1. Foren
  2. Kommentare
  3. Handy
  4. Alle Kommentare zum Artikel
  5. › Mobile Payment: Bezahl-App der Sparkasse…
  6. Thema

bestimmt wieder mit Root-Block!

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Re: bestimmt wieder mit Root-Block!

    Autor: Sharra 03.07.18 - 04:45

    Das Problem bei gerooteten Geräten ist, dass im Hintergrund ein Prozess laufen kann, den die Bank-App nicht sieht, weil sie selbst eben die Rootrechte verweigert bekommt.
    Die Bank-App kann damit nicht sicher gehen, dass die Daten, mit denen sie zu arbeiten hat, auch wirklich Originaldaten und legitim sind.

    Gut, sehen wir es realistisch: Auf einem Androidgerät kann eine App da niemals sicher sein. Und je unbedarfter der User, desto wahrscheinlicher hockt da schon ein Root-Trojaner auf dem Gerät. Aber das interessiert die Banken ja nicht...

    Und von wegen Tan und Onlinebanking auf einem Gerät. Bis vor ein paar Jahren haben die Banken das noch als des Teufels Methode bei Todesstrafe, und Entzug des Erstgeborenen, verboten. Da wurden sogar Kontoverträge gekündigt, wenn rauskam, dass Leute das trotzdem gemacht haben.
    Und eines Tages: "Hey, Sparkasse hier, wir.... ham jetzt ne ÄPP! Voll cool und so. Kannse Onlinebanking mit machen. Was? Jaaaa du kannst das gleiche Gerät auch für die Tan benutzen. Kein Thema. Ja, haben wir mal gesagt, interessiert doch aber nicht mehr oder? Wir haben doch jetzt ne ÄPP!!!"

  2. Re: bestimmt wieder mit Root-Block!

    Autor: LinuxMcBook 03.07.18 - 04:57

    Sharra schrieb:
    --------------------------------------------------------------------------------
    > Gut, sehen wir es realistisch: Auf einem Androidgerät kann eine App da
    > niemals sicher sein. Und je unbedarfter der User, desto wahrscheinlicher
    > hockt da schon ein Root-Trojaner auf dem Gerät. Aber das interessiert die
    > Banken ja nicht...

    Und bei Apple nicht oder wie?
    Also gab es nie Jailbreaks bei iOS?

    Oder etwa doch?
    Ich erinner mich, dass das sogar mal simple über den Browser ging...

  3. Re: bestimmt wieder mit Root-Block!

    Autor: Anonymer Nutzer 03.07.18 - 05:00

    Sharra schrieb:
    --------------------------------------------------------------------------------
    > Das Problem bei gerooteten Geräten ist, dass im Hintergrund ein Prozess
    > laufen kann, den die Bank-App nicht sieht, weil sie selbst eben die
    > Rootrechte verweigert bekommt.
    > Die Bank-App kann damit nicht sicher gehen, dass die Daten, mit denen sie
    > zu arbeiten hat, auch wirklich Originaldaten und legitim sind.

    Wenn man halbwegs sein Hirn benutzt halte ich die Gefahr nicht für größer als bei nem normalen Windows/Linux/Mac Rechner. Auch da versaut man sich alles mit nem falschen Klick.

    Auf der anderen Seite kenne ich viele Leute die noch ein Handy nutzen das seit >1Jahr end of life ist. Aber natürlich mit Banking App + Tan App auf einem Gerät. Und sobald denen irgend eine Webseite die Installation einer App empfiehlt (solche gibt's ja leider auch) wird sofort auf installieren gedrückt. Egal welche Rechte die App will.

    Natürlich sollten solche Leute kein Root haben. Aber eigentlich sollten solche Leute auch kein Handy mit Banking App haben. Bei nem Handy das >1 Jahr kein Update mehr gesehen hat kann sich eh jede App Root unberechtigt holen



    1 mal bearbeitet, zuletzt am 03.07.18 05:04 durch RichardEb.

  4. Re: bestimmt wieder mit Root-Block!

    Autor: Sharra 03.07.18 - 05:02

    RichardEb schrieb:
    --------------------------------------------------------------------------------
    > Sharra schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Das Problem bei gerooteten Geräten ist, dass im Hintergrund ein Prozess
    > > laufen kann, den die Bank-App nicht sieht, weil sie selbst eben die
    > > Rootrechte verweigert bekommt.
    > > Die Bank-App kann damit nicht sicher gehen, dass die Daten, mit denen
    > sie
    > > zu arbeiten hat, auch wirklich Originaldaten und legitim sind.
    >
    > Wenn man halbwegs sein Hirn benutzt halte ich die Gefahr nicht für größer
    > als bei nem normalen Windows/Linux/Mac Rechner. Auch da versaut man sich
    > alles mit nem falschen Klick.
    >
    > Auf der anderen Seite kenne ich viele Leute die noch ein Handy nutzen das
    > seit >1Jahr end of life ist. Aber natürlich mit Banking App + Tan App auf
    > einem Gerät. Und sobald denen irgend eine Webseite die Installation einer
    > App empfiehlt (solche gibt's ja leider auch) wird sofort auf installieren
    > gedrückt. Egal welche Rechte die App will.
    >
    > Natürlich sollten solche Leute kein Root haben. Aber eigentlich sollten
    > solche Leute auch kein Handy mit Banking App haben.

    Solche Leute sollten ohne Aufsicht gar nicht auf die Straße... Nur meine persönliche Meinung.
    Das sind die Leute, die auch dem Erbprinzen aus Uganda helfen, oder ihr Konto für Geldwäsche zur Verfügung stellen.

  5. Re: bestimmt wieder mit Root-Block!

    Autor: elknipso 03.07.18 - 06:59

    m8Flo schrieb:
    --------------------------------------------------------------------------------
    > Könnt ihr eventuell etwas genauer definieren, was ihr mit "unsicher" meint?
    > Unsicher für wen?
    >
    > Unsicher im Sinne von mein Bankkonto wird gehack? Oder im Sinne von die
    > Bank selbst wird gehackt?
    >
    > Kurz was zu beiden Fällen:
    > 1. Dann ist das *meine* Entscheidung. Ich riskiere als Rootnutzer eben die
    > Sicherheit meines Geldes, das hat die Bank nicht zu interessieren.
    > Schreiben sie halt in ihre AGB, dass man die volle Verantwortung übernimmt,
    > falls man sein Gerät rootet.
    > 2. Wenn die Bank so schlecht ist, dass ein gerootetes Gerät sie hacken
    > kann, dann sollte man wohl lieber dicht machen. In dem Fall wäre die Bank
    > auch von normalen PCs bedroht.


    Eben nicht. Zum einen wären diese Nutzer zu 99,99% die ersten die ganz laut weinen wenn ihr Geld weg ist und den Schaden von ihrer Bank ersetzt haben wollen. Und zudem würde es den Ruf von mobilen Bezahllösungen im allgemeinen, und den der Bank im speziellen beschädigen.

    Es gibt aus sicherheitstechnischer Sicht verdammt gute Gründe, Banking Apps nicht auf einer manipulierten Betriebssystem Umgebung laufen zu lassen, auch wenn das die root Nutzer nicht gerne hören.

  6. Re: bestimmt wieder mit Root-Block!

    Autor: Sharra 03.07.18 - 07:05

    elknipso schrieb:

    > Es gibt aus sicherheitstechnischer Sicht verdammt gute Gründe, Banking Apps
    > nicht auf einer manipulierten Betriebssystem Umgebung laufen zu lassen,
    > auch wenn das die root Nutzer nicht gerne hören.

    Wenn man dann wenigstens konsequent wäre, und unsichere Betriebssysteme per se nicht unterstützen würde, ja dann würde ein Schuh draus werden.

    Jede Woche bekommen wir hier Meldungen über Trojaner für Windows, oder irgendwelche Malware für Android, die sich Rootrechte verschafft, das dem Rest aber gut verschleiert.

    Und dagegen sind diese "Sicherheitsmechanismen" solcher Apps absolut machtlos.

  7. Re: bestimmt wieder mit Root-Block!

    Autor: elknipso 03.07.18 - 07:08

    m8Flo schrieb:
    --------------------------------------------------------------------------------
    > Es wäre einfacher wenn du das alles in einer Antwort schreibst.
    >
    > > Aber mal anders gefragt, willst du wirklich zum Preis des Nutzens eines
    > > Comfort-Feature unter root dein komplettes Geld bei der Bank + den
    > maximal
    > > möglichen Überziehungsrahmen riskieren?
    > Genau hier ist ein wichtiger Punkt. Für mich als erfahrenen Nutzer ist
    > dieses Risiko eben minimal bis nicht existent. Jeder sollte selbst wissen,
    > ob er in der Lage ist auf sein Gerät so gut aufzupassen, dass er sich
    > zutraut sein Gerät zu rooten.

    Zum einen glaubst Du das nur, dass das Risiko nicht existent wäre, und zum anderen hätte die Bank damit einen Freifahrtschein auch für alle möglichen anderen Szenarien, da sie komplett aus der Haftung draußen ist. Sie kann immer sagen, das Problem hatte seine Ursache in dem vom Kunden absichtlich genutzten unsicheren System.

  8. Re: bestimmt wieder mit Root-Block!

    Autor: Anonymer Nutzer 03.07.18 - 08:10

    elknipso schrieb:
    --------------------------------------------------------------------------------
    > m8Flo schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Es wäre einfacher wenn du das alles in einer Antwort schreibst.
    > >
    > > > Aber mal anders gefragt, willst du wirklich zum Preis des Nutzens
    > eines
    > > > Comfort-Feature unter root dein komplettes Geld bei der Bank + den
    > > maximal
    > > > möglichen Überziehungsrahmen riskieren?
    > > Genau hier ist ein wichtiger Punkt. Für mich als erfahrenen Nutzer ist
    > > dieses Risiko eben minimal bis nicht existent. Jeder sollte selbst
    > wissen,
    > > ob er in der Lage ist auf sein Gerät so gut aufzupassen, dass er sich
    > > zutraut sein Gerät zu rooten.
    >
    > Zum einen glaubst Du das nur, dass das Risiko nicht existent wäre, und zum
    > anderen hätte die Bank damit einen Freifahrtschein auch für alle möglichen
    > anderen Szenarien, da sie komplett aus der Haftung draußen ist. Sie kann
    > immer sagen, das Problem hatte seine Ursache in dem vom Kunden absichtlich
    > genutzten unsicheren System.

    Das Risiko ist exakt genau so groß, wie wenn du unter Windows nen Programm runterlädst und ausführst. Oder unter Linux nen Programm runter lädst und ausführst (mit eingerichtetem sudo oder ohne su pw oder der Nutzer tippt das Passwort trotzdem ein).

    Ich verstehe ja grundsätzlich den Wunsch eine "idioten" sichere Softwareumgebung zu schaffen, wie Android und Apple das probieren. ABER wenn den Banken die Sicherheit der Kunden wichtig wären müssten sie zu aller erst Android-Geräte sperren, dessen Security-Patch-Level älter als 3Monate ist. Das wären dann nahezu alle Geräte. Selbst bei Smartphones die offiziell noch supported werden dauern Updates teilweise ewig. (Außerdem Banking und Tan App auf dem selben Geräte grundsätzlich verbieten. Das ist immer ein großes Risiko)

    Noch dazu kommt, dass man bei aller "Abschottung" der Geräte vor allem einen "Lock in" auf einen bestimmten Anbieter hat. Besonders bei Apple ist das extrem. Auf einem IPhone geht gar nichts ohne Apples segen. Darauf kann ich gerne verzichten.



    2 mal bearbeitet, zuletzt am 03.07.18 08:17 durch RichardEb.

  9. Re: bestimmt wieder mit Root-Block!

    Autor: elknipso 03.07.18 - 08:38

    Das ist halt in dem Fall nicht praktikabel, daher werden es die Banken nicht tun. Damit würden sie nahezu alle Android Nutzer aussperren.

  10. Re: bestimmt wieder mit Root-Block!

    Autor: IceMuffins 03.07.18 - 08:40

    RichardEb schrieb:
    --------------------------------------------------------------------------------
    > [...]
    > Noch dazu kommt, dass man bei aller "Abschottung" der Geräte vor allem
    > einen "Lock in" auf einen bestimmten Anbieter hat. Besonders bei Apple ist
    > das extrem. Auf einem IPhone geht gar nichts ohne Apples segen. Darauf kann
    > ich gerne verzichten.

    Kann manchmal nervig sein, aber überwiegend stört es nicht. Aktuell bin ich über diese Abschottung sogar froh, weil eine Bank dann Apple Pay, wenn es hier startet, unterstützen muss, wenn sie nicht eine ganze Kundengruppe verärgern möchte. Damit bleibt man von den x Frickellösungen, die jetzt für Android erscheinen werden, verschont. Wenn ich mit dem Smartphone zahle will ich damit auch die Zahlung authorisieren, bei den Frickellösungen darf ich wieder das Terminal nutzen, da kann ich auch bei der NFC-Karte bleiben.

    Und Root ... würde ich als Bank auch ausschließen. Immerhin kennt man nicht den User, der da gerade Root-Rechte verwendet. Will nicht wissen wie viele das haben ohne genau zu wissen was es bedeutet, einfach nur weil dann ein systemweiter Ad-Blocker o.ä. funktioniert.

  11. Re: bestimmt wieder mit Root-Block!

    Autor: Anonymer Nutzer 03.07.18 - 09:01

    IceMuffins schrieb:
    --------------------------------------------------------------------------------
    > RichardEb schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > [...]
    > > Noch dazu kommt, dass man bei aller "Abschottung" der Geräte vor allem
    > > einen "Lock in" auf einen bestimmten Anbieter hat. Besonders bei Apple
    > ist
    > > das extrem. Auf einem IPhone geht gar nichts ohne Apples segen. Darauf
    > kann
    > > ich gerne verzichten.
    >
    > Kann manchmal nervig sein, aber überwiegend stört es nicht. Aktuell bin ich
    > über diese Abschottung sogar froh, weil eine Bank dann Apple Pay, wenn es
    > hier startet, unterstützen muss, wenn sie nicht eine ganze Kundengruppe
    > verärgern möchte. Damit bleibt man von den x Frickellösungen, die jetzt für
    > Android erscheinen werden, verschont. Wenn ich mit dem Smartphone zahle
    > will ich damit auch die Zahlung authorisieren, bei den Frickellösungen darf
    > ich wieder das Terminal nutzen, da kann ich auch bei der NFC-Karte
    > bleiben.

    Mit Google Pay gibt es ne alternative zu Apple Pay.
    Der einzig Unterschied ist, dass Apple aktiv andere Anbieter blockiert. (Was grundsätzlich erstmal schlecht ist)

    Dafür das die Banken es Google Pay widerrum schwer machen kann Google auch nichts.

  12. Re: bestimmt wieder mit Root-Block!

    Autor: Alexander1996 03.07.18 - 09:14

    Dann lieber deine sogenannte Frickellösung auch wenn ich sie nicht so nennen würde. Den Finger zu bewegen bei 5% der Zahlungen weil sie über 25¤ sind kann ich dann auch noch anstatt meine Zahlungsvorgänge auch noch einem Amerikanischen Konzern offenzulegen der sie mit 150% Wahrscheinlichkeit benutzen wird. Weil aus Nächstenliebe bieten sie diesen Dienst nicht kostenlos an.

  13. Re: bestimmt wieder mit Root-Block!

    Autor: treysis 03.07.18 - 09:19

    LinuxMcBook schrieb:
    --------------------------------------------------------------------------------
    > Das ist insofern hinfällig, als das der Gesetzgeber die Bank in der Haftung
    > sieht, wenn dir Geld missbräuchlich vom Konto abgebucht wird.
    > Wobei man da wirklich argumentieren könnte, dass root-User grob fahrlässig
    > handeln ;)
    >
    > Aber dann ist die Bank sicherlich insofern wieder in der Pflicht, als dass
    > man offensichtlich Apps dann relativ leicht sperren kann....

    Sorry, auch wenn total OT:
    Es heißt 'insofern ..., als ...', nicht ', als dass ...'. Mit 'dass' bedeutet es eigentlich das Gegenteil.

  14. Re: bestimmt wieder mit Root-Block!

    Autor: perahoky 03.07.18 - 09:44

    elknipso schrieb:
    --------------------------------------------------------------------------------
    > Das ist doch vollkommen logisch, dass manipulierte Betriebssysteme keine
    > vertrauenswürdige Umgebung für eine Banking App sind.


    Hm.
    Also mit Amazon Bestellungen oder mit PayPal oder mit Steam oder oder oder hatte ich bisher keine Probleme. Es sind immer nur diese bekloppten "Spartenprogramme" von eigentlich Nicht-IT-Firmen die sowas verbauen.

    Und selbst wenn irgendwas "manipuliert ist" - die müssen doch die Sicherheit von ihrer Seite aus sichern. Wenn ich scheiße baue Pech gehabt... Sonst kann man ja alles bis auf 1 legitimiertes Gerät verbieten weil ja alles irgendwie unbekannt ist.

    ich finde jede bisherige Argumentation in der Richtung absolut bekloppt.
    Mir wird hier vorgeschrieben wie ich mein Gerät zu verwenden habe, was meinen Vertrag mit der Sparkasse einschränkt. Die wissen aber gar nicht was für ein Gerät ich habe und können das auch nicht vorschreiben, insofern kann das Gerät perse unsicher sein, was darin schlussfolgern müsste das spezielle Geräte validiert werden müssten und so weiter.
    Mit sowas kommt man in Teufelsküche.

    Aber gibt ja inzwischen Möglichkeiten das zu verschleiern.

  15. Re: bestimmt wieder mit Root-Block!

    Autor: LinuxMcBook 03.07.18 - 18:19

    Ich finde es bemerkenswert, wie du den Fakt ignorierst, dass deine Definition von unsicheren System auch auf iOS zutrifft ;)

  16. Re: bestimmt wieder mit Root-Block!

    Autor: Racer 10.07.18 - 20:54

    Wer noch SuperSu hat, der kann sein Gerät über SuperSu vollständig unrooten und im Anschluss über TWRP "Magisk" installieren. Stehen bei "SafetyNet" beide Einträge auf grün, dann kann man seinen Root Status vor bestimmten Apps verstecken. Darunter auch "Mobiles Bezahlen", oder "PokemonGO" usw.

    Dank "Magisk" kann ich "Mobiles Bezahlen" also trotzdem nutzen, bis sich Google und co nen neuen Sarkasmus gegen Root ausdenken. Gerootete Geräte sind in meinen Augen nicht unsicherer als ungerootete, solange mancher alles installiert ohne die Bedingungen zu lesen, oder gar sein komplettes Bankwesen als App auf dem Gerät hat, aber nur "Wischen" als Sperrbildschirm nutzt...

    Das Argument "die manipulierte Firmware könnte einen Trojaner enthalten" ist ist ebenfalls nicht zu Ende gedacht. Es wurde auch schon Schadware über den Play Store verteilt und da kann sich jetzt mal jeder angucken, der sein Smartphone auch als GameBoy verwendet.



    1 mal bearbeitet, zuletzt am 10.07.18 21:02 durch Racer.

  17. Re: bestimmt wieder mit Root-Block!

    Autor: treysis 10.07.18 - 21:39

    Die Schadsoftware über den PlayStore betraf aber nur (mehr oder weniger) die jeweilige App, nicht das ganze System.

  18. Re: bestimmt wieder mit Root-Block!

    Autor: LinuxMcBook 10.07.18 - 22:09

    Racer schrieb:
    --------------------------------------------------------------------------------
    > Google und co nen neuen Sarkasmus gegen Root ausdenken. Gerootete Geräte
    > sind in meinen Augen nicht unsicherer als ungerootete, solange mancher
    > alles installiert ohne die Bedingungen zu lesen, oder gar sein komplettes
    > Bankwesen als App auf dem Gerät hat, aber nur "Wischen" als Sperrbildschirm
    > nutzt...

    Vielleicht ist ein gerootetes Gerät nicht pauschal unsicher. Dennoch wird mit root die Infrastruktur dafür geschaffen, dass andere schädliche Apps auch ohne Sicherheitslücke des OS schreibend /manipulativ auf die Bankapp zugreifen können.

  19. Re: bestimmt wieder mit Root-Block!

    Autor: treysis 10.07.18 - 22:22

    Allerdings...am PC habe ich auch root und darf Onlinebanking machen. Noch, zumindest.

  20. Re: bestimmt wieder mit Root-Block!

    Autor: LinuxMcBook 10.07.18 - 22:27

    treysis schrieb:
    --------------------------------------------------------------------------------
    > Allerdings...am PC habe ich auch root und darf Onlinebanking machen. Noch,
    > zumindest.

    Auch ohne TAN?

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. FINARX GmbH, Darmstadt
  2. INSYS MICROELECTRONICS GmbH, Regensburg
  3. BG-Phoenics GmbH, Hannover
  4. SARSTEDT AG & Co. KG, Nümbrecht-Rommelsdorf

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 419,00€ (Bestpreis!)
  2. täglich neue Deals bei Alternate.de


Haben wir etwas übersehen?

E-Mail an news@golem.de


Kognitive Produktionssteuerung: Auf der Suche nach dem Universalroboter
Kognitive Produktionssteuerung
Auf der Suche nach dem Universalroboter

Roboter erledigen am Band jetzt schon viele Arbeiten. Allerdings müssen sie oft noch von Menschen kontrolliert und ihre Fehler ausgebessert werden. Wissenschaftler arbeiten daran, dass das in Zukunft nicht mehr so ist. Ziel ist ein selbstständig lernender Roboter für die Automobilindustrie.
Ein Bericht von Friedrich List

  1. Ocean Discovery X Prize Autonome Fraunhofer-Roboter erforschen die Tiefsee

ZFS erklärt: Ein Dateisystem, alle Funktionen
ZFS erklärt
Ein Dateisystem, alle Funktionen

Um für möglichst redundante und sichere Daten zu sorgen, ist längst keine teure Hardware mehr nötig. Ein Grund dafür ist das Dateisystem ZFS. Es bietet Snapshots, sichere Checksummen, eigene Raid-Level und andere sinnvolle Funktionen - kann aber zu Anfang überfordern.
Von Oliver Nickel

  1. Dateisystem OpenZFS soll einheitliches Repository bekommen
  2. Dateisystem ZFS on Linux unterstützt native Verschlüsselung

Nitrokey und Somu im Test: Zwei Fido-Sticks für alle Fälle
Nitrokey und Somu im Test
Zwei Fido-Sticks für alle Fälle

Sie sind winzig und groß, sorgen für mehr Sicherheit bei der Anmeldung per Webauthn und können gepatcht werden: Die in Kürze erscheinenden Fido-Sticks von Nitrokey und Solokeys machen so manches besser als die Konkurrenz von Google und Yubico. Golem.de konnte bereits vorab zwei Prototypen testen.
Ein Test von Moritz Tremmel

  1. iOS 13 iPhone bekommt Webauthn per NFC
  2. Webauthn unter Android ausprobiert Dropbox kann, was andere nicht können

  1. Datenschmuggel: US-Gericht schränkt Durchsuchungen elektronischer Geräte ein
    Datenschmuggel
    US-Gericht schränkt Durchsuchungen elektronischer Geräte ein

    US-Grenzbeamte dürfen nicht mehr so einfach die Smartphones und Laptops von Einreisenden untersuchen. Es muss ein begründeter Verdacht auf Datenschmuggel vorliegen.

  2. 19H2-Update: Microsoft veröffentlicht Windows 10 v1909
    19H2-Update
    Microsoft veröffentlicht Windows 10 v1909

    Das November-Update ist da: Bei Microsoft steht Windows 10 v1909 zum Download bereit. Laut Hersteller handelt es sich um ein Feature Update, die Installation geht schnell und die Neuerungen sind überschaubar.

  3. Sparvorwahlen: Tele2 feiert Rettung von Call-by-Call
    Sparvorwahlen
    Tele2 feiert Rettung von Call-by-Call

    Verbände und die Deutsche Telekom haben sich auf die freiwillige Weiterführung von Call-by-Call und Pre-Selection verständigt. Es gibt immer noch Nutzer dieser Sparvorwahlen.


  1. 17:23

  2. 17:00

  3. 16:45

  4. 16:30

  5. 16:12

  6. 15:30

  7. 15:15

  8. 15:00