«Un bug, e si viaggiava gratis»
Ricercatori dell'ETH di Zurigo hanno manipolato i dati di localizzazione sfruttando una falla della app FFS (nel frattempo corretta).
BERNA - Ricercatori dell'ETH di Zurigo sono riusciti a ingannare la funzione Easyride della app delle FFS e hanno viaggiato in treno gratuitamente. Hanno sfruttato una falla informatica che è stata nel frattempo eliminata.
Per il loro esperimento i ricercatori in sicurezza informatica hanno manipolato i dati di localizzazione di uno smartphone, indica oggi in una nota il Politecnico federale di Zurigo (ETH Zurigo).
Si tratta di una manipolazione che richiede conoscenze specialistiche: conoscenze che tuttavia gli studenti di informatica hanno già a livello di laurea triennale, si precisa nella nota.
La funzione Easyride permette ai passeggeri di effettuare il check-in tramite l'app delle FFS quando si sale su un treno e il check-out quando si scende. L'app determina il percorso effettuato in base ai dati di geolocalizzazione e calcola il costo del biglietto.
«La geolocalizzazione può essere manipolata» - I ricercatori hanno testato uno smartphone appositamente preparato su diversi viaggi in treno da Zurigo al capoluogo di un cantone vicino. Invece del tragitto effettivo, la app ha calcolato i costi di piccoli spostamenti per i quali non è stato utilizzato alcun mezzo di trasporto pubblico. La truffa non è stata notata né dal controllore dei biglietti sul treno e nemmeno successivamente dalle FFS, precisa la nota. «Il dato fondamentale è che i dati di geolocalizzazione di uno smartphone possono essere manipolati e non ci si può quindi fidare», afferma citato nella nota Michele Marazzi, uno dei ricercatori coinvolti nell'esperimento.
Il trucco non funziona più - Da notare che durante il test i ricercatori avevano con sé un biglietto valido. L'utilizzo della funzione Easyride con dati di localizzazione manipolati è infatti un reato, precisa ancora la nota. Gli informatici dell'ETH hanno informato le FFS della presenza della falla nella funzione Easyride. Il trucco oggi non funzionerebbe e simili manipolazioni vengono ora riconosciute a posteriori e segnalate alla polizia, hanno fatto sapere le FFS. Per motivi di sicurezza le FFS non rendono peraltro note le modalità esatte con cui vengono effettuati i controlli.
