Антивирусный эксперт «Лаборатории Касперского» Денис Легезо в разговоре с «Газетой.Ru» сообщил, что опубликованное на «Хабрахабре» исследование об уязвимости, позволяющей подделать баланс карты «Тройка», выглядит подробно и реалистично.
По словам спикера, благодаря созданному взломщиком приложению любой обладатель смартфона на платформе Android с NFC-модулем производства NXP, готовый разрешить установку программ не из Google Play, действительно может повторить описанную атаку методом повторного воспроизведения.
«Если говорить простыми словами, исследователи нашли, где именно в памяти карты в незашифрованном виде хранятся данные о балансе на карте и последних проходах через турникеты и валидаторы. Это позволило сохранить состояние карты до прохода и вернуться к нему после. При этом есть ряд случаев, в которых карта блокируется», — заявил Легезо.
Ранее пользователь «Хабрахабра» Игорь Шевцов опубликовал пост, в котором «в ознакомительных целях» рассказал, как с помощью компьютера и Android-смартфона с NFC-чипом нашел уязвимость в «Тройке». По результатам своей работы хакер создал приложение для Android-устройств, которое позволяет «пополнить» баланс карты без внесения денежной суммы.
