Un hacker greco afferma di aver sviluppato un metodo per ottenere voli gratuiti creando una falsa carta d'imbarco per Passbook di Apple

Anthony Hariton, uno studente di informatica di 18 anni dell’Università di Creta in Grecia, ha affermato di aver sviluppato un metodo per ottenere voli gratuiti creando una falsa carta d’imbarco per Passbook di Apple. Anthony, che twitta con l’handle @DaKnObCS, ha dato un’anteprima del metodo che intende presentare alla conferenza Hack in the Box che si terrà il 29 maggio ad Amsterdam.

Anthony ha detto che il bypass che ha scoperto influisce sugli scanner dei biglietti utilizzati prima che i passeggeri salgano sul jetway per imbarcarsi su un aereo. Secondo Anthony, chiunque abbia conoscenze del bypass può imbarcarsi su un aereo da un aeroporto dell’Unione Europea verso una destinazione a scelta creando una falsa carta d’imbarco all’interno dell’app Passbook di Apple.

• *

Tuttavia, la rivendicazione non è ancora stata verificata da alcuna autorità competente, né dal lato dell’aviazione né da quello dei ricercatori di sicurezza. Normalmente, per imbarcarsi su un aereo, gli scanner delle porte d’imbarco dovrebbero riconciliare il biglietto di un passeggero con il database delle partenze della compagnia aerea per garantire che solo i passeggeri legittimi salgano a bordo. Ma la sua affermazione ha attirato l’attenzione dell’IATA, che non ha né respinto né accettato la rivendicazione. Il suo responsabile della comunicazione ha detto,

“Gli aeroporti hanno scanner alle porte d’imbarco (e molti stanno implementando questi scanner prima dei controlli di sicurezza) tramite i quali i dati scansionati vengono confrontati con il sistema di controllo delle partenze delle compagnie aeree per riconciliare i passeggeri a bordo dei voli con quelli prenotati sul volo. Infatti, dopo l’introduzione delle carte d’imbarco con codice a barre sei anni fa, gli aeroporti hanno automatizzato il processo di riconciliazione della carta d’imbarco e della lista dei passeggeri alle porte d’imbarco.”

Una volta attivato un blackout del sistema, gli operatori tornano al vecchio sistema di controlli manuali, quindi l’IATA ritiene che qualsiasi persona con biglietti falsi verrà comunque catturata alla porta d’imbarco.

• *

Anthony ha respinto l’affermazione dell’IATA e ha aggiunto che il modello utilizzato in tutti gli aeroporti dell’UE per controllare la validità dei biglietti era “malfunzionante”, notando che mancavano di “accesso diretto al database delle compagnie aeree”. Il metodo sviluppato da Anthony utilizza codice CSS e Java all’interno di un browser e, utilizzando un’API, possono essere trasferiti a Passbook di Apple.

• *

Anthony non ha ancora testato la sua ricerca utilizzandola per imbarcarsi su un aereo. Ma afferma che dovrebbe funzionare senza alcuna rilevazione. Anthony dice che l’unico rischio è che se una persona utilizza questo metodo per imbarcarsi su un aereo completamente prenotato, potrebbe essere catturata.

• *

“Attualmente, se entri in un volo completamente prenotato e non hai posto dove sederti, verrà ovviamente rilevato,” ha concluso Anthony.

• *

Risorsa: ITNEWS