SvizzeraRicercatori dell'ETH sfruttano una falla nell'App FFS e viaggiano gratis
pl, ats
15.5.2024 - 14:27
Ricercatori dell'ETH di Zurigo sono riusciti a ingannare la funzione Easyride dell'app delle FFS e hanno viaggiato in treno gratuitamente. Hanno sfruttato una falla informatica che è stata nel frattempo eliminata.
15.05.2024, 14:27
SDA
Per il loro esperimento i ricercatori in sicurezza informatica hanno manipolato i dati di localizzazione di uno smartphone, indica oggi in una nota il Politecnico federale di Zurigo (ETH Zurigo).
Si tratta di una manipolazione che richiede conoscenze specialistiche: conoscenze che tuttavia gli studenti di informatica hanno già a livello di laurea triennale, si precisa nella nota.
La funzione Easyride permette ai passeggeri di effettuare il check-in tramite l'app delle FFS quando si sale su un treno e il check-out quando si scende. L'app determina il percorso effettuato in base ai dati di geolocalizzazione e calcola il costo del biglietto.
«La geolocalizzazione può essere manipolata»
I ricercatori hanno testato uno smartphone appositamente preparato su diversi viaggi in treno da Zurigo al capoluogo di un cantone vicino. Invece del tragitto effettivo, la app ha calcolato i costi di piccoli spostamenti per i quali non è stato utilizzato alcun mezzo di trasporto pubblico. La truffa non è stata notata né dal controllore dei biglietti sul treno e nemmeno successivamente dalle FFS, precisa la nota.
«Il dato fondamentale è che i dati di geolocalizzazione di uno smartphone possono essere manipolati e non ci si può quindi fidare», afferma citato nella nota Michele Marazzi, uno dei ricercatori coinvolti nell'esperimento.
Il trucco non funziona più
Da notare che durante il test i ricercatori avevano con sé un biglietto valido. L'utilizzo della funzione Easyride con dati di localizzazione manipolati è infatti un reato, precisa ancora la nota.
Gli informatici dell'ETH hanno informato le FFS della presenza della falla nella funzione Easyride. Il trucco oggi non funzionerebbe e simili manipolazioni vengono ora riconosciute a posteriori e segnalate alla polizia, hanno fatto sapere le FFS. Per motivi di sicurezza le FFS non rendono peraltro note le modalità esatte con cui vengono effettuati i controlli.