comdirect

Hallo @jimitree,

sie auch folgenden Thread. Funktioniert eigentlich die PhotoTAN-App ohne erzwungenes Google-Paket (also nach dem Installieren)?

Wenn mal jemand zu viel Geld hat, könnte man mal gerichtlich klären lassen, ob die Bank einen auf zwei Anbieter (Apple und Google) festnageln darf (man stelle sich mal vor, der Elbtunnelbetreiber ließe nur noch Audi und BMW zu*). Man muss halt nur hoffen, einen technikaffinen Richter zu erwischen...

* Mist, Elbtunnel ist ja gar nicht privat. Naja, dann halt Warnowtunnel, auch wenn das da niemandem auffallen würde, weil fährt ja eh niemand durch.

Hallo @Necoro,

Sie (comdirect) nagelt Dich ja nicht fest, Du kannst ja MobileTAN benutzen oder das Kästchen kaufen.
Grüße Eckhard

"Das Kästchen kaufen" und dann extra mit herumschleppen ist ja wohl ein Witz...

Umso schlimmer, dass ihr das ernst meint.

Hallo @ehemaliger Nutzer,

Das finde ich ist sehr schade...

Gibt es denn seitens comdirect sowas eine "offizielle" Begründung für diese Entscheidung? M.E. kann es doch kein so großer Budgetpost sein, die kompilierte App auch auf dem F-Droid-Markt zu veröffentlich, oder einfach auf der comdirect-Seite zum Download anzubieten.

Angesichts der Enthüllungen um z.B. Cambridge-Analytica sehe ich ja einen gesteigerten Bedarf, Basis-Dienstleistungen wie Online-Banking wahnehmen zu können, ohne sich mit Leib und Seele Google ausliefern zu müssen.

Eine Antwort würde mich sehr freuen.

Viele Grüße + guten Rutsch,

McGuffin

Bei den meisten kommerziellen App-Anbietern herrscht die Sorge, dass ein Anbieten der Apps in alternativen Stores zur Sperre im Play- bzw Apple-Store führt. Tatsächlich wollen Google und Apple bei sog. "In-App" Umsätzen mitverdienen und sehen somit in alternativen Stores einen Angriff auf ihr Geschäftsmodell. Da der Aussschluss von Apps oft willkürlich passiert, versuchen die kommerziellen App-Anbieter hier jedes Risiko zu vermeiden und bieten ihre Apps quasi im vorauseilendem Gehorsam nur in den offiziellen Stores an.

Bei der PhotoTAN-App gibt es zudem eine Besonderheit: Eigentlich widerspricht die gemeinsame Nutzung von Banking-App und PhotoTAN App auf demselben Gerät den Vorgaben der PSD2, die zwei unabhängige Faktoren zur Freigabe einer Transaktion fordert. Die comdirect meint dieses Problem dadurch umgehen zu können, indem sie die beiden Apps über den App-Store "verdongelt", d.h. die Apps prüfen gegenseitig, ob sie aus demselben Appstore mit demselben Google/Apple Account stammen. Rein sicherheitstechnisch ist das Unsinn, aber solange die Bank per AGB diese gemeinsame Nutzung propagiert, haftet die Bank für Schäden - zumindest solange der Kunde die Apps aus den offiziellen Quellen bezogen hat. Somit muss man sich hier schon aus Haftungserwägungen heraus an die offzielle Lösung halten.

Hallo @kammann,

in Bezug auf iOS einige Anmerkungen.

Die Kommunikation zwischen Apps läuft doch ein wenig sicherer ab als Du denkst.

Bei der App to App Kommunikation kann der Aufrufer geprüft werden in dem die Application Id angefordert wird.

Die Application Id is eindeutig und mit einem Zertifikat hinterlegt.

Weiterhin kann eine Whitelist im System hinterlegt werden, D.h. nur diese Apps dürfen mit mir kommunizieren.

Weiterhin müsste ich in der Lage sein, den Code  der PhotoTAN Grafik zu kennen. Wenn dieser ebenfalls per Zertifikat  verschlüsselt ist, dann wird es extrem schwierig eine TAN abzugreifen.

Mit freundlichen Grüßen

Eckhard Schnell

@ehemaliger Nutzer 

Leider keine sehr kundenfreundliche "geschäftspolitische Entscheidung" und auch nicht sehr sicherheitsbewußt. Denn der sicherste und zuverlässigste Weg, eine sicherheitsrelevante App zu verteilen, ist natürlich ohne Mittelsmänner via der gesicherten und verschlüsselten Bankingseite.

@kammann 

Hat das schon mal einer wirklich getestet, ob die App da wirklich was effektiv testet? Sprich die app einfach per Android-ADB von einem Handy mit google-würg runtergezogen und dann auf eines ohne drauf. Ich hab solche "funktioniert nur via app store" oder "funktioniert nicht auf gerootetem Handy" schon gehört. Bisher ging es meistens trotzdem, wenn man an die apk rangekommen ist und/oder der App halt die root rechte verweigert...