Volgens Anthony Hariton (@DaKnObCS) is het mogelijk om fake instapkaarten in Apple's Passbook-app in te laden om zo (te proberen) toegang te krijgen tot vluchten in Europa. De 18-jarige Hariton heeft hiervan een preview gegeven aan het security-tijdschrift SC Magazine.

Scanners bij de gate

De boardingpasses zijn met eenvoudige CSS- en Javascript-trucjes aan te maken en in de app te laden door een API te gebruiken. Volgens Hariton hebben veel scanners bij de gate op het vliegveld geen directe toegang tot de database met passagiersgegevens van de vliegmaatschappijen. Daardoor zou misbruik pas worden ontdekt als de vlucht is volgeboekt en er een passagier te veel aan boord is.

In de praktijk?

De International Air Transport Association stelt in een reactie dat scanners bij de gate de gegevens op de boardingpass wél zouden moeten vergelijken met een passagierslijst. "Na de invoering van barcodes op de boardingpass is dit controleproces bij de gate geautomatiseerd", aldus een woordvoerder. Volgens Hariton is dit niet (altijd) waar en wordt vaak alleen de barcode gecheckt.

Hij stelt dat je op deze methode een van de lege stoelen in het vliegtuig kan opzoeken. Hij wil desgevraagd niet zeggen of hij dat ook al in de praktijk heeft gebracht. Stewards in het vliegtuig zouden bij een controle van de passagiers voor vertrek ook onraad kunnen ruiken. Het scenario dat Hariton schetst zou alleen werken als je met louter handbagage reist.

Presentatie in Amsterdam

Hariton geeft op 29 mei tijdens Hack In The Box in Amsterdam een presentatie over zijn onderzoek naar digitale instapkaarten. De titel van zijn lezing is 'Exploiting Passbook to Fly for Free'. Zijn methode werkt behalve met softwaretrucs ook met social engineering, stelt hij.

Hariton laat Webwereld weten zijn onderzoek te zijn gestart 'omdat hij bezorgd is over security'. Hij heeft geen speciale tool ontwikkeld om de fake instapkaarten te maken, maar gebruikt een combinatie van bestaande technieken. Apple kan volgens hem met aanpassingen in Passbook het misbruik niet voorkomen.