I ricercatori superano la funzione Easyride delle FFS
Gli esperimenti condotti dai ricercatori di sicurezza informatica dell'ETH di Zurigo hanno dimostrato che gli smartphone possono essere manipolati per consentire di viaggiare gratuitamente in treno in Svizzera. Gli scienziati presentano anche dei modi per arginare questo uso improprio.
In breve
- Se si dispone delle conoscenze necessarie, è possibile manipolare le informazioni sulla posizione del proprio smartphone.
- I ricercatori dell'ETH sono riusciti a ingannare l'app delle FFS in questo modo. Hanno dimostrato che sarebbe stato possibile viaggiare in treno gratuitamente.
- I ricercatori hanno informato le FFS. Secondo le loro stesse dichiarazioni, nel frattempo hanno preso provvedimenti. Oggi una simile frode verrebbe almeno notata e sanzionata a posteriori.
La funzione Easyride dell'app FFS semplifica i viaggi in treno, autobus e tram: invece di acquistare un biglietto tradizionale, gli utenti iniziano il loro viaggio con una strisciata sullo smartphone. Al termine del viaggio, si sfiorano nuovamente per effettuare il check-out. Un codice QR visualizzato sullo smartphone funge da biglietto. Esso conferma a un controllore che la funzione Easyride è stata attivata. Durante il viaggio, l'app invia continuamente dati sulla posizione a un server delle FFS. Il server utilizza questi dati per calcolare la distanza percorsa e le FFS addebitano all'utente il costo del viaggio.
Easyride è in uso in tutta la Svizzera dal 2018. L'anno scorso, tuttavia, i ricercatori dell'ETH sono riusciti a ingannare il sistema. La funzione Easyride si basa sui dati di localizzazione dello smartphone. Tuttavia, gli utenti con conoscenze specifiche possono manipolare questi dati. Secondo le FFS, oggi una frode di questo tipo sarebbe riconoscibile.
Gli ispettori non hanno notato nulla
Un anno fa le cose erano diverse: i ricercatori e gli studenti del gruppo di Kaveh Razavi, professore di sicurezza informatica all'ETH di Zurigo, sospettavano che la funzione Easyride potesse essere ingannata e l'hanno messa alla prova. Hanno modificato uno smartphone in modo che i dati di localizzazione GPS - a cui accede l'app delle FFS - venissero sovrascritti con informazioni di localizzazione false ma dall'aspetto realistico. Questi dati facevano sembrare che l'utente stesse viaggiando solo in uno spazio ristretto di una città senza utilizzare i trasporti pubblici.
I ricercatori hanno utilizzato due approcci: In un caso, un programma ha generato i dati di localizzazione fasulli direttamente sullo smartphone. Nell'altro caso, lo smartphone è stato collegato a un server che esegue l'app FFS. Questo server ha generato i dati di localizzazione fasulli e ha trasmesso il codice QR Easyride allo smartphone.
"I dati di localizzazione di uno smartphone possono essere manipolati e non ci si può fidare".Michele Marazzi
I ricercatori dell'ETH hanno testato lo smartphone che avevano preparato su diversi viaggi in treno da Zurigo alla capitale di un cantone vicino. La frode non è stata notata durante il controllo dei biglietti sul treno, né gli utenti truffati sono stati contattati dalle FFS in seguito. Le FFS hanno invece calcolato i costi dei piccoli spostamenti falsificati per i quali non è stato utilizzato alcun mezzo di trasporto pubblico. In altre parole, i ricercatori hanno potuto viaggiare gratuitamente con Easyride. Sottolineano di aver sempre avuto con sé un biglietto valido durante tutti i test. Tuttavia, hanno mostrato il codice QR di Easyride al controllore.
I dati di localizzazione non sono affidabili
Per manipolare il proprio smartphone è necessaria una certa esperienza. Ma si tratta di conoscenze che gli studenti di informatica hanno già deciso di acquisire a livello di bachelor, dice Razavi. Con la giusta energia criminale, sarebbe persino possibile offrire un programma per smartphone e un servizio online per fornire ai truffatori senza conoscenze informatiche dati di localizzazione falsi ma plausibili.
"Il fatto fondamentale è che i dati di localizzazione di uno smartphone possono essere manipolati e non ci si può fidare", afferma Michele Marazzi, dottorando del gruppo di Razavi. "Gli sviluppatori di app non dovrebbero quindi trattarli come dati affidabili. Se i dati di localizzazione vengono utilizzati per calcolare e fatturare un servizio, come nel caso dell'app delle FFS, è necessario tenerne conto.
Confronto con dati attendibili
I ricercatori propongono due approcci per risolvere il problema: O i dati di localizzazione devono essere verificati con rapporti di localizzazione affidabili, oppure il tracciamento dello smartphone deve essere modificato radicalmente per rendere la manipolazione molto più difficile. Nel primo approccio, ad esempio, sarebbe possibile confrontare le informazioni trasmesse dallo smartphone di un utente con i dati di localizzazione di cui si fida un'azienda di trasporti, come quelli di un veicolo o del dispositivo mobile di un ispettore.
Il secondo approccio è più difficile. Dovrebbe riunire gli sviluppatori di hardware e sistemi operativi per smartphone e convincerli a sviluppare un nuovo tipo di tecnologia di localizzazione a prova di manomissione. "Finché ciò non avverrà, chiunque debba fare affidamento sulle informazioni di localizzazione fornite dagli smartphone non avrà altra scelta che verificarle al meglio con una fonte di dati di localizzazione affidabile", afferma l'ETH Razavi.
I ricercatori dell'ETH hanno informato le FFS della vulnerabilità della funzione Easyride e nell'ultimo anno si sono messi in contatto con i loro esperti. Hanno inoltre presentato loro delle soluzioni che possono essere utilizzate per aumentare la sicurezza della funzione.
Le FFS sottolineano che l'utilizzo della funzione Easyride con dati di localizzazione manipolati costituisce un reato. Secondo le proprie dichiarazioni, le FFS hanno migliorato la verifica dei dati di localizzazione trasmessi al server in seguito alle informazioni fornite dal team di ricerca dell'ETH. Secondo le FFS, le manipolazioni vengono ora riconosciute a posteriori e segnalate. Per motivi di sicurezza, le FFS non rendono note le modalità esatte di esecuzione dei controlli.