SMS lístky sú s obľubou používane vo všetkých veľkých mestách Strednej Európy (Praha, Bratislava, Košice, Viedeň, Varšava, ..)
Cieľom nášho výskumu bolo poukázať na vážne bezpečnostné zraniteľnosti SMS lístkov, ktoré nie sú dostatočne dobre previazané na samotného cestujúceho. Na demonštráciu potenciálneho zneužitia sme navrhli špeciálnu sieťovú architektúru, ktorá umožňuje cez šifrovaný kanál masívne distribuovať a generovať SMS lístky medzi pasažiermi (SMS ticket hacker server + SMS ticket hack clients).
Kritickosť uvedenej zraniteľnosti navyšuje fakt, že v súčasnej dobe neexistuje jednoduchý a lacný spôsob, ako uvedený útok odhaliť.
Navrhli sme tiež viacero čiastočných, ale nedostatočných riešení, ktoré môže DP realizovať v snahe odhaliť uvedený útok.
Tiež sme navrhli bezpečné a spoľahlive riešenie – zviazanie identity pasažiera s SMS lístkom, bezpečný spôsob generovanie SMS lístkov ako aj ich rýchlej kontroly zo strany revízorov.
Napriek tomu, že dopravné podniky boli s veľkým predstihom o uvedenej zraniteľnosti informované, stále túto zraniteľnosť ignorujú a používajú zraniteľné systémy.
Prezentácia: Zraniteľnosti v SMS lístkoch (prezentácia v angličtine)
Publikované na konferenciách:
Hacking at Random 2009 v Holandsku
Rozhovor pre denník SME: SMS lístky sa zneužiť dajú, tvrdí expert