maanantai 27. toukokuuta 2013

Android-sovellus näyttää matkakortin tiedot (NFC)

Pääkaupunkiseudun matkakortti käyttää nfc-tekniikkaa (near field communication). Kortille ladataan rahaa ja matka maksetaan näyttämällä korttia junissa ja busseissa olevalle lukulaitteelle.

Googlen sovelluskaupasta löytyy Android-puhelimille Matkakorttilukija-niminen ohjelma (0,99 euroa), joka mahdollistaa kortin lukemisen myös älypuhelimella. Puhelimen pitää tietenkin tukea nfc-tekniikkaa ja Androidin pitää olla vähintään 4.0 tai uudempi. Älypuhelinten nfc-käyttökohteista on puhuttu jo monta vuotta, joten tällä sovelluksella saa tuntumaa tulevaisuuteen.

Kokeilin ohjelmaa HTC One -puhelimella. Ohjelma näyttää viimeisen arvolatauksen määrän ja päiväyksen, kortilla jäljellä olevan arvon sekä viimeiset maksutapahtumat:

Pk-seudun matkakortin tiedot.
Jostain syystä 24.4. matkoissa näkyy kahden henkilön veloitus. Lukulaitteiden käyttömukavuus on heikko ja tuplaveloitukset sen vuoksi väistämättömiä.

Matkan yksityiskohtaiset tiedot.
Yksityiskohtaisissa tiedoissa näkyy JORE Extension ja Mystery1.

Sovelluksen nykyversio tukee vain pääkaupunkiseudun matkakorttia. Tampereen kortin luku onnistui myös, mutta sovellus ei osannut tulkita tietoja vaan näytti ne ainoastaan raakamuodossa.

Mediassa on epäilty nfc-maksamisen turvallisuutta. Onko mahdollista, että rosvot alkavat skannata käsilaukkuja ja lompakoita ruuhkabusseissa ja veloittavat niiltä nfc-maksuja omistajan tietämättä? Matkakortin luku onnistui noin kahden senttimetrin päässä kortista, joten ainakin tavallisella älypuhelimella lukija on vietävä todella lähelle kohdetta. Rosvojen kiinnostus voi kuitenkin tuottaa kehittyneempiä lukijoita, joissa luku onnistuu kauempaakin. 

7 kommenttia:

  1. Jos haluat, kannattaa sensuroida tosta kolmannesta kuvasta matkakorttisi id. Kieltämättä tuo herättää kysymyksiä siitä, millaisella mallilla HSL ylläpitää matkakorttijärjestelmää ja miten sen väärinkäyttö on mahdollista osaavissa käsissä, sillä kirjoitettavat nfc-kortit eivät kiinasta juuri paljoa maksa...

    VastaaPoista
  2. Taitaa olla niin, että kun matkakorttia yli 10 vuotta sitten kehitettiin, tietoturvaa ei tarvinnut kovin paljon miettiä eikä älypuhelimia ollut vielä kellään. Tänään tilanne on toinen.

    VastaaPoista
  3. Mielestäni tuohon parin sentin matkaan ei kannata tuudittautua. Vertailukohtana bluetooth. Luokan 2 bluetooth kantamaksi sanotaan 10 metriä. Kuitenkin vuonna 2005 hakkerit onnistuivat vastaanottamaan luokan 2 bluetooth signaalia lähes parin kilometrin päästä. NFC:n kanssa riittää pienempikin parannus. Ruuhkaisessa joukkoliikennevälineessä tuskin tuottaa ongelmia päästä esim 30 cm päähän toisten ihmisten matkakorteista.

    VastaaPoista
  4. Kalle Kosteila31.5.2013 klo 8.59.00

    HSL:n nykyinen matkakortti on uusittu vuosien 2009-2010 aikana. HSL:n nykyisessä matkakortissa käytetään tekniikkaa, joka ei mahdollista matkakortin muutoksia, ilman oikeiden turvallisuustekijöiden omistamista. Kyseessä on NXP:n Desfire-teknologia. Lisätietoja asiasta löytyy mm. www-sivuilta: http://www.nxp.com/products/identification_and_security/smart_card_ics/mifare_smart_card_ics/mifare_desfire/

    Tässä Desfire EV1 -teknologiassa ei ole tiedossa olevia tietoturvaan liittyviä heikkouksia.

    NFC-lukuohjelmilla ei ole mahdollista vähentää HSL:n matkakortilta arvoa tai muuttaa kautta tai muuttaa HSL:n lippusovelluksen muitakaan tietoja. Matkakortti ei myöskään sisällä patteria ja tarvitsee toimiakseen ulkoisen virtalähteen. Virran saanti perustuu sähkömagneettiseen induktioon. Tämä rajoittaa kortin luku/kirjoitusetäisyyttä muutamiin senttimetreihin.

    HSL:n matkakortin kausi- ja arvotiedot voi tarkistaa myös https://omamatkakortti.hsl.fi –palvelusta. Tässä palvelussa kortin tiedot katsotaan lippujärjestelmästä. Arvotiedot eivät ole palvelussa yhtä reaaliaikaisia kuin matkakortilla olevat arvotiedot.

    VastaaPoista
  5. Induktio on hyvä pointti, sen vuoksi lukuetäisyys ei koskaan voi olla Bluetooth-urkinnan luokkaa. Matkakortin luvaton veloittaminen ei taida ketään kiinnostaa, koska siitä ei olisi hakkerille itselleen mitään hyötyä. Eri asia, jos kortille voisi tällä tavalla lisätä arvoa. Mutta kuten Desfire kertoo, kryptografia tekee sen mahdottomaksi. Vertailukohtana voisi olla sirulliset pankkikortit, joita tiettävästi kukaan ei ole vielä onnistunut huijaamaan.

    Ehkä seuraavassa vaiheessa matkakortin arvon voi ladata nfc:llä varustettuun puhelimeen?

    Viime kesänä keskusteltiin junissa ja busseissa olevien lukijoiden huonosta käytettävyydestä, on vaikea tietää menikö painallus perille vai ei. Kerrottiin, että tämä olisi muuttumassa lähitulevaisuudessa, mutta koskeeko muutos vain lukijoita vai myös kortteja?



    VastaaPoista
    Vastaukset
    1. Jos yhtään seuraat tietotekniikkaa, niin tietänet DDEFCON:in? Olikohan juuri toissa vuonna kun demosivat pankkien käyttämän sirukortin (EMV) hyväksikäytön ja PIN urkinnan, sekä kuinka maksuterminaalista on mahdollista urkkia tarvittavat tiedot.

      Siirreetävä kärry, jätskiä muutama laatikko ja "sirulukija" pöydälle ja hupsista, saat kerättyä kesäisenä päivänä parhaillaan satojen korttien tiedot ja PIN koodit. Ja hintaa oli sen kopin vuokran ja jäätelön verran.

      Ole siinä sitten pankin asiakaspalvelussa selittämässä, ettet ole näitä viimeisimpiä maksuja tehnyt, vaikka pankin järjestelmä kertoo että PIN syötetty, joka nykyään tulkitaan kortin omistajan läsnäoloksi.

      Mitä tulee noiden lähimaksukorttien ynnä muiden NFC tekniikkaan perustuvien korttien lukuetäisyyteen, niin helposti niitä lukee 10 cm päästä (standardi), hieman vaikeammin noin metristä ja kunnon antennilla voidaan kuunnella 5 metrin päästä. Että se siitä "lähi"toiminnosta.

      Lähimaksu - helppo, nopea ja luotettava tapa pölliä luottokorttisi.

      Poista
  6. Kalle Kosteila5.6.2013 klo 12.22.00

    Omalla matkakortilla ostetut arvoliput voi tarkistaa https://omamatkakortti.hsl.fi -palvelussa. Tällöin palvelussa vaaditaan vahva tunnistautuminen.

    HSL:n uuden Lippu- ja informaatiojärjestelmän myötä tulee muun muassa uudet lukijat, vuoden 2015 aikana. Uuden tariffijärjestelmän myötä matkakorttiin tehdään myös hieman muutoksia. Korttialusta Desfire EV1 pysynee samana, tai sitten otetaan käyttöön tuleva EV2-versio.

    VastaaPoista