Эксперт по безопасности Игорь Шевцов изучил на наличие уязвимостей «Тройку» — электронную карту, используемую для оплаты проезда на общественном транспорте Москвы. В результате программист выявил в системе «дыру», которая позволила ему пополнять баланс кошелька без внесения денег, бесплатно ездить в метро и автобусах, а также пользоваться другими услугами (проходить в зоопарк, на каток, арендовать велосипеды и т.д.).

Ни к каким специальным техническим средствам разработчик не прибегал. Все, что потребовалось ему для взлома «Тройки» — это дешевый Android-смартфон и компьютер. Воспользовавшись методом обратного инжиниринга (когда хакеры воссоздают алгоритмы, пытаясь понять принцип работы программы), Шевцов декомпилировал APK-файл мобильного приложения «Мой проездной», которое позволяет напрямую пополнять карту с помощью смартфона с функцией NFC.

Так, хакер сумел получить доступ к памяти карты и изучить структуру хранения данных. Проанализировав исходный код, Шевцов обнаружил возможность производить запись в память «Тройки» без внесения на насчет реальных средств. «Несмотря на применяемые системы защиты, такие как ключи доступа к карте и криптографическая подпись в секторе электронного кошелька, подделка баланса оказалась возможна», — написал программист.

Результатом его исследования стала разработка приложения TroikaDumper, которое позволяет эксплуатировать уязвимости системы электронного кошелька и подделывать баланс. Эту программу Шевцов выложил в открытый доступ, предупредив, что предназначена она исключительно в целях ознакомления, а подделка проездных билетов является уголовным преступлением и преследуется по закону.