Rejsekort-direktør positiv over for hjemmelavet NFC-app, der læser direkte fra rejsekortet

Rejsekortdirektør Bjørn Wahlsten afviser ikke, at en økonomisk håndsrækning kan komme på tale til den app, som en Version2-læser har begået.

Ikke alene er direktør i Rejsekort A/S Bjørn Wahlsten umiddelbart positiv over for den app, som Version2-læser Casper Bang for nylig har offentliggjort på Google Play, og som læser og afkoder data direkte fra det fysiske rejsekort. Direktøren udelukker ikke en økonomisk håndsrækning i forbindelse med den videre app-udvikling. Rejsekort A/S har også støttet 3. part-apps i enkelte andre tilfælde.

»Det vil jeg ikke afvise, men så skal vi have en snak med ham,« siger Bjørn Wahlsten.

Casper Bangs app gør det blandt andet muligt at se den aktuelle rejsekort-saldo, samt om der er tjekket ud eller ind. Bjørn Wahlsten peger på, at det også er muligt at få den slags oplysninger eksempelvis på en stander ved en station, men han kan også godt få øje på, at Casper Bangs app kan forbedre brugeroplevelsen i visse tilfælde.

Rejsekort A/S har tidligere omtalt andre apps udviklet af 3. parter, og samtidig har virksomheden understreget, at det er 3. parter og altså ikke Rejsekort A/S, der står bag apps'ne.

»Helt generelt set er vi da positive over for, at folk laver forskellige apps og hjælpeting omkring rejsekortet,« siger Bjørn Wahlsten.

Læs også: Privat person udvikler Android-app, der afkoder data direkte fra dit rejsekort

Det har været lidt af et puslespil for Casper Bang at præsentere informationerne på det fysiske rejsekort, så de fremstår i et meningsfuldt format. Og han vurderer selv, at det foreløbigt kun er 10-15 pct. af data på kortet, han har fået mening ud af. Forklaringen er, at der som sådan ikke er nogen offentlig tilgængelig manual til, hvordan kortoplysningerne skal forstås. Derudover kobler Casper Bang også det id-nummer, standeren udsender, og som er knyttet til de enkelte stationer, med gps-koordinator for at kunne præsentere brugerne for, hvilke stationer de er tjekket ind og ud på. Den del foregår via crowdsourcing.

Bjørn Wahlsten er i den forbindelse ikke afvisende over for, at Rejsekort A/S i en ikke nærmere defineret fremtid vil stille nogle offentlige grænseflader til rådighed, så 3. parts-udviklere som Casper Bang generelt får det lettere.

»Jeg kan ikke se nogen grund til, at vi ikke kunne være i en fornuftig dialog. Hvis det her kunne hjælpe eksempelvis 20 pct. af kunderne, så er det da ikke tosset,« siger Bjørn Wahlsten og henviser til, Casper Bangs løsning kun fungerer på de Android-telefoner, der har en NFC-chip, som er kompatibel med Rejsekortets MiFare-chip.

Umiddelbart er det ikke vurderingen hos Rejsekort A/S, at Casper Bangs app, Rejsekort Scanner, udgør et sikkerhedsmæssigt problem i forhold til rejsekortsystemet. Heller ikke selvom app’en adskiller sig fra andre rejsekortrelaterede apps, ved at den med NFC i en tablet eller telefon læser data direkte på kortet og ikke via eksempelvis et web-interface.

»Der er den sikkerhedsmæssige ting, at hvis han kommer til at rette noget på kortet - og det gør han ikke umiddelbart, så vidt jeg har fået at vide - så bliver kortet ugyldigt,« siger Bjørn Wahlsten.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (36)

Bjarke I. Pedersen

Nu har jeg ikke læst nærmere om hvordan det fungerer.

Men jeg håber da at standerne signerer de data de skriver på kortet - ellers går der nok ikke så lang tid nu, inden nogen laver en app, hvor man blot med et enkelt tryk vælger hvor man vil checke ind fra, og så skrive dette på kortet, så det ser ud til at være checket ind når det skannes i toget.

For spørgsmålet er nok, hvor sikkert det rent faktisk er, når/hvis hele protokollen er kendt.

Peter Makholm Blogger

ellers går der nok ikke så lang tid nu, inden nogen laver en app, hvor man blot med et enkelt tryk vælger hvor man vil checke ind fra, og så skrive dette på kortet, så det ser ud til at være checket ind når det skannes i toget.

Som det allerede er nævnt i en kommentar til den anden artikel, så burde dette let kunne opdages ved at se på de data som Rejsekort-standerne opsamler. Så hvis man gentagende gange bruger denne metode risikerer man nok en sigtelse for databedrageri.

Anders Palm

Som det allerede er nævnt i en kommentar til den anden artikel, så burde dette let kunne opdages ved at se på de data som Rejsekort-standerne opsamler. Så hvis man gentagende gange bruger denne metode risikerer man nok en sigtelse for databedrageri.

Det er utvivlsomt muligt for rejsekort-systemet at opdage dette hvis det er tilfældet. Men de terminaler der bliver brugt til at tjekke rejsekortet med kan også tjekke kortet ind (og derved sikkert også ud) fra en vilkårlig station. Spørgsmålet er så hvordan de håndterminaler er koblet op til rejsekortsystemet.

Jeppe Boelsmand

I min verden er det der er registreret på kortet, ud over bruger id, kun for at give brugeren noget feedback. Hvis du padder din saldo på kortet eller snyder med check ind/ud, kan de jo se det når de konsoliderer.

Thomas Larsen

Man kan da godt fristes til at stille spørgsmålet om hvorfor hele rejsekortet ikke bare kunne være udviklet som en app i stedet for hele det her show med at opsætte dyre og ubrugelige standere som kun kommunikerer med hovedkvarteret en gang i døgnet og som alligevel skal have strøm og abonnement på datalinjer hvorefter en pendler udvikler en app til at aflæse rejsekortet som så får økonomisk støtte...

Thomas Watts

Mit første spørgsmål ville være, om der er sikkerhed for, at en standers ID er fast?

Hvis det kan flyttes ved systemopdateringer eller ved at der sættes nye standere op, er det problematisk at benytte det som identifikation for app'en.

Kenneth Rasmussen

Glæder mig til den dag at rejsekort har en app der fungere som et rejsekort og dermed opdateres ens saldo mm instant.. En ting rejsekort os mangler er at standerne ikke er særligt fornuftige når det kommer til blinde mennesker..

Christen Fihl H. Nielsen

Nu er det så meget lettere at sætte sig ved pigen i toget, og straks vide hvor hun kommer fra, eller hvornår hun plejer at tage hjemad igen, sidst på natten.

Eller bare at kunne se om det er besværet værd at stjæle rejsekortet, hvis der ikke er mange kroner tilbage på det, ikke pigens, de andres :-)

Jesper Kildebogaard

Vores lille test på Version2 med en HTC One viste, at kortet skal helt tæt på telefonen. Den kunne ikke aflæse kortet, hvis det lå i en (tynd) pung mellem betalingskort mv. Men der er muligvis andet udstyr, som kan klare større afstande/forhindringer.

Vh. Jesper, Version2

Anders Palm

I min verden er det der er registreret på kortet, ud over bruger id, kun for at give brugeren noget feedback. Hvis du padder din saldo på kortet eller snyder med check ind/ud, kan de jo se det når de konsoliderer.

Det er klart, men det du skal "snyde" for at snyde er jo ikke rejsekortsystemet, det er billetkontrollen, hvis du kan få billetkontrol-terminalen til at tro på at dit rejsekort er checket korrekt ind selvom det ikke er registreret i systemet, så er der jo ingen mulighed for at opdage det.

Casper Bang

Mit første spørgsmål ville være, om der er sikkerhed for, at en standers ID er fast?


Det er ikke stander ID'er der bliver brugt, men derimod stations/stoppets ID - disse ændrer sig nok ikke lige foreløbig, selv om jeg da havde håbet på at disse ID'er havde passet med rejseplanen.dk's webservice - det gjorde de ikke, så måtte finde på en anden vej frem.

Sikrest ville naturligvis være, hvis Rejsekort A/S ville offentliggøre nogle ting, incl. station/stop databasen. Det lyder til der kan være håb forude og jeg er glad for at også Rejsekort A/S ser det som en hjælp til den rejsende, som var intentionen.

Milos Game

En pointe der lige skal nævnes er, at Carsten Bang ikke har lavet en erstatning for standeren, men en udvidelse, hvilket betyder at standeren er obligatorisk idet det er standeren der bestemmer lokationer.
Hvis man lavede systemet udelukkende som app, skulle du tage stilling til hvordan du præcist, sikkert og pålideligt kunne regne med at brugerens lokation nu også faktisk var brugerens lokation. På både Android og iOS (iPhone/iPads) enheder kan der åbnes op for "administrator kontoen" (det man kalder "root" eller "jailbreak") hvilket betyder at brugeren kan snyde app'en til at tro at brugeren står et bestemt sted (i stedet for hvor brugeren i virkeligheden står), og pludseligt rejser man kun 1 zone hver eneste gang. Man kan derfor ikke stole klient-only løsning.

Milos Game

I øvrigt hatten af for Rejsekortdirektør Bjørn Walston (og de andre) for offentligt at støtte de små og selvstændige / 3. parts udviklere. DSB har det vist med at jage og true de små til ikke at lave gode og brugervenlige apps, for derefter at release deres egne mindre gode og knap så brugervenlige apps, som det fremgår af kommentarer i deres app store reviews.
Jeg glæder mig til at se om der kommer noget ud af denne offentlige støtte til Carsten Bang's app eller om den bliver begravet i dit og dat og bliver droppet. Held og lykke, Carsten Bang.

Andrew Rump

Jeg er ganske overrasket over at kommunikationen ikke er krypteret!
Jeg vil kort sagt kunne scanne alle kort der kommer i nærheden af (det rette) udstyr og få et ganske godt "billede" af personen der har kortet!

Thomas Larsen

Det kan du da (næsten) også ved at læse et klippekort.


Øh er det ikke ret svært at smuglæse oplysningerne på et klippekort uden at ejeren bemærker det? Desuden står der jo ikke andet på klippekortet end nogle rimeligt vage zonenumre hvor der er stemplet. På rejsekortet står der decideret hvilke stationer personen rejser mellem hver eneste dag gennem hvad hele rejsekortets historie eller den sidste måned? Og oplysningerne kan aflæses i smug via trådløs modtager uden at ejeren har nogen chance for at finde ud af at det er ham/hende der er målet.

Jeg synes ærligt talt du må længere ud på landet med din påstand om at klippekort og rejsekort er nogenlunde lige så slemme for privatlivet.

Andrew Rump

Det kan du da (næsten) også ved at læse et klippekort.

Ja da, men det kræver at jeg kan se kortene, men med rejsekortet skal jeg bare tæt på personen der bærer det og så kan jeg scanne det uden personens vidende!

Mads Olesen

Hej Casper (og andre interesserede),

vi er et par gutter der har leget lidt med at reverse engineere Rejsekortet i noget tid, og havde faktisk planer om at lave en app ala den du har lavet men vi var alt for langsomme.

Anyway, vi har besluttet at release vores kode og hvad vi har fundet ud af, så du måske kan bruge det. Jeg tror måske vi har et par felter du ikke har fundet endnu? Til gengæld har du vist mere styr på det nye event format.

Vores kode ligger på https://github.com/mchro/RejsekortReader

Du skal være velkommen til at kontakte os hvis du har nogle spørgsmål.

/Mads

Andrew Rump

Ja da, men det kræver at jeg kan se kortene, men med rejsekortet skal jeg bare tæt på personen der bærer det og så kan jeg scanne det uden personens vidende!

Desuden kan man i samme håndvending åbenbart lave rav i andres kort, ved at skrive til det, så ejermandenen m/k skal igennem en besværlig procedure for at få et nyt kort!
Det er sku' da tommelfingeren nedad!

Leif Neland

Pfff. Nu kan man ikke engang få lov at købe skidtet

Hvis det, du prøver at sige er, at du ikke kan finde appen med din telefon, så er det nok fordi du ikke har en kompatibel telefon.

Hvis du bruger en pc, og går til https://play.google.com/store/apps/details?id=com.bangbits.rejsekortscanner
vil du se dette:

Man skal blot have en smartphone med NFC der understøtter Mifare smartcards. DETTE EKSKLUDERER DESVÆRRE FØLGENDE POPULÆRE MODELLER:
- Google Nexus 4/Nexus 5/Nexus 7, version 2/Nexus 10
- Samsung Galaxy S4/S4 Mini/S3 Mini/Ace 3/Express 2/Mega/Note 3
- LG G2/Optimus L7 II
- HUAWEI Honor 2 (u9508)

Men ellers, grunden til du ikke kan købe appen, er måske at den er gratis? ;-)

Casper Bang

Jeg er ganske overrasket over at kommunikationen ikke er krypteret!

Det er den så også, via NXP's egen CRYPTO-1 algoritme, der dog er gammel og har vist sig at have flere svagheder.

Jeg vil kort sagt kunne scanne alle kort der kommer i nærheden af (det rette) udstyr og få et ganske godt "billede" af personen der har kortet!

Som aktiv pendler, bekymrer det mig langt mere, at jeg ikke kan se hvor mange penge jeg har på MIT kort eller hvorvidt jeg mon huskede at checke ind/ud.

Hvis du skal scanne andres kort skal du meget tæt på, 1-2cm i praksis med en smartphone, 10-20cm med special-udstyr. Og hvad skulle incitamentet være?

Andrew Rump

Det er den så også, via NXP's egen CRYPTO-1 algoritme, der dog er gammel og har vist sig at have flere svagheder.

Ah ja. Den er jo ikke noget værd, når man kan bryde koden og læse data!

Som aktiv pendler, bekymrer det mig langt mere, at jeg ikke kan se hvor mange penge jeg har på MIT kort eller hvorvidt jeg mon huskede at checke ind/ud.

Det kan jeg godt sætte mig ind i.

Hvis du skal scanne andres kort skal du meget tæt på, 1-2cm i praksis med en smartphone, 10-20cm med special-udstyr. Og hvad skulle incitamentet være?

Lave gas og ballade!

Kurt Christensen

hvorfor kan det ikke lade sig gøre at kortet automatisk registreres når man træder igennem døren til de respektive køretøjer og da man kan fortsætte rejsen op til 30 min efter man er steget af så når man stiger ombord igen så fortsætter rejsen som i dag ellers hvis der er gået længere tid så starter rejsen igen ganske enkelt

Peter Kyllesbeck

hvorfor kan det ikke lade sig gøre at kortet automatisk registreres når man træder igennem døren til de respektive køretøjer og da man kan fortsætte rejsen op til 30 min efter man er steget af så når man stiger ombord igen så fortsætter rejsen som i dag ellers hvis der er gået længere tid så starter rejsen igen ganske enkelt


1 rækkevidden for NFC er ikke så lang. (ca 5 cm)
2 En automatisk check-ud ville nul-stille ekstra indstillinger (f. eks. +person eller cykel), hvilket ville medføre manglende rejsehjemmel ved den fortsatte rejse. Ekstraindstillinger nul-stilles ved check-ud (ved rejsens afslutning)

Steen Thomassen

1 rækkevidden for NFC er ikke så lang. (ca 5 cm)
2 En automatisk check-ud ville nul-stille ekstra indstillinger


Nu er rejsekort ikke NFC - men mifare-kort. Men det er rigtig rækkeviden er kort.
Hvis det kunne lade sig gøre burde det bare være registrering af passage, som kunne bruges til registrering af manglede tjek ud med den tilhørende afregning... Derudover hvis rækkeviden er længere kunne der også bliver problemer at andre kan aflæse hvad for nogle kort som går forbi.

Peter Kyllesbeck

Nu er rejsekort ikke NFC - men mifare-kort. Men det er rigtig rækkeviden er kort.
Hvis det kunne lade sig gøre burde det bare være registrering af passage, som kunne bruges til registrering af manglede tjek ud med den tilhørende afregning... Derudover hvis rækkeviden er længere kunne der også bliver problemer at andre kan aflæse hvad for nogle kort som går forbi.


Husk nu at ved check-ud skal der læses og skrives på kortet, og dertil kræves energi, som skal leveres af standeren.

Rejsekortet (MIFARE Classic) er et 13.56 MHz RFID (ISO/IEC 14443A). Near Field Communication is based on in part, and is compatible with, ISO/IEC 14443

MIFARE Classic employ a proprietary protocol compliant to parts (but not all) of ISO/IEC 14443-3 Type A, with an NXP proprietary security protocol for authentication and ciphering.

Derfor kan smartphones med NXP NFC læse kortet.

NFC Tags are an application of RFID technology. Unlike most RFID, which makes an effort to give a long reading range, NFC deliberately limits this range to only a few inches

Desuden:
http://www.differencebetween.com/difference-between-rfid-and-vs-nfc/

Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Affecto Denmark reaches highest Microsoft Partner level

Affecto Denmark, a leading provider of data-driven solutions, has reached the highest level in the Microsoft partner ecosystem: Managed Partner.
22. jun 13:45

Innovate your business with Affecto's IoT Explorer Kit

Are you unsure if Internet of Things fits your business strategy?
31. maj 2017

Big Data Lake Summit: Fast and Trusted Insights

If you want to outpace, outsmart and outperform your competition in a digital world, you need trusted data that can be turned into actionable business insights at speed.
24. apr 2017