Estudio de seguridad en aplicaciones de transporte

Abstract

El objetivo de este proyecto ha sido el análisis de las tecnologías más comunes utilizadas en la validación de billetes del transporte público, para poder determinar de esta forma si son suficientemente seguras y destacar las debilidades para que las aplicaciones puedan ser fortalecidas. Para ello se ha analizado la tecnología del código QR, sus debilidades y las formas en las que podrían ser utilizadas sus vulnerabilidades. Se ha demostrado además la forma en la que una vulnerabilidad específica del QR podría llevar a un atacante a una exitosa distribución de un billete válido y a su posterior uso por pasajeros que no han pagado por el trayecto recorrido. Además de la tecnología QR, se ha descrito el funcionamiento de la tecnología NFC ya que dicha tecnología se utiliza cada vez más en diferentes sectores de la sociedad, facilitando tareas como es la validación de billetes. Por otra parte se han demostrado en este proyecto dos ataques. En uno de ellos, se demuestra que la tarjeta inteligente utilizada en la validación del billete podría ser manipulada y utilizada de forma conveniente por un atacante. Además se ha descrito otro ataque que podría darse en caso de que el atacante tuviera acceso al lector de billetes NFC del transporte público, pues de esta forma podría utilizar la autorización obtenida del servidor tanto en situaciones legítimas como en situaciones no legítimas.

The objective of this project has been the analysis of the most common technologies used in the validation of public transport tickets, in order to determine in this way if they are sufficiently secure and to highlight the weaknesses so that the applications can be strengthened. For this, the technology of the QR code, its weaknesses and the ways in which its vulnerabilities could be used have been analyzed. It has also been demonstrated how a specific vulnerability of the QR could lead an attacker to a successful distribution of a valid ticket and its subsequent use by passengers who have not paid for the route traveled. In addition to QR technology, the operation of NFC technology has been described since this technology is increasingly used in different sectors of society, facilitating tasks such as ticket validation. On the other hand, two attacks have been demonstrated in this project. In one of them, it is shown that the smart card used in ticket validation could be conveniently manipulated and used by an attacker. In addition, another attack has been described that could occur in case the attacker had access to the NFC ticket reader of public transport, since in this way he could use the authorization obtained from the server in both legitimate and non-legitimate situations.