Von (Zwei-Faktor-)Authentisierung, (zu?) mächtigen Apps, Smartphones, TAN-Generatoren und Sicherheitsbedenken

[oktavian]

vor 57 Minuten von Saek:

Bei mir laufen unter GrapheneOS und CalyxOS ohne GApps die Apps von Postbank, comdirect, DKB, ING, IBKR, DAB Secure, Barclays, Advanzia. Nur die Hanseatic Secure App ging nicht, als ich sie vor einiger Zeit probiert hatte.

• wo kriegst du dann die updates sicher her?
• ja, nicht alle apps gehen, aber einige schon (es reicht schon, wenn eine app nicht geht)

vor 1 Stunde von morini:

Ist es seitens der DKB bzw. anderer Banken überhaupt zulässig, die App unter LineageOS bzw. unter einem anderen Custom ROM zu verwenden?

 

Gibt es in einem solchen Fall Schadensersatz, wenn das Konto gehackt werden sollte?

kenne kein Gerichtsurteil dazu. Wenn die app läuft, läuft sie eben. Verschlüsselung und Selinux auf enforced. Was genau ist da denn unsicherer als Originalrom?

Würde man irgendetwas von der Bank bekommen, wenn die Sicherheitsupdates älter als ein Monat / ein Jahr / 2 Jahre sind und die Rom original? Im Forum gibt es ja Leute die heulen, wenn banking nicht mehr auf Android 9 läuft usw. Was meint ihr wie da die updatelage ist?

[wpf-leser]

vor 58 Minuten von Saek:

Bei mir laufen unter GrapheneOS und CalyxOS ohne GApps[...]

... aber doch bestimmt "trotzdem" mindestens zum Großteil mit Substituten für die Google Play Services?

[Saek]

11 minutes ago, oktavian said:

wo kriegst du dann die updates sicher her?

Aurora Store: https://f-droid.org/packages/com.aurora.store/

8 minutes ago, wpf-leser said:

... aber doch bestimmt "trotzdem" mindestens zum Großteil mit Substituten für die Google Play Services?

Nicht dass ich wüsste. Am besten gefällt mir der Ansatz von GrapheneOS. (Ich habe diese Google Play Services aber nicht installiert)

Quote

GrapheneOS has a compatibility layer providing the option to install and use the official releases of Google Play in the standard app sandbox. Google Play receives absolutely no special access or privileges on GrapheneOS as opposed to bypassing the app sandbox and receiving a massive amount of highly privileged access. Instead, the compatibility layer teaches it how to work within the full app sandbox. It also isn't used as a backend for the OS services as it would be elsewhere since GrapheneOS doesn't use Google Play even when it's installed.

Since the Google Play apps are simply regular apps on GrapheneOS, you install them within a specific user or work profile and they're only available within that profile.

Man könnte ein Profil anlegen, in dem GApps und Apps, die das erfordern, installiert sind, und nur bei Bedarf dahin wechseln. Dann sind die Google Play Services die meiste Zeit komplett ausgeschaltet.

[morini]

vor 24 Minuten von oktavian:

kenne kein Gerichtsurteil dazu. Wenn die app läuft, läuft sie eben. Verschlüsselung und Selinux auf enforced. Was genau ist da denn unsicherer als Originalrom?

Würde man irgendetwas von der Bank bekommen, wenn die Sicherheitsupdates älter als ein Monat / ein Jahr / 2 Jahre sind und die Rom original? Im Forum gibt es ja Leute die heulen, wenn banking nicht mehr auf Android 9 läuft usw. Was meint ihr wie da die updatelage ist?

 

Wenn in den Geschäftsbedingungen der Bank diesbezüglich nichts geschrieben steht, dürfte es im Schadensfall wohl keine Probleme geben. Naja, hoffentlich ist das dann so.

[Holgerli]

vor 2 Stunden von morini:

Ist es seitens der DKB bzw. anderer Banken überhaupt zulässig, die App unter LineageOS bzw. unter einem anderen Custom ROM zu verwenden?

Warum nicht? Ich habe noch keine AGB gesehen, wo explizit das OS eines Herstellers ausgeschlossen wird. Das aktuelle LineageOS basiert auf Android 13, und ist somit aktuell.

vor 2 Stunden von morini:

Die Bank dürfte nämlich beim Einloggen erkennen können, unter welchem Betriebssystem die App läuft, was einem im Schadensfall auf die Füße fallen könnte.

Andersrum wird m.M.n. ein Schuh draus: Wenn die Bank das OS erkennt und für Unsicher hält, warum lässt sie dann das Einloggen zu?

[oktavian]

vor 47 Minuten von Saek:

Man könnte ein Profil anlegen, in dem GApps und Apps, die das erfordern, installiert sind, und nur bei Bedarf dahin wechseln. Dann sind die Google Play Services die meiste Zeit komplett ausgeschaltet.

gaaps wird über recovery installiert. Keine Ahnung wie man das nur in Zweitprofil installieren könnte. Ich könnte die nur drauf haben und nicht einloggen und force close anwählen. Da mein banking Gerät meist immer im Flugmodus ist und bei Bedarf Wlan angeschaltet wird, spielt es für den akku auch vermutlich keine Rolle.

vor 49 Minuten von Saek:

Aurora Store: https://f-droid.org/packages/com.aurora.store/

nutze ich auch in Kombination mit f-droid. Allerdings kann ich eine Manipulation nicht ausschließen, da ich die Funktionsweise nicht 100% verstehe. Ist auch gut um apps anderer Länder zu installieren ohne das Land im Playstore wechseln zu müssen.

[Saek]

28 minutes ago, oktavian said:

gaaps wird über recovery installiert.

Nicht bei GrapheneOS, siehe mein Zitat im letzten Post.

[slowandsteady]

Am 10.11.2023 um 10:04 von oktavian:

Leider geht google frei und banking nicht

Die comdirect PhotoTAN App hat jedenfalls kein Problem mit LineageOS. Die DKB-App auch nicht, aber da kann ich jetzt halt per Zahlungen freigeben (und nicht nur TANs erzeugen), was mich eigentlich stört. Aber zum Glück ist es ja auch nur Gemeinschaftskonto für "durchlaufende Posten".

 

Ich wüsste übrigens nicht, warum LineageOS unsicherer ist: Ja, der Bootloader ist unlocked, aber das braucht physikalischen Zugriff. Mein Smartphone ist verschlüsselt mit einer 20 Zeichen Passphrase (einmalig beim Start, dann Entsperrung per PIN/Fingerabdruck). Das kann man nicht "brute-forcen", wenn man es im ausgeschalteten Zustand findet. Ich auch kein "root" und halte meine Apps über den Aurora-Store up-to-date. Ich habe ca. die Hälfte der Apps insgesamt installiert als das Samsung-Smartphone meiner Freundin von Haus aus mitbringt, die Angriffsoberfläche ist also bedeutend geringer. Zudem habe ich mit LineageOS das allerneueste Android inkl. Security-Patches, mit meinem Smartphone hätte ich sonst mit der Xiaomi Stock-Software schon min. 2 Jahre keine Updates mehr.

[oktavian]

vor 1 Stunde von slowandsteady:

Passphrase (einmalig beim Start, dann Entsperrung per PIN/Fingerabdruck

wo kann man das einstellen?

[Lou_Mannheim]

Ich überlege gerade, ob ich mich mit 2FA Apps (vs. ChipTan / Offline-Geräte) anfreunden kann oder nicht (bin ein ziemlicher IT-Banause). Mir ist eine Flat Fee beim Handeln wichtig und die scheint man ohne 2FA App nicht mehr zu bekommen (wenn doch, freue ich mich über Hinweise).

 

Aus den diversen Diskussionen hier habe ich diverse Risken in Sachen "Sicherheit" mitgenommen, wenn man eine 2FA App benutzt. 

Würdet Ihr auch ein Risiko in Sachen "Privatsphäre" sehen, da die App ja auch vermutlich irgendwelche Daten an Google oder Apple übertragen wird? Sprich, landen dann meine Bankdaten bei Google oder Apple? Oder wird das durch Verschlüsselung ausgeschlossen oder ist das generell "Aluhut" im Vergleich zu den Sicherheitsrisiken? Manche hier scheinen ja Custom ROMs auf ihren Smartphones zu nutzen aber für einen Amateur scheint es mir ziemlicher Aufwand, sich da reinzufuchsen (und im Zweifel eher risikoerhöhend als -reduzierend).

[PKW]

vor 2 Stunden von Lou_Mannheim:

Mir ist eine Flat Fee beim Handeln wichtig und die scheint man ohne 2FA App nicht mehr zu bekommen (wenn doch, freue ich mich über Hinweise).

Traders Place arbeitet mit SMS als zweite Authentifizierung. Zumindest wenn man im Webinterface ist.

[Lou_Mannheim]

Danke @PKW. Auf deren Webseite sah das erstmal nur nach App aus, aber in den AGB stehts in der Tat auch so drin.

 

Falls noch jemand eine Meinung zu meiner Privatsphären-Frage hat, würde es mich dennoch interessieren.

[PKW]

App ist nicht gleich App.
Eine App, die nur eine sechsstellige TAN aus einem QR-Code macht, ist weitaus unkritischer als eine App, mit der mal vollen Zugriff auf sein Banking hat. Der Trend dürfte aber zu letzterem gehen.
Ich vermeide beides und sei es nur aus dem Grund, dass ich den Instituten den Rücken stärke, die weiterhin app-freies Banking ermöglichen.

[Lou_Mannheim]

SMS Tan hat leider auch spezifische Risiken. Läuft wohl alles auf einen Trade Off raus, was man für sich als relevanter ansieht. Darum gings mir hier auch letztlich. SMS Tan habe ich selbst auch genutzt und kann die Risiken (glaube ich) einschätzen, das Thema "App" leider (noch) nicht.   

 

Aus den hier im Thread verlinkten IT-Experten-Blogs habe ich mitgenommen, dass die gängigen Banking Apps, und seien es nur reine TAN Apps, wohl jedenfalls alle Tracker eingebaut haben, die mit Google etc. kommunizieren. Bei Push Tan Verfahren scheint die Technik von Google auch ein Feature an sich zu sein, ohne das die App Provider im Zweifel gar nicht können.

 

Geht es dabei "nur" um die Dinge wie Geräte-ID, Location, etc., die auch sonst ohnehin Teil der allgemeinen Datenschleuderei sind, oder landen dann auch meine konkreten Bankdaten an sich in irgendeiner Form bei Google oder Apple etc., entweder weil deren Technik für die App an sich genutzt wird oder schlicht weil die App über das jeweilige Betriebssytem des Smartphones läuft? Um welche Daten es konkret geht, kam in den Blog Posts nicht so raus (oder ich habe es überlesen).

[Ramstein]

vor einer Stunde von Lou_Mannheim:

Aus den hier im Thread verlinkten IT-Experten-Blogs habe ich mitgenommen, dass die gängigen Banking Apps, und seien es nur reine TAN Apps, wohl jedenfalls alle Tracker eingebaut haben, die mit Google etc. kommunizieren.

Deutsche Bank Photo-Tan mache ich mit einem 15 Jahre alten iPhone 3GS und der DB-AppphotoTAN-App, wobei alle Kommunikation (Mobile, WLAN, Bluetooth) abgeschaltet ist.

 

Nachtrag: Es ist von 2009, also vielleicht auch erst 14,5 Jahre alt.

[Lou_Mannheim]

vor 16 Stunden von Ramstein:

Deutsche Bank Photo-Tan mache ich mit einem 15 Jahre alten iPhone 3GS und der DB-AppphotoTAN-App, wobei alle Kommunikation (Mobile, WLAN, Bluetooth) abgeschaltet ist.

 

Nachtrag: Es ist von 2009, also vielleicht auch erst 14,5 Jahre alt.

Die Idee hat was. Einziger Haken mag die Installation sein, falls da bereits Daten zu Apple wandern. Bin wie gesagt kein Experte, keine Ahnung was da abläuft. Vielleicht ist das auch komplette Paranoia und hat sicherheits- und privatsphärentechnisch gar keinen Relevanz.

[wpf-leser]

vor 18 Stunden von Lou_Mannheim:

Geht es dabei "nur" um die Dinge wie Geräte-ID, Location, etc., die auch sonst ohnehin Teil der allgemeinen Datenschleuderei sind, oder landen dann auch meine konkreten Bankdaten an sich in irgendeiner Form bei Google oder Apple etc., entweder weil deren Technik für die App an sich genutzt wird oder schlicht weil die App über das jeweilige Betriebssytem des Smartphones läuft? Um welche Daten es konkret geht, kam in den Blog Posts nicht so raus (oder ich habe es überlesen).

Sicher bin ich mir nicht, würde aber nicht erwarten, dass es um bankingrelevante Informationen geht und mehr darum, bestehende Funktionalitäten zu benutzen. Dass dabei "allgemeine" Daten von den Diensten dazwischen "abgegriffen" werden - quasi geschenkt. Prinzipiell gehe ich also von deiner Haltung aus. Sicher sagen wird das aber kaum jemand können - und selbst wenn jemand die Apps und/oder Kommunikation seziert hat, könnte es morgen schon wieder anders sein.

 

---

 

Ganz allgemein passend zum Thema lief mir das hier neulich noch über den Weg:

 

[Lou_Mannheim]

vor 5 Stunden von wpf-leser:

Sicher sagen wird das aber kaum jemand können - und selbst wenn jemand die Apps und/oder Kommunikation seziert hat, könnte es morgen schon wieder anders sein.

 

So wird's wohl unterm Strich sein. Hier hat sich zumindest mal jemand bemüht rauszufinden, welche Banken eher schonend mit den Daten der Kunden umgehen und welche nicht, die Liste ist zwar nicht abschließen aber vielleicht von Interesse: https://datendiaet.de/listen/banken/

 

Was das jetzt alles genau heißt und ob diese Analysen generell valide sind, kann ich nicht sagen. Mir als Laie scheint jedoch, wenn schon auf der Webseite der Bank lauter Tracker mitlaufen, braucht man sich über ein zwei Tracker mehr in der App auch keine Gedanken mehr zu machen, jedenfalls was die Privatsphäre angeht.

[SlowHand7]

vor 7 Minuten von Lou_Mannheim:

So wird's wohl unterm Strich sein. Hier hat sich zumindest mal jemand bemüht rauszufinden, welche Banken eher schonend mit den Daten der Kunden umgehen und welche nicht, die Liste ist zwar nicht abschließen aber vielleicht von Interesse: https://datendiaet.de/listen/banken/

 

Was das jetzt alles genau heißt und ob diese Analysen generell valide sind, kann ich nicht sagen. Mir als Laie scheint jedoch, wenn schon auf der Webseite der Bank lauter Tracker mitlaufen, braucht man sich über ein zwei Tracker mehr in der App auch keine Gedanken mehr zu machen, jedenfalls was die Privatsphäre angeht.

Das Thema wird m.E. oft übertrieben bewertet.

Wenn man nicht gerade Der Staatsfeind Nr. 1 ist dann interessiert es doch niemanden wo man wann für welchen Betrag einkauft. 

 

Im Online Banking gibt es keine Werbung und kein XSS.

Und Dinge wie googleanalytics und googletagmanager werden bereits in der Firewall geblockt.

 

[PKW]

vor 7 Minuten von SlowHand7:

Das Thema wird m.E. oft übertrieben bewertet.

Wenn man nicht gerade Der Staatsfeind Nr. 1 ist dann interessiert es doch niemanden wo man wann für welchen Betrag einkauft.

Ich bin sicher nicht der einzige, der gerne die Kontoauszüge und Depotabrechnungen der Leute sichten würde, die meinen dass sowas niemand interessiert.

[SlowHand7]

vor 8 Minuten von PKW:

Ich bin sicher nicht der einzige, der gerne die Kontoauszüge und Depotabrechnungen der Leute sichten würde, die meinen dass sowas niemand interessiert.

Wenn man nicht gerade dubiose Dienste verwendet und Dritten Konteneinsicht gewährt dann dringt doch nichts von der Bank nach draußen.

Jetzt mal FA und andere Behörden ausgenommen die natürlich Anfragen stellen können.

[PKW]

vor 54 Minuten von SlowHand7:

Wenn ... dann dringt doch nichts von der Bank nach draußen.

Hoffen wir. Und tun hoffentlich auch das Unsre damit es so bleibt.

[Lou_Mannheim]

Also nur ums nochmal klarzustellen, mir gehts nicht um die Privatsphäre an sich, sondern darum ob diese Datensammelei für sich genommen auch ein Sicherheitsrisko darstellen könnte. Wenn das für sich betrachtet kein relevantes Risiko ist, um so besser. 

 

 

 

 

[SlowHand7]

vor 3 Minuten von Lou_Mannheim:

Also nur ums nochmal klarzustellen, mir gehts nicht um die Privatsphäre an sich, sondern darum ob diese Datensammelei für sich genommen auch ein Sicherheitsrisko darstellen könnte. Wenn das für sich betrachtet kein relevantes Risiko ist, um so besser. 

 

 

 

 

Wie gesagt, wer solchen Quatsch wie Klarna, Direktüberweisung oder gar einen Kontowechselservice benutzt muß sich nicht beklagen wenn seine Daten in falsche Hände geraten.

[Lou_Mannheim]

Um die es hier ja auch nicht ging :-)