Saldo opvragen met smartfoon

Wat voor smartfoon gebruik je?

"Izak van Langevelde" schreef in bericht news: snipped-for-privacy@news.xsall.nl...

A smart one, smart ass

Met de juiste app. NFC is gebaseerd op de Mifare techniek die ook door de OV chipkaart wordt gebruikt.

Nou... Als ik op een computer een bestand *technisch* kan lezen (de bitjes dus), wil dat nog helemaal niet zeggen dat ik het ook

-p

Galaxy S4.

De Mifare 'versleuteling' is een wachtwoord van 16 bits. Van de OV chipkaart is dat ondertussen bekend. Iemand heeft de software om een OV chipkaart te 'kraken' ondertussen vast wel geschikt gemaakt (geport) voor Android.

Nou, vertel jij dan maar eens waar ik daar het antwoord op mijn vraag kan vinden.

Je saldo uitlezen kan vaak wel zonder encryptie. Bijvoorbeeld bij de "chipknip" is dat zondermeer mogelijk. Wellicht bij de OV-chipkaart ook.

Je saldo aanpassen is uiteraard een ander verhaal...

Dat klopt, maar het is verder niet relevant. Als iemand vraagt of je met een smartphone met NFC-chiplezer een ovc kunt uitlezen, dan mag je er redelijkerwijs van uitgaan dat bedoeld wordt "met een legale app", niet met kraaksoftware.

-p

Daar heb je een punt. Maar het is/blijft dan inderdaad nog maar de vraag of dat voor de ovc ook geldt. Bovendien wil ja, als je dan toch bezig bent, ook andere nuttige informatie op de ovc willen kunnen uitlezen, zoals welke reisproducten erop staan en tot hoe lang elk reisproduct geldig is.

-p

Geweldig. Dat is hetzelfde als

-p

Dat gaat waarschijnlijk niet lukken, daarbij meen ik me te herinneren dat die kraaksoftware lappen data kopieert, zonder te hoeven weten wat voor informatie het betreft, dus deze is niet zomaar aan te passen om het saldo uit te lezen. Bestaande legale apps die informatie over een ov chipkaart geven, doen dit door informatie van de betreffende website te plukken, dit gaat dus niet direct per nfc vanaf de kaart.

Waarmee dus feitelijk de vraag van OP met "nee" moet worden beantwoord. Echter:

Da's nogal wiedes, want hoeveel smartphones met nfc zijn er uberhaupt al? De grote massa van die dingen heeft nog geen nfc, dus er is sowieso al nog geen markt voor ovc-uitlezende apps.

De hamvraag is echter of zo'n app uberhaupt legaal gemaakt kan worden. Dat zou heel goed kunnen, maar het lijkt me hoogst waarschijnlijk dat Translink daar dan toestemming voor zou moeten geven. En dan zou het er waarschijnlijk op neerkomen dat TLS zelf met zo'n app zou komen. En dan nog is het een open vraag of die app ook (read-only) toegang krijgt tot de vervoerders-specifieke gedeelten van de ovc.

-p

Klopt.

De Nederlandse markt is toch al klein...

Gezien het gebezigde 'beveiligings-principe' van 'security through obscurity' zal TLS niet het risico willen lopen dat een dergelijke app reverse engineered gaat worden. Er is nooit grondig nagedacht over de ov chipkaart, ik verwacht niet dat het ding ooit zinnig gebruikt zal kunnen worden op een andere manier dan de enge toepassing waarvoor het bedacht is...

Zolang de app het saldo niet aanpast is er niets illegaals aan. Er hoeft niets gekraakt te worden. Mifare werkt namelijk ontzettend simpel; als je het 'wachtwoord' weet, dan kun je de data uitlezen.

Net zoiets als eindexamens kopiëren: als je de sleutel van de kluis hebt, dan kan je dat gewoon doen, daar is niks illegaals aan?

Wel degelijk, en je geeft zelf al aan waarom:

Maar dat 'wachtwoord' weet je niet. En daar kun je uit legale bron ook niet aankomen. Dus moet je wel gebruikmaken van een illegaal verkregen 'wachtwoord', en dan ben je per definitie dus illegaal bezig.

-p

Dat is ook precies de reden waarom ik vermoed dat zo'n app er van zijn levensdagen niet zal komen. Althans niet met de huidige ovc.

Uiteraard niet, want het was het zoveelste geval van een onderonsje tussen de nitwits "overheid" en "commercie".

-p