Zum Inhalt springen
wpf-leser

Von (Zwei-Faktor-)Authentisierung, (zu?) mächtigen Apps, Smartphones, TAN-Generatoren und Sicherheitsbedenken

Empfohlene Beiträge

oktavian
· bearbeitet von oktavian
vor 57 Minuten von Saek:

Bei mir laufen unter GrapheneOS und CalyxOS ohne GApps die Apps von Postbank, comdirect, DKB, ING, IBKR, DAB Secure, Barclays, Advanzia. Nur die Hanseatic Secure App ging nicht, als ich sie vor einiger Zeit probiert hatte.

  • wo kriegst du dann die updates sicher her?
  • ja, nicht alle apps gehen, aber einige schon (es reicht schon, wenn eine app nicht geht)
vor 1 Stunde von morini:

Ist es seitens der DKB bzw. anderer Banken überhaupt zulässig, die App unter LineageOS bzw. unter einem anderen Custom ROM zu verwenden?

 

Gibt es in einem solchen Fall Schadensersatz, wenn das Konto gehackt werden sollte?

kenne kein Gerichtsurteil dazu. Wenn die app läuft, läuft sie eben. Verschlüsselung und Selinux auf enforced. Was genau ist da denn unsicherer als Originalrom?

Würde man irgendetwas von der Bank bekommen, wenn die Sicherheitsupdates älter als ein Monat / ein Jahr / 2 Jahre sind und die Rom original? Im Forum gibt es ja Leute die heulen, wenn banking nicht mehr auf Android 9 läuft usw. Was meint ihr wie da die updatelage ist?

Diesen Beitrag teilen


Link zum Beitrag
wpf-leser
vor 58 Minuten von Saek:

Bei mir laufen unter GrapheneOS und CalyxOS ohne GApps[...]

... aber doch bestimmt "trotzdem" mindestens zum Großteil mit Substituten für die Google Play Services?

Diesen Beitrag teilen


Link zum Beitrag
Saek
· bearbeitet von Saek
11 minutes ago, oktavian said:

wo kriegst du dann die updates sicher her?

Aurora Store: https://f-droid.org/packages/com.aurora.store/

8 minutes ago, wpf-leser said:

... aber doch bestimmt "trotzdem" mindestens zum Großteil mit Substituten für die Google Play Services?

Nicht dass ich wüsste. Am besten gefällt mir der Ansatz von GrapheneOS. (Ich habe diese Google Play Services aber nicht installiert)

Quote

GrapheneOS has a compatibility layer providing the option to install and use the official releases of Google Play in the standard app sandbox. Google Play receives absolutely no special access or privileges on GrapheneOS as opposed to bypassing the app sandbox and receiving a massive amount of highly privileged access. Instead, the compatibility layer teaches it how to work within the full app sandbox. It also isn't used as a backend for the OS services as it would be elsewhere since GrapheneOS doesn't use Google Play even when it's installed.

Since the Google Play apps are simply regular apps on GrapheneOS, you install them within a specific user or work profile and they're only available within that profile.

Man könnte ein Profil anlegen, in dem GApps und Apps, die das erfordern, installiert sind, und nur bei Bedarf dahin wechseln. Dann sind die Google Play Services die meiste Zeit komplett ausgeschaltet.

Diesen Beitrag teilen


Link zum Beitrag
morini
vor 24 Minuten von oktavian:

kenne kein Gerichtsurteil dazu. Wenn die app läuft, läuft sie eben. Verschlüsselung und Selinux auf enforced. Was genau ist da denn unsicherer als Originalrom?

Würde man irgendetwas von der Bank bekommen, wenn die Sicherheitsupdates älter als ein Monat / ein Jahr / 2 Jahre sind und die Rom original? Im Forum gibt es ja Leute die heulen, wenn banking nicht mehr auf Android 9 läuft usw. Was meint ihr wie da die updatelage ist?

 

Wenn in den Geschäftsbedingungen der Bank diesbezüglich nichts geschrieben steht, dürfte es im Schadensfall wohl keine Probleme geben. Naja, hoffentlich ist das dann so.

Diesen Beitrag teilen


Link zum Beitrag
Holgerli
vor 2 Stunden von morini:

Ist es seitens der DKB bzw. anderer Banken überhaupt zulässig, die App unter LineageOS bzw. unter einem anderen Custom ROM zu verwenden?

Warum nicht? Ich habe noch keine AGB gesehen, wo explizit das OS eines Herstellers ausgeschlossen wird. Das aktuelle LineageOS basiert auf Android 13, und ist somit aktuell.

vor 2 Stunden von morini:

Die Bank dürfte nämlich beim Einloggen erkennen können, unter welchem Betriebssystem die App läuft, was einem im Schadensfall auf die Füße fallen könnte.

Andersrum wird m.M.n. ein Schuh draus: Wenn die Bank das OS erkennt und für Unsicher hält, warum lässt sie dann das Einloggen zu?

Diesen Beitrag teilen


Link zum Beitrag
oktavian
vor 47 Minuten von Saek:

Man könnte ein Profil anlegen, in dem GApps und Apps, die das erfordern, installiert sind, und nur bei Bedarf dahin wechseln. Dann sind die Google Play Services die meiste Zeit komplett ausgeschaltet.

gaaps wird über recovery installiert. Keine Ahnung wie man das nur in Zweitprofil installieren könnte. Ich könnte die nur drauf haben und nicht einloggen und force close anwählen. Da mein banking Gerät meist immer im Flugmodus ist und bei Bedarf Wlan angeschaltet wird, spielt es für den akku auch vermutlich keine Rolle.

vor 49 Minuten von Saek:

nutze ich auch in Kombination mit f-droid. Allerdings kann ich eine Manipulation nicht ausschließen, da ich die Funktionsweise nicht 100% verstehe. Ist auch gut um apps anderer Länder zu installieren ohne das Land im Playstore wechseln zu müssen.

Diesen Beitrag teilen


Link zum Beitrag
Saek
28 minutes ago, oktavian said:

gaaps wird über recovery installiert.

Nicht bei GrapheneOS, siehe mein Zitat im letzten Post.

Diesen Beitrag teilen


Link zum Beitrag
slowandsteady
· bearbeitet von slowandsteady
Am 10.11.2023 um 10:04 von oktavian:

Leider geht google frei und banking nicht

Die comdirect PhotoTAN App hat jedenfalls kein Problem mit LineageOS. Die DKB-App auch nicht, aber da kann ich jetzt halt per Zahlungen freigeben (und nicht nur TANs erzeugen), was mich eigentlich stört. Aber zum Glück ist es ja auch nur Gemeinschaftskonto für "durchlaufende Posten".

 

Ich wüsste übrigens nicht, warum LineageOS unsicherer ist: Ja, der Bootloader ist unlocked, aber das braucht physikalischen Zugriff. Mein Smartphone ist verschlüsselt mit einer 20 Zeichen Passphrase (einmalig beim Start, dann Entsperrung per PIN/Fingerabdruck). Das kann man nicht "brute-forcen", wenn man es im ausgeschalteten Zustand findet. Ich auch kein "root" und halte meine Apps über den Aurora-Store up-to-date. Ich habe ca. die Hälfte der Apps insgesamt installiert als das Samsung-Smartphone meiner Freundin von Haus aus mitbringt, die Angriffsoberfläche ist also bedeutend geringer. Zudem habe ich mit LineageOS das allerneueste Android inkl. Security-Patches, mit meinem Smartphone hätte ich sonst mit der Xiaomi Stock-Software schon min. 2 Jahre keine Updates mehr.

Diesen Beitrag teilen


Link zum Beitrag
oktavian
vor 1 Stunde von slowandsteady:

Passphrase (einmalig beim Start, dann Entsperrung per PIN/Fingerabdruck

wo kann man das einstellen?

Diesen Beitrag teilen


Link zum Beitrag
Lou_Mannheim

Ich überlege gerade, ob ich mich mit 2FA Apps (vs. ChipTan / Offline-Geräte) anfreunden kann oder nicht (bin ein ziemlicher IT-Banause). Mir ist eine Flat Fee beim Handeln wichtig und die scheint man ohne 2FA App nicht mehr zu bekommen (wenn doch, freue ich mich über Hinweise).

 

Aus den diversen Diskussionen hier habe ich diverse Risken in Sachen "Sicherheit" mitgenommen, wenn man eine 2FA App benutzt. 


Würdet Ihr auch ein Risiko in Sachen "Privatsphäre" sehen, da die App ja auch vermutlich irgendwelche Daten an Google oder Apple übertragen wird? Sprich, landen dann meine Bankdaten bei Google oder Apple? Oder wird das durch Verschlüsselung ausgeschlossen oder ist das generell "Aluhut" im Vergleich zu den Sicherheitsrisiken? Manche hier scheinen ja Custom ROMs auf ihren Smartphones zu nutzen aber für einen Amateur scheint es mir ziemlicher Aufwand, sich da reinzufuchsen (und im Zweifel eher risikoerhöhend als -reduzierend).

Diesen Beitrag teilen


Link zum Beitrag
PKW
vor 2 Stunden von Lou_Mannheim:

Mir ist eine Flat Fee beim Handeln wichtig und die scheint man ohne 2FA App nicht mehr zu bekommen (wenn doch, freue ich mich über Hinweise).

Traders Place arbeitet mit SMS als zweite Authentifizierung. Zumindest wenn man im Webinterface ist.

Diesen Beitrag teilen


Link zum Beitrag
Lou_Mannheim

Danke @PKW. Auf deren Webseite sah das erstmal nur nach App aus, aber in den AGB stehts in der Tat auch so drin.

 

Falls noch jemand eine Meinung zu meiner Privatsphären-Frage hat, würde es mich dennoch interessieren.

Diesen Beitrag teilen


Link zum Beitrag
PKW

App ist nicht gleich App.
Eine App, die nur eine sechsstellige TAN aus einem QR-Code macht, ist weitaus unkritischer als eine App, mit der mal vollen Zugriff auf sein Banking hat. Der Trend dürfte aber zu letzterem gehen.
Ich vermeide beides und sei es nur aus dem Grund, dass ich den Instituten den Rücken stärke, die weiterhin app-freies Banking ermöglichen.

Diesen Beitrag teilen


Link zum Beitrag
Lou_Mannheim

SMS Tan hat leider auch spezifische Risiken. Läuft wohl alles auf einen Trade Off raus, was man für sich als relevanter ansieht. Darum gings mir hier auch letztlich. SMS Tan habe ich selbst auch genutzt und kann die Risiken (glaube ich) einschätzen, das Thema "App" leider (noch) nicht.   

 

Aus den hier im Thread verlinkten IT-Experten-Blogs habe ich mitgenommen, dass die gängigen Banking Apps, und seien es nur reine TAN Apps, wohl jedenfalls alle Tracker eingebaut haben, die mit Google etc. kommunizieren. Bei Push Tan Verfahren scheint die Technik von Google auch ein Feature an sich zu sein, ohne das die App Provider im Zweifel gar nicht können.

 

Geht es dabei "nur" um die Dinge wie Geräte-ID, Location, etc., die auch sonst ohnehin Teil der allgemeinen Datenschleuderei sind, oder landen dann auch meine konkreten Bankdaten an sich in irgendeiner Form bei Google oder Apple etc., entweder weil deren Technik für die App an sich genutzt wird oder schlicht weil die App über das jeweilige Betriebssytem des Smartphones läuft? Um welche Daten es konkret geht, kam in den Blog Posts nicht so raus (oder ich habe es überlesen).

Diesen Beitrag teilen


Link zum Beitrag
Ramstein
· bearbeitet von Ramstein
vor einer Stunde von Lou_Mannheim:

Aus den hier im Thread verlinkten IT-Experten-Blogs habe ich mitgenommen, dass die gängigen Banking Apps, und seien es nur reine TAN Apps, wohl jedenfalls alle Tracker eingebaut haben, die mit Google etc. kommunizieren.

Deutsche Bank Photo-Tan mache ich mit einem 15 Jahre alten iPhone 3GS und der DB-AppphotoTAN-App, wobei alle Kommunikation (Mobile, WLAN, Bluetooth) abgeschaltet ist.

 

Nachtrag: Es ist von 2009, also vielleicht auch erst 14,5 Jahre alt.

Diesen Beitrag teilen


Link zum Beitrag
Lou_Mannheim
vor 16 Stunden von Ramstein:

Deutsche Bank Photo-Tan mache ich mit einem 15 Jahre alten iPhone 3GS und der DB-AppphotoTAN-App, wobei alle Kommunikation (Mobile, WLAN, Bluetooth) abgeschaltet ist.

 

Nachtrag: Es ist von 2009, also vielleicht auch erst 14,5 Jahre alt.

Die Idee hat was. Einziger Haken mag die Installation sein, falls da bereits Daten zu Apple wandern. Bin wie gesagt kein Experte, keine Ahnung was da abläuft. Vielleicht ist das auch komplette Paranoia und hat sicherheits- und privatsphärentechnisch gar keinen Relevanz.

Diesen Beitrag teilen


Link zum Beitrag
wpf-leser
· bearbeitet von wpf-leser
vor 18 Stunden von Lou_Mannheim:

Geht es dabei "nur" um die Dinge wie Geräte-ID, Location, etc., die auch sonst ohnehin Teil der allgemeinen Datenschleuderei sind, oder landen dann auch meine konkreten Bankdaten an sich in irgendeiner Form bei Google oder Apple etc., entweder weil deren Technik für die App an sich genutzt wird oder schlicht weil die App über das jeweilige Betriebssytem des Smartphones läuft? Um welche Daten es konkret geht, kam in den Blog Posts nicht so raus (oder ich habe es überlesen).

Sicher bin ich mir nicht, würde aber nicht erwarten, dass es um bankingrelevante Informationen geht und mehr darum, bestehende Funktionalitäten zu benutzen. Dass dabei "allgemeine" Daten von den Diensten dazwischen "abgegriffen" werden - quasi geschenkt. Prinzipiell gehe ich also von deiner Haltung aus. Sicher sagen wird das aber kaum jemand können - und selbst wenn jemand die Apps und/oder Kommunikation seziert hat, könnte es morgen schon wieder anders sein.

 

---

 

Ganz allgemein passend zum Thema lief mir das hier neulich noch über den Weg:

 

Diesen Beitrag teilen


Link zum Beitrag
Lou_Mannheim
vor 5 Stunden von wpf-leser:

Sicher sagen wird das aber kaum jemand können - und selbst wenn jemand die Apps und/oder Kommunikation seziert hat, könnte es morgen schon wieder anders sein.

 

So wird's wohl unterm Strich sein. Hier hat sich zumindest mal jemand bemüht rauszufinden, welche Banken eher schonend mit den Daten der Kunden umgehen und welche nicht, die Liste ist zwar nicht abschließen aber vielleicht von Interesse: https://datendiaet.de/listen/banken/

 

Was das jetzt alles genau heißt und ob diese Analysen generell valide sind, kann ich nicht sagen. Mir als Laie scheint jedoch, wenn schon auf der Webseite der Bank lauter Tracker mitlaufen, braucht man sich über ein zwei Tracker mehr in der App auch keine Gedanken mehr zu machen, jedenfalls was die Privatsphäre angeht.

Diesen Beitrag teilen


Link zum Beitrag
SlowHand7
vor 7 Minuten von Lou_Mannheim:

So wird's wohl unterm Strich sein. Hier hat sich zumindest mal jemand bemüht rauszufinden, welche Banken eher schonend mit den Daten der Kunden umgehen und welche nicht, die Liste ist zwar nicht abschließen aber vielleicht von Interesse: https://datendiaet.de/listen/banken/

 

Was das jetzt alles genau heißt und ob diese Analysen generell valide sind, kann ich nicht sagen. Mir als Laie scheint jedoch, wenn schon auf der Webseite der Bank lauter Tracker mitlaufen, braucht man sich über ein zwei Tracker mehr in der App auch keine Gedanken mehr zu machen, jedenfalls was die Privatsphäre angeht.

Das Thema wird m.E. oft übertrieben bewertet.

Wenn man nicht gerade Der Staatsfeind Nr. 1 ist dann interessiert es doch niemanden wo man wann für welchen Betrag einkauft.  :)

 

Im Online Banking gibt es keine Werbung und kein XSS.

Und Dinge wie googleanalytics und googletagmanager werden bereits in der Firewall geblockt.

 

Diesen Beitrag teilen


Link zum Beitrag
PKW
vor 7 Minuten von SlowHand7:

Das Thema wird m.E. oft übertrieben bewertet.

Wenn man nicht gerade Der Staatsfeind Nr. 1 ist dann interessiert es doch niemanden wo man wann für welchen Betrag einkauft.

Ich bin sicher nicht der einzige, der gerne die Kontoauszüge und Depotabrechnungen der Leute sichten würde, die meinen dass sowas niemand interessiert.

Diesen Beitrag teilen


Link zum Beitrag
SlowHand7
vor 8 Minuten von PKW:

Ich bin sicher nicht der einzige, der gerne die Kontoauszüge und Depotabrechnungen der Leute sichten würde, die meinen dass sowas niemand interessiert.

Wenn man nicht gerade dubiose Dienste verwendet und Dritten Konteneinsicht gewährt dann dringt doch nichts von der Bank nach draußen.

Jetzt mal FA und andere Behörden ausgenommen die natürlich Anfragen stellen können.

Diesen Beitrag teilen


Link zum Beitrag
PKW
vor 54 Minuten von SlowHand7:

Wenn ... dann dringt doch nichts von der Bank nach draußen.

Hoffen wir. Und tun hoffentlich auch das Unsre damit es so bleibt.

Diesen Beitrag teilen


Link zum Beitrag
Lou_Mannheim

Also nur ums nochmal klarzustellen, mir gehts nicht um die Privatsphäre an sich, sondern darum ob diese Datensammelei für sich genommen auch ein Sicherheitsrisko darstellen könnte. Wenn das für sich betrachtet kein relevantes Risiko ist, um so besser. 

 

 

 

 

Diesen Beitrag teilen


Link zum Beitrag
SlowHand7
vor 3 Minuten von Lou_Mannheim:

Also nur ums nochmal klarzustellen, mir gehts nicht um die Privatsphäre an sich, sondern darum ob diese Datensammelei für sich genommen auch ein Sicherheitsrisko darstellen könnte. Wenn das für sich betrachtet kein relevantes Risiko ist, um so besser. 

 

 

 

 

Wie gesagt, wer solchen Quatsch wie Klarna, Direktüberweisung oder gar einen Kontowechselservice benutzt muß sich nicht beklagen wenn seine Daten in falsche Hände geraten.

Diesen Beitrag teilen


Link zum Beitrag
Lou_Mannheim

Um die es hier ja auch nicht ging :-)

Diesen Beitrag teilen


Link zum Beitrag

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden

×
×
  • Neu erstellen...