Przemek Jaroszewski es el jefe del equipo de preparación para emergencias informáticas en Polonia. Su trabajo requiere que viaje entre 50 y 80 veces al año. Los frecuentes viajes aéreos lo han convertido en un especialista de las salas VIP premium de las aerolíneas. Su favorito personal es el salón de Estambul de Turkish Airlines que ofrece un cine, una panadería de manjares turcos y masajes gratuitos.
El año pasado, un lector automático de tarjetas de embarque le negó por error la entrada en la sala de élite del aeropuerto de Varsovia. Jaroszewski usó su instinto de hacker y creó una aplicación para asegurarse de que nunca más se le impidiera volver a aprovechar los privilegios del lounge de alta gama.
Jaroszewski demostró cómo su aplicación permite evitar salones de élite pasados en la conferencia Defcon en Las Vegas. Puede acceder fácilmente a las tiendas libres de impuestos y omitir virtualmente las listas de exclusión aérea con la ayuda de una tarjeta de embarque falsa hecha con un truco terriblemente simple.
Jaroszewski dice que las tarjetas de embarque son sorprendentemente inseguras:
“Efectivamente, estamos lidiando con cadenas simples de caracteres sin encriptar que contienen toda la información necesaria para decidir sobre nuestra elegibilidad para el acceso rápido al carril, compras libres de impuestos y más. . . “
En una entrevista con Wired, dijo que su aplicación tarda solo 10 segundos en crear una tarjeta de embarque falsa. Aquí está el video de YouTube que demuestra el hack:
La Asociación Internacional de Viajes Aéreos declaró que las aerolíneas son responsables de la seguridad de sus salas VIP, y que el truco no es suficiente para que cualquiera pueda ingresar a un aeropuerto sin un boleto real, y mucho menos volar. Los viajeros tienen que someterse a una inspección física en la entrada del aeropuerto, mientras que las salas de las líneas aéreas a menudo están automatizadas, por ejemplo, las dirigidas por Jaroszewski. Aún así, es bastante inquietante que cualquier parte de la seguridad de la aerolínea pueda ser tan porosa y fácil de descifrar.
En el lado positivo, Jaroszewski no está lanzando su aplicación de falsificación de código QR para el público. Él dice que no quiere una redada e investigación del FBI como la que se lanzó contra Chris Soghoian por su lanzamiento de una aplicación similar hace aproximadamente una década. Pero él ya se ha pronunciado sobre la seguridad del salón del aeropuerto. También dijo que la herramienta de piratería es solo 500 líneas de javascript y será muy fácil de replicar para los otros hackers.
Solo un poco de codificación puede llevarlo a lugares, como los salones de aerolíneas de élite en todo el mundo.