Contactless fraud

Um conhecido meu que vive numa cidade menor do Reino Unido outro dia estava a falar-me de como ia tirar um bilhete de autocarro e metê-lo no smartphone. Na altura fiquei pasmado com a aparente sofisticação tecnológica das pequenas cidades inglesas, mas depois percebi melhor o que é que ele queria dizer — era, afinal de contas, a mesma tecnologia usada também no sistema de transportes públicos que existe (pelo menos) na região de Lisboa (no Porto existe um sistema um pouco mais sofisticado) — NFC (Near-Field Communication).

Ora o que ele me disse e que eu não sabia é que certos smartphones incluem um chip NFC compatível com várias tecnologias contactless. Os bilhetes de autocarro, metro e combóio são, em geral, passivos: não têm bateria, e os chips são «iluminados» pelo emissor (o ponto de validação), que retiram assim a pouca energia que necessitam para poderem ser activados e o seu código lido (no fundo, numa operação semelhante ao que acontece com o RFID, embora as distâncias sejam muito mais curtas, e pressuponho que por causa disso os chips sejam ainda mais baratos). Mas no caso dos smartphones, estes, pelo menos enquanto a bateria do telemóvel estiver a funcionar, são activos. Ou seja, podem ler outros cartões com chips NFC. Ou seja… com a aplicação apropriada, podem copiar a informação contida neles.

Qual o interesse disto? Bem, o meu conhecido estava sempre a perder o passe dele. Por isso o que ele faz agora é, sempre que revalida o passe, copia-o para o telemóvel. Depois basta seleccionar o bilhete que quer antes de saltar para o autocarro ou combóio. Como o telemóvel é alimentado por bateria, o alcance é mais longe, e nem sequer o precisa de aproximar muito do ponto de validação. Se por acaso o telemóvel ficar sem carga — acontece! — então o chip passa de activo para passivo, fica com a última sequência de dados, mas continua a funcionar; não dá é para mudar (se ficou com o bilhete de combóio activo, pronto, só dá para andar de combóio).

Ora este tipo de utilização tem pelos vistos muitos fãs, especialmente em sistemas de pagamento (parece que é frequente, no Japão, que o «bilhete» de combóio também funcione como meio de pagamento válido nos quiosques das estações). Tanto é assim que a própria Apple chegou a pensar nisso para o iPhone 5; integrado com o iTunes, App Store, iBooks, o iPhone beneficiaria de uma rede já existente de fornecedores aptos a tirarem partido do chip NFC (mas aparentemente os fãs da Apple terão de esperar pelo iPhone 6…). Em compensação, no mundo Android (e Nokia…), o chip NFC é muito popular. Mesmo que não dê ainda para pagar grande coisa por cá, pelo menos existe a utilização para os transportes públicos… se se usar o «truque» deste meu conhecido.

A minha mulher, no entanto, suspeita que o civismo e a candura britânicos, onde as pessoas legitimamente «instalam» os seus diversos tipos de bilhetes de transporte público na comodidade do seu telemóvel, será facilmente explorado pela mente perversa e criminosa dos portugueses 🙂 Uma coisa são os títulos pré-carregados que têm um limite de utilização. Mas a outra são os passes sociais, que, durante um mês, permitem viagens ilimitadas. Ora isto permite a um grupo de espertalhuços comprarem apenas um passe social e depois partilharem os respectivos códigos entre amigos; ao fim de uns meses, isto paga a todos os custos de investimento num telemóvel Samsung relativamente barato que tenha um chip NFC 🙂 Aliás, se calhar, neste momento já existe aí algures um site na ‘net qualquer onde se possa fazer download dos identificadores de passes sociais…

Pois, isto da tecnologia é divertido, e muito útil em países com elevado grau de civismo e responsabilidade pessoal 🙂 Mas por cá presumo que seria imediatemente convertido em pirataria da grossa.

Se é que já não é.

Anúncios

3 pensamentos sobre “Contactless fraud

  1. Bem, eu sei que os RFIDs usados nas portagens portuguesas não têm um grande nível de segurança. Não fosse a autenticação a dois factores (CCTV e RFID), e certo tipo de aldrabices seria viável.
    Nos outros sistemas, como o metro/andante não sei até que ponto a autenticação será segura.
    Já vi uma demo sobre RFID hacking e há potencial para fazer alguns embaraços nesta área.

Deixe uma Resposta

Preencha os seus detalhes abaixo ou clique num ícone para iniciar sessão:

Logótipo da WordPress.com

Está a comentar usando a sua conta WordPress.com Terminar Sessão / Alterar )

Imagem do Twitter

Está a comentar usando a sua conta Twitter Terminar Sessão / Alterar )

Facebook photo

Está a comentar usando a sua conta Facebook Terminar Sessão / Alterar )

Google+ photo

Está a comentar usando a sua conta Google+ Terminar Sessão / Alterar )

Connecting to %s