@Anonymous Die QR-Codes sind sicher. Die werden beim Einchecken vom SBB-Server erzeugt und sind digital signiert. Den Schlüssel dazu müsste man vom Server klauen. Zudem sind sie auf dem Server hinterlegt. Ein lokal erzeugter Code hilft nicht, wenn das Prüfgerät online eine Abfrage macht.
Einchecken muss man soweit ich das sehe so oder so. Aber da der Kontrolleur nicht den Standort des Eincheckens und den aktuellen von der App an den Server gemeldeten Standort sehen kann, kann man die Positionsdaten fälschen, so dass man sich vermeintlich nicht bewegt.
Entweder (aufwendig), indem man die App dekompiliert und im Sourcecode bei der Routine zum Melden des Standorts etwas ändert.
Oder indem man den Standort fälscht. Mit ganz billigen Tricks geht das nicht, weil die App eine genaue Ortung inkl. WLAN haben will. Die unzähligen GPS-Fake-Apps helfen also nicht.
Lustigerweise haben viele Leute Interesse an gefälschten Positionsdaten, unter anderem Spieler von Pokémon Go, die so weltweit die besten Pokémon sammeln wollen. Deshalb gibt es viele Tools und Wege, um die Standortangaben zu fälschen.
Oder -was mir jetzt gerade eingefallen ist- man lässt einfach ein Smartphone zuhause und loggt sich per Fernwartung darauf ein, um einzuchecken und den Code vorzuzeigen. Wäre spitzfindig gesehen sogar im Einklang mit den AGB. 😀
Was ich damit sagen will: es gehört zu den Grundsätzen der IT-Sicherheit, niemals einem Endgerät zu vertrauen. Endgeräte sind unter Kontrolle des Benutzers und können falsche Daten senden.
Die Lösung ist aber recht einfach: der Kontrolleur muss lediglich die aktuelle an den Server übermittelte Position sehen. Wird man dann in Zürich kontrolliert und die App hat vor zwei Minuten gemeldet, sie sei ein Bern, hat man ein Problem. 😀
Wobei ich sowieso der Meinung bin, dass sich der Aufwand zum Tricksen nicht lohnt und man ehrlich auch entspannter reist.
