Przemek Jaroszewski é mais do que um polonês de nome impronunciável. Como chefe da equipe de Respostas de Emergência em Computadores do país (órgão que, entre outras funções, controla o domínio .pl), ele é um especialista em tecnologia. Esse conhecimento foi usado ao seu favor, permitindo a ele criar um aplicativo capaz de burlar restrições em aeroportos.
Como alguém no seu status, ele precisa fazer muitas viagens (entre 50 a 80 por ano), e por isso ganhou o benefício de acessar as áreas VIPs das empresas aéreas em aeroportos. Um dia, no entanto, um leitor de QR Code defeituoso impediu sua entrada dessas áreas em Varsóvia. Foi quando ele decidiu que não deixaria mais isso acontecer, e criaria seu próprio app que garantiria sua entrada.
O aplicativo de Android que ele criou falsifica um QR Code imitando um cartão de embarque para qualquer nome, número de voo, destino e classe. Ele já usou o app algumas vezes e confirmou que nenhum dos leitores faz a verificação no banco de dados de passagens das empresas aéreas, o que significa que ele tem acesso liberado a qualquer área do aeroporto mesmo sem ter comprado uma passagem. É uma falha grave de segurança que permitiria que qualquer pessoa com o mesmo conhecimento e intenções muito piores poderia entrar na área de embarque de um aeroporto, e possivelmente até dentro de um avião.
Jaroszewski não é um criminoso, no entanto, e sim um hacker. Ele fez o app para provar um ponto, e não para conseguir voar gratuitamente, ou para acessar áreas VIPs às quais ele não tinha realmente o direito, nem para adquirir produtos nos free-shops antes de fazer viagens internacionais, então tecnicamente ele não fez nada de ilegal.
Ele irá apresentar suas descobertas na conferência Defcon, que acontece em Las Vegas, para explicar como a segurança das passagens de avião ainda não evoluiu nos últimos 13 anos (desde 2003 há o conhecimento de como se falsificar passagens), e a situação só piorou com a utilização dos QR Codes.
O vídeo abaixo mostra como ele fez para criar credenciais falsas com seu app no nome falso de Bartholomew Simpson (o nome completo de Bart Simpson). Também mostra ele usando esse código falso para entrar na área VIP da Turkish Airlines em Istambul.
Ele diz nunca ter tido problemas em nenhum aeroporto, mas admite que só o testou em aeroportos europeus, e a segurança pode ser diferente em outras regiões. Ele também diz que não vai publicar o app, para evitar problemas judiciais, mas diz ser muito fácil para outros hackers motivados fazerem o mesmo.
Se há algum fator reconfortante na situação, é o fato de que o código falso dá acesso indevido à área de embarque, mas ainda é necessário passar por detectores de metais e revistas para entrar nessa área, o que dificulta bastante um ataque usando a técnica. Mas é mais uma brecha que pode ser utilizada indevidamente.