Medan "beröring" och "röra ut" med ett Oyster-kort har det utan tvivel gjorts att komma runt Londons kollektivtrafiksystem mycket enklare. Det finns rädsla att säkerheten för de RFID-chips som används i korten skulle kunna äventyras.

Tillbaka i januari avslöjade universitetsstudenten Karston Nohl i Virginia att hans forskargrupp hade sprungit de algoritmer som skyddar data som hålls på RFID-utrustade "smartkort" som Oyster-kortet.

“Vi omvandlade de kryptografiska komponenterna i MIFARE Classic RFID-taggarna. Denna typ av kort används i olika mikrobetalningsansökningar inklusive Oyster-kortet,” Nohl sa i ett pressmeddelande vid den tiden.

Som svar, NXP Semiconductors (NXP), företaget som tillverkar MIFARE Classic sa att det skulle undersöka problemet. Förra veckan meddelade NXP introduktionen av MIFARE Plus.

Enligt NXP förbättrar MIFARE Plus betydligt för säkerheten hos den klassiska en genom att använda en 148-bitars nyckellängd jämfört med Classic-48-bitarna. Detta är dessutom ett antal “Ytterligare säkerhetsfunktioner,” så företaget hävdar.

17 miljoner kompromisser?

Tyvärr är dock MIFARE Plus-kort inte förfallna för ytterligare ett år, vilket innebär att den nuvarande generationen Oyster-kort, som transporteras av 17 miljoner passagerare i London, använder det nu kompromissade MIFARE Classic-chipet.

När TechRadar kontaktade Transport for London (TfL) för kommentar, berättade en talesman bara för oss: "Östersystemets säkerhet har aldrig brutits. Vi kör dagliga tester för klonkort eller skumma enheter och ingen har upptäckts.”

När vi pressade på om TfL har några planer på att byta till säkrare MIFARE Plus-chip nästa år, hänvisade deras talesman till TranSYS som arbetar i samarbete med TfL för att leverera och driva Oyster-kortsystemet.

Gammal teknik?

TechRadar talade med Richard Rowlands, tekniker vid TranSYS, som berättade att det nuvarande Oyster-kortet valdes länge innan forskare som Karsten Nohl hade börjat avslöja potentiella sårbarheter med tekniken.

“Det valdes åtta eller nio år sedan. Det var kortet som var runt då. Vi är dock engagerade i att utvärdera andra kort, inklusive MIFARE Plus,” Rowlands förklarade.

När det gäller säkerheten för nuvarande Oyster-kort, fortsätter TranSYS lika fast som TfL att deras kort är säkra: “Det finns två nivåer av säkerhet: systemnivå säkerhet och kort nivå säkerhet” Rowlands förklarade. “Ingen personlig information lagras i alla fall på korten,” han lade till.

Här på TechRadar är vi inte helt övertygade av den officiella betryggande med TranSYS och TfL men. I en bransch där konsumenternas förtroende för säkerhet är av avgörande betydelse, förväntar vi oss att inte höra något mindre.

Fort Knox

Den kalla, hårda sanningen är att det är svårt att operatörerna utnyttjar sin hittills felfria säkerhetsrekord, Karston Nohls och hans kollegors forskning visar att RFID-tekniken inte är helt ogenomtränglig. Det är inte heller troligt att det är.

Det sägs att det verkligen inte finns något behov av grossistpanik bara än. Om du inte råkar vara en privat utredare som arbetar med otrohetsuppdrag, är det väldigt lite, om någonting, att vinna genom att gruva personliga resedata från enskilda Oyster-användare.

Är smartkort tillräckligt smart??

Nej, det verkliga säkerhetshotet uppstår när flera tjänster kombineras på ett enda RFID-utrustat smartcard i namnet "bekvämlighet". När smartkort bära en användares bankuppgifter samt deras resepass blir de omedelbart ett mycket mer lukrativt mål.

Förra året lanserade TfL i samband med Barclaycard Barclaycard OnePulse. Detta 3-i-1-smartkort tredubblas som ett transportkort, ett lågtryckstryckskort och ett standardkort för chip och PIN-kort.

Medan det ännu inte har rapporterats om att OnePulse-kortet är äventyrat, är det exakt den typ av RFID-utrustat smartkort som den tekniskt kunniga kriminella underjorden skulle vara intresserad av.

Det verkar som om RFID-tekniken kommer att bli en enda teknisk slagmark där tillverkare är under stort tryck för att stanna en fot före hackarna.