Anthony Hariton, un estudiante de Computación de la Universidad de Creta (Grecia), dice que es posible generar tarjetas de embarque falsas pero válidas gracias a una falla en PassBook, la aplicación de Apple que permite almacenar en el iPhone cupones, entradas a eventos y hasta tarjetas de embarque a vuelos.
PassBook brinda la posibilidad de escanear dichos tickets para que no sea necesario presentarlos en papel. De esta forma, la pantalla del Smartphone actúa como comprobante a la hora de ingresar al cine, canjear un cupón o tomar un vuelo.
Lo que Hariton propone es hackear esta app y generar tarjetas de embarque “convincentes” para volar en forma gratuita. Y dice que es muy fácil, incluso para usuarios inexpertos que no tengan mucho conocimiento técnico, ya que sólo se necesitaría una computadora y un teléfono inteligente para poner a prueba la seguridad física y digital de los procesos de validación en cuestión.
Todo parece indicar que la clave está en el proceso de generación de códigos QR, lo cual escaparía de las manos de Apple, o que la aplicación tiene un problema de seguridad. En cualquier caso, de ser funcional, esta conducta podría llevar a falsificar otros tickets además de tarjetas de embarque.
“Es muy fácil generar una tarjeta de embarque, pasar todos los controles del aeropuerto y ocupar un asiento en primera clase hacia el destino que elijas. Y lo más importante es que no tienes que hacer nada demasiado complejo: una computadora y un Smartphone es todo lo que necesitas”, anuncia Anthony Hariton como anticipo de la charla que brindará en la exposición de seguridad HITB Haxpo el próximo mes en Ámsterdam.
Cabe destacar que, hasta que este estudiante de 18 años no haga su presentación y muestre el paso a paso de la falsificación, no es posible afirmar que se trata de un hackeo y que funciona. Habrá que esperar entonces a que dé su charla en Hack In The Box, denominada “Vulnerando Passbook para volar gratis”. De confirmarse que es posible falsificar las tarjetas de embarque, se abrirá un nuevo debate para determinar cómo ajustar las validaciones de seguridad pertinentes.