Transportes Hacker "amigo" expõe falha de segurança na app dos transportes do Porto

Hacker "amigo" expõe falha de segurança na app dos transportes do Porto

A aplicação para substituir o Andante continua a dar problemas. Um jovem engenheiro descobriu vulnerabilidade que permitia ver passwords e debitar viagens de metro, autocarro e comboio nos cartões de outros utilizadores.
Hacker "amigo" expõe falha de segurança na app dos transportes do Porto
Paulo Duarte/Negócios
António Larguesa 29 de outubro de 2018 às 15:15

A aplicação móvel (app) lançada em Junho para viajar nos transportes públicos da Área Metropolitana do Porto foi alvo de um "ataque-amistoso, de elevado grau de sofisticação (muito pouco acessível ao cidadão comum), destinado fundamentalmente a expor uma potencial fragilidade e, como tal, sem consequências funestas", confirmou ao Negócios fonte da TIP – Transportes Intermodais do Porto, contrapondo que "este ataque acabou por abrir a oportunidade de refinar e reforçar os mecanismos internos de segurança".

 

Esta falha de segurança na app Anda foi descoberta por Gustavo Silva, recém-licenciado em Engenharia Informática e de Computação pela Faculdade de Engenharia da Universidade do Porto (FEUP). Numa mensagem enviada ao Negócios, este engenheiro de software da Feedzai – trabalha desde Agosto nesta "fintech", após um estágio de meio ano na Bosch –, frisou que a vulnerabilidade "expunha os dados dos utilizadores, incluindo ‘passwords’ não encriptadas e a possibilidade de viajar com a despesa a ser debitada no cartão bancário de outro utilizador".

 

O problema nesta app, criada para substituir o Andante e facilitar a circulação no metro, autocarros e comboios, foi reportado ao fornecedor logo no início de Julho. E só agora, depois de estar resolvido, é que Gustavo Silva – ele próprio um utilizador dos transportes públicos da Invicta – avançou para a divulgação pública através do seu blogue pessoal, numa publicação em que faz a descrição técnica e ao pormenor do que esteve em causa.

 

"O reforço dos mecanismos internos de segurança foi executado de imediato, logo após a identificação do problema, tendo sido objecto de posteriores aperfeiçoamentos, até 22 de Outubro. Grande parte do tempo que mediou entre a identificação e esta configuração actual teve a ver com os cuidados necessários para implementar e difundir modificações complexas em sistemas em funcionamento ao público", frisou a mesma fonte da TIP – Transportes Intermodais do Porto.

 


Questionada sobre se pode garantir aos utilizadores que estas falhas de segurança não voltarão a acontecer, a entidade responsável por este projecto que custou dois milhões de euros (metade do valor foi coberto pelo fundo ambiental) respondeu que "infelizmente não é possível garantir que algo está resolvido em definitivo". "Tal seria uma atitude perigosa, irrealista e apenas denotaria uma despreocupação com o assunto. Apenas é possível garantir que o cuidado e empenho está sempre presente nestas matérias, e a capacidade de melhorar também", acrescentou.

 

Cada vez menos "Anda-excluídos"

 

Este é apenas mais um episódio que confirma o arranque atribulado da app Anda, lançada no início do Verão passado com a promessa de evitar preocupações com o tipo de viagens a comprar – seja no início do mês ou a cada deslocação –, uma vez que o sistema atribui a cada passageiro o tarifário mais favorável e o pagamento é feito no final do mês, permitindo também consultar o histórico de viagens e os custos associados à conta.

 

Como o Negócios noticiou a 10 de Agosto, nestes primeiros meses deixou vários passageiros "apeados" devido ao mau funcionamento dos equipamentos de validação e também a problemas de compatibilidade em alguns "smartphones", como confirmado nessa altura pelo próprio administrador-delegado da Transportes Intermodais do Porto (TIP), João Marrana.

 

Volvidos quase três meses, a TIP assegura que "tem havido um esforço particularmente elevado neste tema da compatibilização, o que tem contribuído para reduzir muito" os equipamentos "Anda-excluídos". Embora corresponda a "um conjunto muito restrito de modelos, com pequeníssima expressão no mercado nacional", prometeu que em breve será disponibilizada uma lista dos aparelhos incompatíveis.

iPhones sem acesso à aplicação

O desenvolvimento da app Anda para sistemas iOS está dependente da disponibilização, por parte da Apple, de um ambiente de desenvolvimento (SDK) que inclua o acesso ao módulo NFC (Near Field Communication) do "smartphone", que por enquanto é praticamente um exclusivo do ApplePay. As publicações especializadas previam que em Setembro, no "Apple Special Event", poderia finalmente ser aberto o NFC aos programadores, o que não se confirmou. A TIP resumiu que "alguns pequenos avanços aconteceram de Junho para cá, mas ainda não o suficiente para permitir o desenvolvimento integral" desta app para iOS. "É uma situação que está fora do nosso controlo, mas em relação à qual mantemos o optimismo de que em breve irá acontecer", conclui a mesma fonte.




pub