uma vez no destino, eles deslizam para o outro lado para finalizar a compra novamente. Um código QR visível no aplicativo serve como ingresso. Confirma ao inspetor de bilhetes que ativou a função EasyRide. Durante a viagem, o aplicativo transmite continuamente dados de localização para um servidor SBB. O servidor usa esses dados para calcular a rota percorrida, permitindo que a SBB cobre a tarifa do usuário.
O EasyRide está disponível em toda a Suíça desde 2018. No ano passado, porém, os pesquisadores conseguiram enganar o sistema. A função EasyRide depende de dados de localização do smartphone, mas usuários com conhecimento especializado podem manipular essas informações. A SBB afirma que agora pode detectar esse tipo de fraude em passagens.
Os inspetores de passagens não notaram nada
Há um ano, a situação era diferente: investigadores e estudantes pertencentes ao grupo liderado por Kaveh Razavi, Professor de Segurança Informática na ETH Zurique, suspeitaram que a função EasyRide poderia ser enganada e por isso puseram à prova as suas suspeitas. Eles alteraram um smartphone para que seus dados de GPS – acessados pelo aplicativo da SBB – fossem substituídos por informações de localização falsas, mas de aparência realista. Esses dados simulavam que o usuário se deslocava apenas em uma pequena área de uma cidade sem utilizar transporte público. Os pesquisadores usaram duas abordagens: em um caso, um programa gerou dados de localização falsos diretamente no smartphone. No outro caso, o smartphone estava conectado a um servidor rodando o aplicativo da SBB. Este servidor gerou dados de localização falsos e transmitiu o código QR EasyRide para o smartphone.
“Os dados de localização do smartphone podem ser manipulados e não podem ser totalmente confiáveis.”
Os investigadores testaram o seu smartphone especialmente preparado em várias viagens de comboio de Zurique para a capital de um cantão vizinho. Sua trapaça passou despercebida pelo fiscal de passagens e eles não foram contatados pela SBB posteriormente. Em vez disso, a SBB calculou os custos dos falsos movimentos de pequena escala para os quais não foi utilizado transporte público. Ou seja, os pesquisadores puderam viajar gratuitamente com o EasyRide. Eles enfatizam que, embora tenham mostrado ao fiscal o código QR do EasyRide, eles também estavam sempre de posse de um bilhete válido.
Os dados de localização de hoje não são confiáveis
Embora uma pessoa deva ter conhecimento especializado para manipular seu smartphone, diz Razavi, o conhecimento necessário é comum entre estudantes que fazem bacharelado em ciência da computação. Com a quantidade certa de ambição criminosa, seria até possível oferecer um programa para smartphone combinado com um serviço online para fornecer dados de localização falsos, mas plausíveis, a trapaceiros que não possuem as competências informáticas necessárias.
“A verdade básica é que os dados de localização dos smartphones podem ser manipulados e não podem ser totalmente confiáveis”, diz Michele Marazzi, doutoranda no grupo de Razavi. “Portanto, os desenvolvedores de aplicativos não deveriam tratar esses dados como confiáveis. É isso que queríamos que nosso projeto destacasse.” Quando dados de localização são usados como base para cálculo e cobrança de um serviço, como no aplicativo da SBB, mais atenção deve ser dada a esta vulnerabilidade.
É necessária comparação com dados confiáveis
Os pesquisadores propõem duas formas de resolver o problema: ou os dados de localização devem ser verificados por meio de notificações de posicionamento confiáveis, ou os smartphones devem ser projetados para tornar essa manipulação muito mais difícil. Para a primeira abordagem, seria possível comparar os dados fornecidos pelo smartphone do usuário com dados de localização em que a transportadora confia – como os fornecidos pelo veículo ou por um dispositivo móvel transportado pelo fiscal de passagens.
A segunda abordagem é mais complicada: envolveria a adesão de desenvolvedores de hardware e sistemas operacionais para smartphones e convencê-los a implantar um novo tipo de tecnologia de localização à prova de falsificação. “Mas até que isso aconteça, todos os serviços que são obrigados a confiar nas informações de localização fornecidas pelos smartphones não têm outra escolha senão verificar esses dados da melhor maneira possível, usando uma fonte confiável de dados de localização”, diz Razavi, professor da ETH.
Os pesquisadores informaram a SBB sobre a vulnerabilidade na função EasyRide, mantiveram contato com os especialistas da empresa durante o ano passado e apresentaram-lhes soluções para tornar a função mais segura.
A SBB enfatiza que é uma ofensa usar a função EasyRide em combinação com dados de localização manipulados. Segundo a SBB, a empresa melhorou a verificação dos dados de localização transmitidos ao servidor seguindo as informações fornecidas pela equipe de pesquisa da ETH Zurich. Os casos de manipulação são agora detectados após o fato e os infratores são processados. Por razões de segurança, a SBB não divulga exatamente como as verificações são realizadas.
Referência
Marazzi M, Jattke P, Zibung J, Razavi K: Pay Ride: e-Ticketing de transporte seguro com localização de smartphone não confiável, 15 de maio de 2024
Fabio Bergamin