Nep-instapkaarten in Passbook = gratis vliegen?

Zo zou je gratis in het vliegtuig kunnen stappen: door fake instapkaarten in Apple's Passbook aan te maken.

Heeft de 18-jarige informatica-student Anthony Hariton (@DaKnObCS) hier een serieus beveiligingsprobleem op vliegvelden ontdekt? Hij heeft een methode ontwikkeld om zelf nagemaakte digitale instapkaarten in Apple's Passbook-app op te slaan. Op veel vliegvelden kan je Passbook gebruiken voor je virtuele boardingpasses, waarbij de barcodescanner bij de gate je iPhone-scherm scant.

Geen ticket gekocht, toch vliegtuig in?

Volgens Hariton checken sommige scanners bij de gates op luchthavens alleen of de barcode legitiem is en zijn ze niet gekoppeld aan de actuele passagiersdata van de vliegmaatschappij. De enige hindernis die je dan nog hoeft te nemen voor een 'gratis vlucht' is dus een geldige barcode aanmaken. Hariton zegt dat dat kan met een combinatie van trucjes met CSS en Javascript en de API voor Passbook. Zo maakt hij een ticket waarvoor hij nooit heeft betaald: gratis reizen.

Althans, als je geluk hebt. Als ze wel bij de gate je identiteit vergelijken met e passagierslijst, ben je 'busted'. En op volgeboekte vluchten werkt dit natuurlijk ook niet, want dan valt het op dat er een passagier te veel is. Ook als de stewardessen aan boord opletten en de stoelen van de passagiers checken met de tickets, dan zouden ze de extra reiziger moeten opmerken. De methode van Hariton werkt alleen als je met louter handbagage reist.

Presentatie eind mei

We hebben Hariton gemaild, maar hij wil niet kwijt of hij zelf al op deze manier heeft gevlogen. Hij verwijst naar een presentatie die hij eind mei geeft op het Amsterdamse hackerscongres Hack In The Box. Wel zegt hij dat Apple niets aan zijn methode zou kunnen doen, zelfs al zou het bedrijf willen. En dat hij goede bedoelingen heeft. "Ik ben dit gestart omdat ik me zorgen maak over veiligheid."