I ricercatori hanno superato la funzione Easyride delle FFS

- EN- DE- FR- IT
 (Immagine: Pixabay CC0)
(Immagine: Pixabay CC0)
Gli esperimenti condotti dai ricercatori di sicurezza informatica del Politecnico di Zurigo hanno dimostrato che gli smartphone possono essere manipolati per viaggiare gratuitamente in treno in Svizzera. Gli scienziati presentano anche dei modi per arginare questo uso improprio.

La funzione Easyride dell’appp delle FFS semplifica gli spostamenti in treno, autobus e tram: invece di acquistare un biglietto tradizionale, gli utenti iniziano il loro viaggio con uno swipe sullo smartphone. Al termine del viaggio, si passa di nuovo il dito sullo smartphone per effettuare il check-out. Un codice QR visualizzato sullo smartphone funge da biglietto. Esso conferma a un controllore che la funzione Easyride è stata attivata. Durante il viaggio, l’app invia continuamente dati sulla posizione a un server delle FFS. Il server utilizza questi dati per calcolare la distanza percorsa e le FFS addebitano all’utente il costo del viaggio.

Easyride è in uso in tutta la Svizzera dal 2018. L’anno scorso, tuttavia, i ricercatori sono riusciti a ingannare il sistema. La funzione Easyride si basa sui dati di localizzazione dello smartphone. Tuttavia, gli utenti con conoscenze specifiche possono manipolare questi dati. Secondo le FFS, una simile frode verrebbe riconosciuta oggi.

L’ispettore non ha notato nulla

Un anno fa le cose erano diverse: i ricercatori e gli studenti del gruppo di Kaveh Razavi, professore di sicurezza informatica al Politecnico di Zurigo, sospettavano che la funzione Easyride potesse essere aggirata e l’hanno messa alla prova. Hanno modificato gli smartphone in modo che i dati di localizzazione GPS - a cui accede l’app FFS - venissero sovrascritti con informazioni di localizzazione false ma dall’aspetto realistico. Questi dati facevano sembrare che l’utente stesse viaggiando solo in uno spazio ristretto di una città senza utilizzare i trasporti pubblici.

I ricercatori hanno utilizzato due approcci: In un caso, un programma ha generato i dati di localizzazione fasulli direttamente sullo smartphone. Nell’altro caso, lo smartphone è stato collegato a un server che esegue l’app FFS. Questo server ha generato i dati di localizzazione fasulli e ha trasmesso il codice QR Easyride allo smartphone.

"I dati di localizzazione di uno smartphone possono essere manipolati e non ci si può fidare".


I ricercatori hanno testato lo smartphone che avevano preparato su diversi viaggi in treno da Zurigo alla capitale di un cantone vicino. La frode non è stata notata durante il controllo dei biglietti sul treno, né gli utenti fraudolenti sono stati contattati dalle FFS in seguito. Le FFS hanno invece calcolato i costi dei piccoli spostamenti falsificati, per i quali non è stato utilizzato alcun mezzo di trasporto pubblico. In altre parole, i ricercatori hanno potuto viaggiare gratuitamente con Easyride. Sottolineano di aver sempre avuto con sé un biglietto valido durante tutti i test. Tuttavia, hanno mostrato al controllore il codice QR di Easyride.

Idati sulla posizione non sono affidabili

Per manipolare il proprio smartphone è necessaria una certa esperienza. Ma questa è una conoscenza che gli studenti di informatica hanno già a livello di laurea triennale, dice Razavi. Con la giusta energia criminale, sarebbe persino possibile offrire un programma per smartphone e un servizio online per fornire ai truffatori senza conoscenze informatiche dati di localizzazione falsi ma plausibili.

"Il fatto fondamentale è che i dati di localizzazione di uno smartphone possono essere manipolati e non ci si può fidare", afferma Michele Marazzi, dottorando del gruppo di Razavi. "Gli sviluppatori di app non dovrebbero quindi trattarli come dati affidabili. Con il nostro lavoro volevamo attirare l’attenzione su questo aspetto". Se i dati relativi all’ubicazione vengono utilizzati per calcolare e fatturare un servizio, come nel caso dell’app delle FFS, è necessario tenerne maggiormente conto.

Confronto con dati affidabili

I ricercatori propongono due approcci per risolvere il problema: O i dati di localizzazione devono essere verificati con rapporti di localizzazione affidabili, oppure la posizione dello smartphone deve essere modificata in modo sostanziale per rendere molto più difficile la manipolazione. Nel primo approccio, sarebbe possibile, ad esempio, confrontare le informazioni trasmesse dallo smartphone di un utente con i dati di localizzazione di cui si fida un’azienda di trasporti, come quelli di un veicolo o del dispositivo mobile di un ispettore.

Il secondo approccio è più difficile. Dovrebbe riunire gli sviluppatori di hardware e sistemi operativi per smartphone e convincerli a sviluppare un nuovo tipo di tecnologia di localizzazione a prova di manomissione. "Finché ciò non avverrà, chiunque debba fare affidamento sulle informazioni di localizzazione fornite dagli smartphone non avrà altra scelta se non quella di verificarle al meglio con una fonte di dati di localizzazione affidabile", afferma il professor Razavi dell’ETH.

I ricercatori hanno informato le FFS della vulnerabilità della funzione Easyride e sono stati in contatto con i loro esperti nel corso dell’ultimo anno. Hanno inoltre presentato loro delle soluzioni che possono essere utilizzate per aumentare la sicurezza della funzione.

Le FFS sottolineano che l’utilizzo della funzione Easyride con dati di localizzazione manipolati costituisce un reato. Secondo le proprie informazioni, le FFS hanno migliorato la verifica dei dati di localizzazione trasmessi al server in seguito alle conclusioni del team di ricerca dell’ETH. Secondo le FFS, le manipolazioni vengono ora riconosciute a posteriori e segnalate. Per motivi di sicurezza, le FFS non rendono note le modalità esatte di esecuzione dei controlli.

Riferimenti bibliografici

Marazzi M, Jattke P, Zibung J, Razavi K: Pay Ride: Secure Transport e-Ticketing with Untrusted Smartphone Location, 15 maggio 2024
Fabio Bergamin