«Così, ingannando EasyRide, si poteva viaggiare gratis sui treni FFS»

Viaggiare gratis con i mezzi di trasporto pubblici svizzeri? Per un po' è stato possibile. No, non stiamo parlando di un'iniziativa filantropica delle Ferrovie federali svizzere, ma di un punto debole riscontrato nella funzione EasyRide, il sistema di biglietteria automatica introdotto nel 2019 che, tramite l'app Mobile FFS, permette ai clienti di pagare il biglietto a fine corsa, in base al tragitto effettuato. Qualche furbetto – evidenzia una nota diffusa oggi dal Politecnico di Zurigo, i cui ricercatori si sono occupati di studiare la questione – avrebbe potuto, teoricamente, manipolare illecitamente il sistema di localizzazione degli smartphone per ingannare l'app dell'ex regia federale e, appunto, viaggiare gratuitamente.

«Prima sali e poi paghi». Check-in, check-out. Il concetto di EasyRide è semplice: al momento di salire su treno, autobus o tram, basta attivare il servizio. Durante il viaggio, l'app trasmette continuamente i dati sulla posizione a un server delle FFS, il quale utilizza questi dati per calcolare il percorso. Alla fine della corsa, all'utente basta un click su Mobile FFS per segnalare la fine del viaggio e ottenere così tariffa e fattura. Il sistema, appunto, è semplice ed efficace: ai controllori basta verificare che l'utente abbia attivato la funzione EasyRide. Un metodo perfetto, se non fosse che un gruppo di ricercatori dell'ETH, guidato dal professore di sicurezza informatica Kaveh Razavi, è riuscito ad aggirarlo. Gli studiosi, si legge nella nota diffusa dal Politecnico, sono stati in grado di alterare uno smartphone in modo che i suoi dati GPS – a cui accede l'app delle FFS – venissero sovrascritti con informazioni di localizzazione false ma dall'aspetto realistico.

L'utente poteva così percorrere grandi distanze sui mezzi pubblici, facendo credere all'app di aver effettuato, invece, solo piccoli spostamenti a piedi. I ricercatori, spiega il Politecnico, «hanno utilizzato due approcci. In un caso, un programma ha generato i dati di localizzazione fasulli direttamente sullo smartphone. Nell'altro caso, lo smartphone è stato collegato a un server che esegue l'app FFS. Questo server ha generato dati di localizzazione falsi e ha trasmesso il codice QR EasyRide allo smartphone». Un trucco, alla prova pratica, in grado di ingannare i controllori. I ricercatori dell'ETH hanno infatti più volte testato lo smartphone appositamente modificato su una tratta che collega Zurigo a una non meglio specificata «capitale di un cantone vicino». Ai controllori è stato quindi mostrato il codice QR creato con EasyRide: «Non hanno notato nulla». Una volta scesi dai mezzi, ai ricercatori è bastato fare check-out: ingannata dal percorso fasullo, l'app ha fatturato un saldo nullo.

D'accordo, ma in quanti sarebbero in grado di applicare un simile trucco? Il comunicato non azzarda stime sul numero di malintenzionati che potrebbe, sin qui, aver utilizzato questo sistema per truffare le FFS e viaggiare gratis. Ma benché un ipotetico truffatore debba avere conoscenze specialistiche per manipolare in questo modo il proprio smartphone, spiega il prof. Razavi nel comunicato, «le competenze necessarie sono comuni tra gli studenti che conseguono una laurea in informatica. Con la giusta dose di ambizione criminale, sarebbe persino possibile offrire un programma per smartphone abbinato a un servizio online per fornire agli imbroglioni privi delle necessarie competenze informatiche dati di localizzazione falsi ma plausibili».

«La verità di fondo è che i dati di localizzazione degli smartphone possono essere manipolati e non ci si può fidare del tutto», ha spiegato Michele Marazzi, dottorando del gruppo di Razavi. «Quindi, gli sviluppatori di app non dovrebbero considerare questi dati come affidabili. È questo che volevamo che il nostro progetto mettesse in evidenza».

Messaggio ricevuto, forte e chiaro. Informate le FFS della vulnerabilità riscontrata nella funzione EasyRide, nel corso dell'ultimo anno, i ricercatori dell'ETH si sono tenuti in contatto con gli esperti dell'azienda per trovare soluzioni che rendessero più sicura la funzione dell'app Mobile. In teoria, le strade percorribili erano due: «Verificare i dati di localizzazione utilizzando notifiche di posizionamento affidabili (ad esempio dati forniti dal veicolo stesso o dal dispositivo mobile del controllore), o progettare gli smartphone in modo dare rendere più difficile la manipolazione». Per ovvie ragioni, il secondo approccio è più complicato: si tratta di coinvolgere gli sviluppatori di hardware e sistemi operativi per smartphone e convincerli a implementare un nuovo tipo di tecnologia di localizzazione a prova di manomissione. «Ma fino a quando ciò non avverrà, tutti i servizi che sono obbligati a fare affidamento sulle informazioni di localizzazione fornite dagli smartphone non avranno altra scelta se non quella di verificare al meglio questi dati utilizzando una fonte affidabile di dati di localizzazione», ha spiegato il professor Razavi. 

Il problema, dunque, è stato risolto e oggi utilizzare la funzione EasyRide in combinazione con dati di localizzazione manipolati non è più così semplice. Le FFS, si legge nel comunicato, hanno infatti migliorato la verifica dei dati di localizzazione trasmessi al server: i casi di manipolazione vengono ora individuati a posteriori e i trasgressori vengono perseguiti.