2017/06/13

Cartão Andante deixa viajar de borla com gravação feita pelo smartphone


Há milhares de pessoas a viajar sem pagar nos transportes públicos do Porto, regravando continuamente o seu cartão Andante de modo a que esteja sempre carregado... mas sem pagar por isso.

O cartão Andante veio tornar as viagens nos transportes públicos mais práticas, com a sua tecnologia wireless, mas parece que o sistema usado sofre do mesmo mal que já afectou diversas cidades doutros países: uma vulnerabilidade que permite que o cartão seja "recarregado" usando-se uma app no smartphone.

O processo, descrito por um adolescente que recorre a esta táctica, é simples. Basta fazer uma cópia inicial do cartão enquanto este ainda tem créditos para gastar, usando-se um vulgar smartphone com NFC, e posteriormente poderá repor-se essa cópia no cartão após ter sido utilizado para algumas viagens, permitindo utilizá-lo para tantas viagens quantas se queiram... à custa de um único carregamento.

Confesso que não compreendo como é que por cá ainda se permite uma vulnerabilidade como esta, que ainda por cima já é conhecida há mais de meia década noutras cidades que usam sistemas idênticos. Mas também é verdade que o caso não será desconhecido, pois no início do ano começaram a trocar-se os cartões por outros mais modernos, sendo referido que já tinham sido detectadas situações de clonagem dos cartões.


Estes novos cartões vêm com segurança acrescida e um prazo de validade que tentará evitar que possam ser usados de forma continuada como os anteriores cartões... mas ao que parece, não têm segurança suficiente para evitar que se continuem a fazer viagens de graça.

... Talvez quando trocarem novamente de cartões o problema fique resolvido... ou não.

50 comentários:

  1. sinceramente já tinha ouvido falar da app em 2013-2014, mas nunca a encontrei..

    alguém sabe onde encontrar??

    ResponderEliminar
    Respostas
    1. A app usada para este efeito era a UltraReset mas não encontras na loja da Google. Mas usa o Google para encontrar.

      Eliminar
  2. Como é que isto é possível?
    Eu pensava que o cartão ao passar no leitor ia validar a uma base de dados central se o mesmo era valido ou não, isto quer dizer que os dados estão somente no cartão?

    Que amadorismo.

    ResponderEliminar
    Respostas
    1. Óbvio. Se calhar, se cavarmos um bocado, percebemos porque é que não havia interesse em privatizar.. como é que um gestor público deixa instalar um sistema novo, que custa uma fortuna, com problemas de segurança conhecidos há anos??? Ou é incompetência ou..

      Eliminar
  3. nao acredito que milhares utilizem isto.

    Estou farto de pesquisar em varios sites e não encontro nada. Encontro varios dummy sites com apk perigosas..

    ResponderEliminar
    Respostas
    1. Nalguns smartphones nem precisas de apps extra, a que vem com o sistema para ler/gravar NFC já trata do assunto.

      Eliminar
    2. exactamente!!! E'muito fácil clonar o andante!!!

      Eliminar
    3. Qual APP de sistema? Tentei ler cartões andante com o NFC tools e nada, testei com 3 dispositivos Android diferentes com o 7.1.2

      Eliminar
  4. Não sei como é que conseguir comunicar por NFC com uma máquina é considerada uma falha, dado que ninguém consegue tirar partido da mesma.

    Em nenhum momento um atacante vai conseguir viajar de forma válida com este mecanismo. É exigido um andante válido caso haja uma operação de fiscalização.

    Lembrem-se que ao contrário de outras redes, o acesso às carruagens é livre na rede da metro do Porto.

    ResponderEliminar
    Respostas
    1. E continuas a ter um Andante válido... fica é permanentemente válido (quando se esgota recarregas directamente do smartphone sem pagar por isso).

      Eliminar
  5. @CoimbraSpecialOne usa a Aptoide se quiseres usar a app. Podes encontrar a app lá chama-se ultracardtester.

    ResponderEliminar
  6. Olá podes encontrar aqui
    https://apk-s.com/com.intrepidus.ultracardtester/4917728-ultracardtester/

    já instalei em dois android mas não funciona!
    Aguém sabe como por a funcionar?

    ResponderEliminar
  7. Este comentário foi removido pelo autor.

    ResponderEliminar
    Respostas
    1. também existe este

      https://play.google.com/store/apps/details?id=net.peterme.mifareultralightcardresetter

      Eliminar
  8. @loliveira instalei o programa, clico na aplicação e passo o cartão para ler e não acontece nada.

    ResponderEliminar
  9. Não percebo a utilidade desta app...
    No caso de haver fiscalização não te vão aceitar a app.
    Portanto usar a app é uma cena psicológica, é a mesma coisa que viajar sem bilhete...

    ResponderEliminar
    Respostas
    1. Continuas a usar o Andante. A app só serve para repor o Andante com viagens, sem pagar.

      Eliminar
    2. não queres perceber, pois não? pode aparecer o fiscar, le o andante e dá ok, pq, no fundo, é valido.. alguem se "esqueceu" de validar as cargas/gastos num backend...

      Eliminar
  10. Testei a deu. mas paguei 1 viagem e usei 1 viagem. tomei uma atitude ética. agora cabe à metro do porto saber como resolver isto.

    ResponderEliminar
  11. Sugiro um teste a quem anda a roubar as empresas de transporte: Quando o patrão ou os clientes dessas pessoas forem paga-los, que o façam com dinheiro falso ou com depósitos de envelopes vazios. Com certeza não ficarão chateados afinal se o metro não precisa ser pago, os vossos salários e serviços também não.

    ResponderEliminar
    Respostas
    1. Ninguem está a dizer que isto se deve fazer. o que o Carlos fez foi expor o problema, que já é do conhecimento do "sub mundo" há meses, para obrigar as entidades a, mais não seja com a vergonha da exposição publica, corrigirem. E teve o cuidado de (ou contrário de outros aqui..) não revelar as apps nem os detalhes do metodo..

      Eliminar
    2. Várias pessoas estão a dizer que isto se deve fazer, não o Carlos que só alertou para o bug e explicou o seu funcionamento, mas se olharmos os comentários o que mais temos são "artistas" a quererem roubar as empresas de transporte. Sim, pois se um chocolate ou um bilhete de metro não são pagos eles estão a ser roubados.

      Eliminar
    3. Roubados estamos a ser nós contribuintes que financiamos estes projectos que custão milhões e que são feitos por amadores amigos dos nosso (des)governantes.
      Deviam ser apuradas responsabilidades e os prejuízos do metro do porto incutidas nessas pessoas.

      Eliminar
    4. Obviamente que um roubo não justifica o outro, ou estamos a viver no Velho Oeste? E o que dizer dos moradores da província que pagam as obras faraónicas construídas em Lisboa e no Porto? Estes também devem ir ao Porto receber seu quinhão de viagens "grátis"? Não se enganem, deixar de pagar por algo é roubo, seja um bem ou um serviço.

      Eliminar
    5. Não estamos a viver no velho oeste mas é parecido se não pior ;)

      Por vezes temos que ser nós os espertos não só quem está lá no poleiro.

      Eliminar
    6. Realmente há quem não tenha noção do que realmente é ser roubado. :-D

      Eliminar
  12. NFC do nexus 5x grande banhada

    ResponderEliminar
  13. isto é, num fundo, um escândalo. e deve ser exposto ao máximo. para os gestores publicos que temos serem envergonhados. é que somos nós que no fim do dia, pagamos a conta (incluindo as regalias para eles fazerem os trabalho.. que não fazem)

    ResponderEliminar
  14. Podem resolver este problema facilmente atualizando os cartões para Mifare Ultralight C, que adiciona uma camada de autenticação. Nem sequer precisam de substituir o sistema atual. Todas as empresas foram aconselhadas em 2008 a atualizarem para Mifare Ultralight C, precisamente por causa desta situação.

    ResponderEliminar
    Respostas
    1. lá está.. 2008. agora expliquem me porque é que uma empresa publica compra em 2016/2017 um sistema dado como "morto" em 2008? quem decidiu isto? será que houve... "contrapartidas"? Publiquem-se os nomes dos responsáveis! e de quem os nomeou, se tinham perfil para, etc. enquanto cidadão temos que ter mais atitude civica

      Eliminar
  15. http://observador.pt/2017/06/13/fraude-app-do-telemovel-permite-viajar-sem-pagar-nos-transportes-do-porto/

    ResponderEliminar
  16. é só psicológico, porque as máquinas dos fiscais conseguem detetar a tramóia

    ResponderEliminar
    Respostas
    1. Pois. Tb fiquei a pensar como é que as máquinas dos fiscais conseguiriam detectar isto.. Só só ligasse a um sistema central, e mesmo assim...

      Eliminar
  17. E as maquinas da fiscalizacao nao estao preparadas para detetar a fraude?

    ResponderEliminar
    Respostas
    1. Não porque não existe qq controlo sobre a viagem que é carregada e nada que garanta que é única! Cada viagem carregada fica apenas registada no cartão.
      Ao validar suponho que apenas altere o estado da viagem e acrescente alguns registos (data e hora de validação). Que deve ser o que é lido pela maquina de fiscalização!
      Quase de certeza que estas máquinas não comunicam com um sistema central.

      Eliminar
  18. E o aadm já aparece referenciado no jn...
    😉

    http://www.jn.pt/local/noticias/porto/porto/interior/aplicacao-permite-carregar-ilegalmente-andante-sem-pagar

    ResponderEliminar
  19. Tudo isto foi feito pelos Técnicos Especialistas em Tranportes. É uma verdadeira aberraçåo desde preços diferentes na ida e na volta,e máquinas automáticas obsoletas. É urgente que o Governo tome medidas. Assim como na AMTP

    ResponderEliminar
  20. Mais prejuízos a somar ao custo astronómico para os contribuintes com o pior swap de sempre assinado entre o metro do Porto e o Santander.

    ResponderEliminar
  21. Este comentário foi removido pelo autor.

    ResponderEliminar
    Respostas
    1. O que havia a ser dito, foi dito. e por aqui ninguém incentiva ninguém a fazer ilegalidades. O objecto era expor uma falha, imbecil, de segurança, de um sistema publico e por nós pago, para fazer com que as entidades a corrijam e saibam que estamos alertas. Dai para a frente... cada um sabe de si. Não vou andar de transportes hoje, mas se andasse, pagaria o meu bilhete...

      Eliminar
  22. Este comentário foi removido pelo autor.

    ResponderEliminar
  23. Este comentário foi removido pelo autor.

    ResponderEliminar
  24. Sim é verdade.. Saquei um APK e de facto funcionou numa senha andante que carreguei um título do qual fiz tag e gravei. Utilizei cerca de 10 vezes sempre com sucesso (tanto no metro como em autocarros da STCP). Fiz o mesmo noutra senha e hoje validei numa máquina do metro e apareceu cartão inválido. Concluo então que aleatoriamente eles detetaram a fraude, pois devem ter feito recolha de dados e consequentemente ao cruzar se a informação verificaram a anomalia certo?

    ResponderEliminar
    Respostas
    1. Acho que cada cópia é derivada do UID do cartão que é a única parte que não da para alterar, ou entao a máquina faz um check qlqr para ver se pertence àquele UID aquela informação há bastantes hipóteses mas, independentemente e resumindo:

      Uma copia de um cartão só pode ser restaurada para esse mesmo cartao.

      Eliminar
  25. Acho que eles agoram detetam as senhas falsas . Eu hoje passei a senha e a maquina ficou com o ecrã todo preto e dps dize umas coisas que nao consegui ler . E o andante não ficou validado. Nos autocarros ainda dá mas não vai demorar muito tempo até eles fazerem a mesma coisa nos autocarros ...

    ResponderEliminar
  26. Eles corigiram isso no metro , as senhas falsas ja não dão para validar . Mas no autocarro ainda da para validar...

    ResponderEliminar