Es gab einen Security Audit der Subway-App für Android.
Dort wurde die App einmal zu Teilen über Reverse Engineering zurück zum Quellcode gebracht und dieser wurde soweit möglich analysiert.
Wer sich dafür interessiert, kann sich den Beitrag mit entsprechendem Reverse-Quelltext hier auf XDA-Developers ansehen (Archivlink). Der Audit ist übrigens unerwartet gar nicht mal so schlecht ausgefallen…
Ob sich das gleiche auch für die Subway-Subcard-App im deutschen PlayStore sagen lässt, ist natürlich noch ungewiss, aber der Audit zeigt dann doch, dass es zumindest Subway auch darum geht Kundendaten vielleicht etwas mehr als nötig zu schützen, was immer nützlich sein kann.
Zur besagten App geht es hier, diese lässt sich nur per US-Account installieren:
