Een student van de Radboud Universiteit in Nijmegen is erin geslaagd met een zelf gebouwd apparaatje ter waarde van veertig euro een wegwerpversie van de OV-chipkaart te kopiëren. De kopie is onbeperkt te gebruiken als vervoersbewijs.
Student Roel Verdult, die zijn afstudeerscriptie wijt aan het klonen van de OV-chipkaart, toonde gisteren in het RTL-journaal hoe de chip in een OV-dagkaart eenvoudig is te kopiëren. De chip wordt geleverd door fabrikant NXP.
De student luisterde het berichtenverkeer tussen een origineel wegwerpkaartje en de chiplezer bij een poortje elektronisch af. Daarbij bleek dat de informatie die wordt overgestuurd niet is versleuteld, zoals dat wel gebeurt bij de ov-chipkaarten voor abonnementen die op naam van de reiziger staan. Voor wegwerpkaartjes is een chip met versleuteling blijkbaar te duur.
Verdult denkt dat ook de beveiliging van de OV-chipkaart voor abonnementen wordt gebroken, wanneer de resultaten van de bevindingen van Duitse hackers en zijn werk worden gecombineerd. Zijn ontdekking, dat een wegwerpkaartje makkelijk onbeperkt geldig te maken is, maakt volgens hem de duurdere ov-chipkaart overigens overbodig.
Jeroen Kok, directeur Translink Systems zei vanochtend op een persconferentie in Den Haag: "De papieren wegwerpkaart maakt gebruik van totaal andere technologie dan de persoonsgebonden en anonieme OV-chipkaart."
De papieren wegwerpkaart maakt gebruik van de Mifare Ultralight rfid-chip van NXP. Dat is een rfid-chip uit de Mifare-reeks die goedkoper en eenvoudiger is dan de Mifare Classic, waarvan de onderzoekers Nohl en Plötz eind december op een hackerscongres in Berlijn bekend maakten het encryptiealgoritme te hebben gekraakt.
Hiervoor zijn er dus controleurs. De, door de student, “gekraakte” kaarten hebben geen versleuteling (was trouwens midden vorig jaar al bekend); is express zo gedaan. Is namelijk vergelijkbaar met de strippenkaart. Als je kaartje wordt gecontroleerd, valt nogal op als je kaartje dan niet echt is 😉