"Kreative" Nutzung des Luftlinientarifs (Technik)

Dieses Forum bietet Ihnen Raum für Fragen und Hinweise zu technischen Aspekten des eTarifs sowie zum Thema „Vertrauen in die Technik“.
Antworten
AlexN
Beiträge: 49
Registriert: 9. April 2019 00:47

11. April 2019 14:00

Wenn mich ein VRS-Abteilungsleiter schon einlädt, es zu versuchen, werde ich es morgen auf einer Kurzstrecke tun :)

Um nicht dreimal testen zu müsssen, würde ich gern vorab wissen, wie sich die App nach einem Check-In
a) bei aktivem GPS und inaktiver Mobilfunkdatenverbindung
b) bei inaktivem GPS und aktiver Mobilfunkdatenverbindung
c) bei inaktivem GPS und inaktiver Mobilfunkdatenverbindung gleichzeitig
aufzeichnungsmäßig verhält:

Werden im Fall a) evtl. GPS-Ortungsdaten erst offline gespeichert und später übermittelt, sobald die Mobilfunkdatenverbindung hersgestellt ist, so dass der Reiseweg doch lückenlos erfasst wird?

Werden im Fall b) evtl. ungefähre Ortungsdaten auf der Basis der Mobilfunkzellen weiter übermittelt?

Mir fällt gerade ein, dass man für so einen Mißbrauch eigentlich nur 15 Minuten hat, danach wird man automatisch ausgecheckt. Daher ginge es wenn überhaupt nur auf einer Kurzstrecke und der Schaden wäre minimal.

Eine weitere "kreative" Nutzung fällt mir aber gerade ein: 14 Minuten vor dem Erreichen seines Reisesziels die Mobilfunkdatenverbindung zu deaktivieren. So hätte man für die nächsten 15 Minuten ein gültiges Ticket, würde aber einige km "sparen".
Nach oben
eTicketian
Beiträge: 29
Registriert: 3. April 2019 09:59

11. April 2019 14:03

AlexN hat geschrieben:
11. April 2019 14:00
 Eine weitere "kreative" Nutzung fällt mir aber gerade ein: 14 Minuten vor dem Erreichen seines Reisesziels die Mobilfunkdatenverbindung zu deaktivieren. So hätte man für die nächsten 15 Minuten ein gültiges Ticket, würde aber einige km "sparen".
Beim Erreichen des Ziels machst du sie wieder an um auszuchecken und bist mit dem aktuellen Ort geloggt, Oder?
Nach oben
AlexN
Beiträge: 49
Registriert: 9. April 2019 00:47

11. April 2019 14:07

eTicketian hat geschrieben:
11. April 2019 14:03
AlexN hat geschrieben:
11. April 2019 14:00
 Eine weitere "kreative" Nutzung fällt mir aber gerade ein: 14 Minuten vor dem Erreichen seines Reisesziels die Mobilfunkdatenverbindung zu deaktivieren. So hätte man für die nächsten 15 Minuten ein gültiges Ticket, würde aber einige km "sparen".
Beim Erreichen des Ziels machst du sie wieder an um auszuchecken und bist mit dem aktuellen Ort geloggt, Oder?
Wenn der FAQ-Eintrag das Verfahren vollständig beschreibt, wird man nach 15 Minuten ohne weiteres Zutun ausgecheckt. Danach müsste die Position bei der Wiederaktivierung der Mobilfunkverbindung bzw GPS irrelevant sein. @VRS, Wenn dem doch nicht so ist, korrigiert bitte mein Verständnis.

Ergänzung: Was in der FAQ nicht steht, ist wieviel der Fahrgast dabei bezahlt: nur die km bis zum Wegbrechen der Erfassung oder die 15€ Höchstpreis?
Nach oben
AlexN
Beiträge: 49
Registriert: 9. April 2019 00:47

11. April 2019 17:26

Mir fällt gerade noch eine "kreative" Möglichkeit ein, wie man jederzeit ein gültiges Ticket hätte, ohne für die gefahrene Strecke am Ende zahlen zu müssen. Dafür bräuchte man allerdings zwei Geräte, statistisch gibt es aber hierzulande weit mehr Handys als Deutsche.

Man checkt sich am Startort mit dem Gerät 1 ein und deaktiviert sofort mutwillig die GPS-Ortung (und vielleicht auch die Mobilfunkdatenverbindung). Dadurch kann das Ticket in der App zwar nicht angezeigt werden, wenn die Ticketkontrolle kommt, ist GPS jedoch schnell wieder aktiviert. Wenn die Kontrolle nicht kommt, läuft das Ticket nach 15 Minuten ohne Check-Out ab und für das System sieht es so aus, als hätte man sich von der Starthaltestelle gar nicht wegbewegt -> 0,-€ Belastung. Kurz vor Ablauf der 15 Minuten checkt man sich mit dem Gerät 2 an einer Unterwegsshaltestelle ein und deaktiviert dort auch gleich die GPS-Ortung. So könnte das Spiel alle 13-14 Minuten weiter gehen... oder ist man gegen einen solchen Trick technisch gerüstet?

P.S. Bild: https://ibb.co/qrcRkmG
;)

UPDATE: An alle, die das ausprobieren wollen: so einfach geht das nicht.
Zuletzt geändert von AlexN am 17. April 2019 18:38, insgesamt 1-mal geändert.
Nach oben
Oberberger83
Beiträge: 7
Registriert: 7. April 2019 20:04
Wohnort: Reichshof

11. April 2019 18:20

Hallo zusammen,
vielleicht bin ich spießig, aber eigentlich hat die "kriminelle" Energie hier doch nix verloren.
Nach oben
AlexN
Beiträge: 49
Registriert: 9. April 2019 00:47

11. April 2019 19:00

Oberberger83 hat geschrieben:
11. April 2019 18:20
 Hallo zusammen,
vielleicht bin ich spießig, aber eigentlich hat die "kriminelle" Energie hier doch nix verloren.
Teilweise gebe ich Dir recht, jedoch befindet sich das Ganze noch in der Evaluierung. Normalerweise wird auf potenzielle Lücken/Missbrauchsrisiken untersucht, bevor man eine Anwendung für die Nutzung freigibt... Aber lieber später als nie. Also wenn nicht jetzt und hier, wann dann? Nach dem Rollout?
Nach oben
jerryduke
Beiträge: 1
Registriert: 12. April 2019 11:01

12. April 2019 11:17

AlexN hat geschrieben:
11. April 2019 19:00
Oberberger83 hat geschrieben:
11. April 2019 18:20
 Hallo zusammen,
vielleicht bin ich spießig, aber eigentlich hat die "kriminelle" Energie hier doch nix verloren.
Teilweise gebe ich Dir recht, jedoch befindet sich das Ganze noch in der Evaluierung. Normalerweise wird auf potenzielle Lücken/Missbrauchsrisiken untersucht, bevor man eine Anwendung für die Nutzung freigibt... Aber lieber später als nie. Also wenn nicht jetzt und hier, wann dann? Nach dem Rollout?
Lieber AlexN

Der VRS uns seine Partner haben das System vorab sicherlich bereits geprüft. Auch werden Sie hier keine genaue Dokumentation publizieren, welche aufzeigt, wie das System in welchem Fall reagiert und wie Missbrauch erkannt wird. Die Idee des Posts ist sehr wahrscheinlich nicht böse gemeint - meines Erachtens jedoch fehl am Platz.
Nach oben
AlexN
Beiträge: 49
Registriert: 9. April 2019 00:47

14. April 2019 14:55

jerryduke hat geschrieben:
12. April 2019 11:17
 Der VRS uns seine Partner haben das System vorab sicherlich bereits geprüft. Auch werden Sie hier keine genaue Dokumentation publizieren, welche aufzeigt, wie das System in welchem Fall reagiert und wie Missbrauch erkannt wird.
Das ist gar nicht nötig, es lässt sich herausfinden.

Ach Leute. Man löst Probleme nicht, indem man sie verschweigt oder sich nicht den Herausforderungen stellt. Darüber hinaus geht es gemäß dieser Projektpräsentation ausdrücklich um ein Forschungsprojekt:
https://www.ch-direct.org/de/index.php? ... load=16980

Wie ich in einem anderen Post schon erwähnte, habe ich beruflich mit der Software-Evaluierung und -Einführung zu tun und erlebe immer wieder, dass den Kunden Lösungen aufgeschwatzt werden, die einerseits den Bedarf decken aber andererseits Schäden verursachen, u.a. weil neue Mißbrauchsmöglichkeiten entstehen. Die Fairtiq-Lösung fällt in diese Kategorie, was ich aufzeigen möchte. Sie ist gut gedacht, aber NRW-Nutzer sind keine Schweizer ;)

Werde jetzt meinen Testbericht einstellen.

P.S. Bei den Experimenten habe ich stets ein gültiges Papierticket dabei.
Zuletzt geändert von AlexN am 15. April 2019 14:04, insgesamt 2-mal geändert.
Nach oben
AlexN
Beiträge: 49
Registriert: 9. April 2019 00:47

14. April 2019 17:20

Bericht zur "kreativen" Nutzung

Eigentllich geht es nicht um den Tarif an sich - den kilometerbasierten Ansatz finde ich persönlich genau richtig und freue mich, dass man den VRS-Tarif in diese Richtung ertüchtigen will - sondern um eine Lösung wie Fairtiq sie anbietet.

Getestet wurde, wie sich die Software verhält, wenn sie nicht im Sinne der Erfinder eingesetzt wird, sondern zum Zweck der Leistungserschleichung, dies ohne viel kriminelle Energie anzuwenden.

Die Zielsetzung war also die eines typischen Schwarzfahrers: nur dann bezahlen, wenn kontrolliert wird, d.h.:
- wenn die Kontrolle kommt, ein gültiges Ticket in der App vorweisen zu können
- wenn die Kontrolle nicht kommt, idealerweise nichts, maximal 1,65€ (Grundpreis + erster angebrochener km) pro Fahrt abgerechnet zu bekommen.

Für die Tests standen jeweils zwei Geräte mit iOS 12 und Android 8 zur Verfügung, weder gerootet/jailbreaked noch irgendwie sonst manipuliert. Der Entwicklermodus auf Androids war aktiviert, ihn ausbeuten kann man aber nicht, wie der Test gezeigt hat.

Einige Tests hat die Software bestanden, andere nicht. V.a. haben die Tests gezeigt, dass die Software an sich in der aktuellen Konfiguration nicht immer wie in den eTarif-Bedingungen und FAQ beschrieben verhält und jede Lösung solcher Art den für jedermann zugänglichen Hardware-Manipulationen nichts entgegenzusetzen hat.

-------------- >% --------------

An dieser Stelle standen zwischen dem 14.04.19 17:20 und 17.04.19 17:57 drei Mißbrauchsmöglichkeiten beschrieben, die nachweislich funktionieren. Die Beschreibungen dieser Betrugsszenarien wurden auf Bitte von VRS entfernt.

-------------- >% --------------

Liebe VRS, überlegt es Euch zweimal!
Zuletzt geändert von AlexN am 17. April 2019 17:57, insgesamt 2-mal geändert.
Nach oben
AlexN
Beiträge: 49
Registriert: 9. April 2019 00:47

17. April 2019 12:29

Ich habe eben eine weitere Mißbrauchsmöglichkeit festgestellt, die den Nachweis, dass man erst bei der Fahrscheinkontrolle "auf Sicht" eingecheckt hat, unmöglich macht.

-------------- >% --------------

An dieser Stelle stand zwischen dem 17.04.19 12:29 und 17.04.19 17:59 ein weiterer Trick beschrieben, der nachweislich funktioniert. Die Beschreibung dieses Betrugsszenarios wurde auf Bitte von VRS entfernt.

-------------- >% --------------
Nach oben
MatthiasBerels
Beiträge: 21
Registriert: 25. März 2019 12:44

18. April 2019 10:25

Die technikbezogenen Beiträge aus dem Thread ,,"Kreative" Nutzung des Luftlinientarifs´´ wurden in dieses Unterforum verschoben.
Nach oben
Antworten

Zurück zu „Vertrauen in Technik“