Os pesquisadores em segurança Corey Benninger e Max Sobell divulgaram, durante a conferência de segurança EUSecWest, na semana passada, uma brecha existente em cartões de identificação por radiofrequência (RFID) usados em sistemas de transporte público. A dupla conseguiu criar um aplicativo para Android que reescreve os dados no cartão para deixá-lo com 10 créditos. O procedimento pode ser realizado infinitas vezes e requer um celular com tecnologia NFC (near field communications).
Sistemas de transporte em São Francisco e em Nova Jersey foram confirmados como vulneráveis. Sistemas na cidades norte-americanas de Boston, Seattle e Chicago também podem ter o problema, porque utilizam cartões com o mesmo chip – o MIFARE Ultralight.
Os especialistas publicaram um aplicativo para Android, o UltraCardTester, que verifica se um cartão é ou não vulnerável à técnica. Ao contrário do aplicativo usado pelos especialistas para testar a falha, a versão publicada e disponível no Google Play (acesse aqui ) não permite inserir créditos nos cartões. O app apenas diz se a técnica seria possível ou não.
Um vídeo (veja aqui ) mostra a exploração da falha. Após colocar o cartão próximo ao celular e executar o aplicativo, o número de créditos no cartão volta a ser 10 – o máximo.