高級享受不用花錢 波蘭保安專家自製 QR Code 直入機場貴賓室

不少人每年會去旅行充一充電,但貴賓室這玩意還是有錢人的專利。不過外國有電腦保安專家發揮自己的職業本領,只需自製 QR 碼便可進入歐洲多個機場的航空公司貴賓室。

不少人每年會去旅行充一充電,但貴賓室這玩意還是有錢人的專利。不過外國有電腦保安專家發揮自己的職業本領,只需自製 QR 碼便可進入歐洲多個機場的航空公司貴賓室。

 

波蘭電腦緊急應對小組(Computer Emergency Response Team)組長 Przemek Jaroszewski 去年在華沙機場因登機證閱讀器出錯而被拒絕進入貴賓室。自此他開始利用自己的職業本領,確保自己不會被貴賓室拒諸門外。最終他製作了一個 Android 程式,只需輸入虛構的姓名,以及航班編號、目的地和客位,便可偽造 QR 碼進入貴賓室。

 

系統只確認航班編號

Jaroszewski 指他在多間航空公司的貴賓室測試,發覺大部分系統不會把 QR 碼的資料與航空公司的售票資料庫對比,只要 QR 碼的航班編號確實存在便可通過。這樣,任何人都可以製作 QR 碼並進出貴賓室,「理論上只需十秒便可製作登機證。」這個發現亦在 Defcon 安全會議匯報。Jaroszewski 不打算把程式碼公開,但他透露程式有約 500 行JavaScript,黑客可輕易製作。

他亦拍下片段,示範怎樣偽造 QR 碼進入伊斯坦布爾機場的土耳其航空貴賓室。只需輸入假名 Bartholomew Simpson 和其他資料後便會產生 QR 碼,貴賓室外的閱讀器亦無法辨認出 QR 碼有異,讓他通過。

Jaroszewski 稱從未試過用這方法擅自進入沒有光顧貴賓室和在免稅店購物,並警告這是犯法行為;他亦指這方法未在歐洲以外的地方測試,更未試過用假名登機。

不過他試過為一個不能使用貴賓室的同行朋友製作 QR 碼,使他們在伊斯坦布爾機場停留的七小時期間享用土耳其航空貴賓室。Jaroszewski 當時對朋友說:「我會給你 QR 碼,如果你想用就用。」

實際上這個方法不會為航空安全構成重大威脅,因為人們離境前仍需接受安檢,如果沒有真的登機證便無法進入機場;唯一的作用只是自由進入貴賓室。

Source : Wired