comdirect

Hallo,

ich nutze die photoTAN-App noch nicht selbst (und würde sie am liebsten auch nie nutzen, da selbst die bestmöglichst konfigurierten Smartphones keine sichere Plattform darstellen) und kann deshalb auch nichts zur eigentlichen Handhabung sagen. Aber dennoch sind mir schon schwerwiegende Probleme aufgefallen, die comdirect angehen sollte. Jeder ist eingeladen, die kleine Liste zu erweitern oder die genannten Punkte zu kommentieren.
Erst unter 4. folgt der Punkt, der schließlich ausschlaggebend war, dass ich mich hier melden wollte. Aber zuerst:

1.
Aktuell: ausschließliche Veröffentlichung über einen proprietären, unsicheren Store, der jeden Nutzer dazu zwingt seine Seele, seine Freunde, Familie usw. an Google zu verkaufen
Gewünscht: Unterstützung alternativer Download-Möglichkeiten, zumindest auf der eigenen comdirect-Webseite
Kommentar:
Google ist sehr effizient beim Designen von Nutzer-Schnittstellen. Dark Patterns (z. B. https://www.kuketz-blog.de/google-facebook-und-windows-wie-nutzer-ihre-privatsphaere-aufgeben/) zwingen jedem Nutzer die Ansicht auf "Ich kann / darf mein Android-Gerät nicht betreiben, ohne mich auf Schritt und Tritt von Google überwachen zu lassen.". - Dies ist falsch!
Wir nutzen in der Familie schon seit vielen Jahren mehrere Geräte, die niemals einen Google-Account gesehen haben. Die Play-Store-App wurde sofort bei der Einrichtung deaktiviert!
Die Vorstellung, dass ein deutsches Unternehmen seine Kunden absichtlich in die Arme (einer) der weltgrößten Datenkraken treibt / zwingt, ist einfach nur perfide!
Ein einfacher, offizieller Downloadlink auf der eigenen Webseite würde bereits ausreichen.
(Technisch versierte Nutzer wissen natürlich, dass man die Apps aus dem Store auch anderweitig herunterladen kann. Dieser Weg ist auch sicherer, da man die Installationsdatei so vor der Installation beliebig überprüfen kann. Dennoch darf dabei ganz sicher nicht jeder Downloadquelle vertraut werden.)

2.
Aktuell: gefährliches, technisches Halbwissen - nicht nur bei den Kunden!
Gewünscht: Support- und Entwicklungsabteilungen sollten die Kunden besser über falsche Auffassungen aufklären, anstatt ihnen gefährliche Tipps und noch gefährlichere Mittel in die Hand zu geben
Kommentar:
Laut Playstore-Seite zur App erhält sie wahrscheinlich mehr *schlechtestmögliche* Bewertungen als alle anderen Stufen zusammengerechnet!
Ich habe darauf verzichtet, seitenweise Rezensionen zu lesen. Was ich allerdings gleich bei den allerersten zu sehen bekam, erschreckte mich doch sehr.
Einige Kunden scheinen nicht zu wissen, dass es zutiefst unsicher, ich glaube sogar (durch AGBs oder dergleichen) verboten ist, ein und dasselbe Gerät für das Online-Banking und die TAN-Generierung zu benutzen! Im Playstore regnet es offensichtlich explizit Beschwerden, dass *zwei Geräte* benötigt werden!
Und was macht der Support!? Von Aufklärung keine Spur! Stattdessen weist die offizielle "comdirect bank AG"-Antwort doch tatsächlich darauf hin, dass man mit der zusätzlichen "comdirect App" diese Einschränkung umgehen kann!
Genau wegen solchen Trojaner-Funktionalitäten, "Überweisungen beauftragen und bestätigen auf demselben Gerät", existiert diese Einschränkung!
Ich weiß nicht, ob dieser Hinweis des dortigen Supportmitarbeiters so korrekt ist. Falls ja, wäre dies ein enormer Fehler der Entwicklungsabteilung. Solche Schreihälse von Kunden gehören aufgeklärt - und nicht deren kurzsichtige Wünsche erfüllt, um damit gleich Millionen von Kunden in Gefahr zu bringen!

3.
Aktuell: wahrscheinlich Entwicklung im dunklen, geheimen Kämmerchen
Gewünscht: offene Entwicklung dieser sicherheitskritischen App (damit auch Einstellen in F-Droid möglich)
Kommentar:
Schon in der Schule lernt jedes Kind, dass die Sicherheit eines kryptographischen Verfahrens niemals auf der Geheimhaltung des Verfahrens beruhen darf und kann!
Gerade bei einer so einfachen App (keine Kommunikationsmittel; einmalige Registrierung gegen feste, eindeutige Hardware-Eigenschaften des Gerätes; restliche Lebenszeit nur noch Nutzung dieser lokalen Datenbasis [und des eingescannten Codes], um TANs zu generieren), können wohl keinerlei "Geschäftsgeheimnisse" verletzt werden. Hier ist eine öffentliche Entwicklung wichtig!
Wenn die App wirklich sicher und datensparsam arbeitet sowie keine Ad- und Spyware-Bibliotheken nutzt, dann sollte auch der Quelltext frei verfügbar sein, was eine Grundvoraussetzung ist, um sie z. B. in den sicheren F-Droid-Store aufnehmen zu lassen.

4.
Aktuell: fehlerhaft / stark nutzerunfreundlich implementierter App-Start
Gewünscht: Start ohne besondere Berechtigungen, später Vor-Ort-Erklärungen für benötigte Rechte
Kommentar:
Das Berechtigungssystem von Android wurde nun schon vor einigen Jahren dahingehend geändert, dass der Nutzer erst bei der ersten Anfrage der App nach den Rechten gefragt wird. Die aktuelle Version der App ist dagegen gerade einmal zwei Monate alt. Und trotzdem lässt das Verhalten der App jegliche Kenntnis des Berechtigungssystems bei den Entwicklern vermissen!
Konkret: Als ich das Installationsarchiv heruntergeladen, mit lokalen sowie Online-Mitteln gescannt, die Metadaten (Zertifikate usw.) überprüft hatte, wollte ich es zuerst auf einer virtuellen Maschine installieren und testen. Jede neue App teste ich zuerst auf einer VM. Alle Virenscanner von virustotal.com können sich einig sein, dass sie "sauber" ist - und trotzdem könnte sie Werbung und andere unerwünschte Funktionen enthalten. Dann schafft sie es nie aufs eigentliche Gerät. Ergebnis des Tests: Sofortiger Absturz! Keinerlei Fehlermeldung, kein Hinweis auf einen Grund. Es kann ja sein, dass auf der VM die eindeutigen Geräteeigenschaften fehlen, die benötigt werden, oder dass die fehlende Kamera den Absturz verursacht hat. Dann muss dem Nutzer aber angezeigt werden, dass die App auf seinem Gerät nicht arbeiten kann!
Nur weil die Metadaten relativ sauber aussahen (Samsung-Bibliothek/-Permission?) und ich sie ohnehin per Firewall blockiert hätte, schaffte es die App trotzdem mal aufs eigentliche Gerät. - Dort stürzte sie zwar nicht sofort ab, zeigte aber auch nichts weiter als einen weißen Bildschirm an!
Zum Glück zeigte eine Suche im Internet, dass zuvor schon andere Nutzer an dieser Stelle gescheitert waren. Denn natürlich hatte auch ich beharrlich auf [Verweigern] getippt, als ich sofort beim Programmstart gefragt wurde, ob diese angeblich rein offline arbeitende App meine Telefonate verwalten dürfte!? Einer App, von der ich noch absolut nichts gesehen habe, werde ich solche Rechte ganz sicher nicht gewähren.
Selbst FOSS-Projekte mit nur ein bis zwei Entwicklern machen das besser. (Ich hoffe mal, dass comdirect da wesentlich mehr investiert hat; für eine App, die die Überweisungen von Millionen von Kunden absichern soll.) - Das Fehlen jeglicher Berechtigungsinformationen für den Nutzer, noch BEVOR diese angefordert werden, ist heutzutage ein konkreter Designfehler!
Ich kenne viele Personen, die an dieser Stelle komplett aufgegeben und die App sofort wieder deinstalliert hätten. Nur die wenigsten haben die Geduld, um in irgendwelchen Internet-Foren nach Erklärungen für diese dubios anmutende Berechtigung zu suchen. (Ich kenne das "obfuskierte", viel zu grobe Berechtigungssystem. Nur deshalb habe ich überhaupt begonnen, nach einer Erklärung zu suchen.) Genauso werde ich meinen Bekannten und Verwandten niemals raten, einfach immer alles zuzulassen. Das würde natürlich das gesamte Sicherheitskonzept ad absurdum führen. Stattdessen muss zumindest der gesunde Menschenverstand eingesetzt werden dürfen. - Und der sagt hier eindeutig: Nein!
Die sehr wenigen Aspekte der App, die ich bis jetzt beurteilen kann, weisen eher auf Programmieranfänger hin. Ganz offensichtlich wurde eine Endlosschleife mit der Berechtigungsanforderung implementiert. Wenn der Nutzer aber die ersten fünf Mal auf [Verweigern] getippt hat, so wird er dies sicher auch beim sechsten Mal tun + endlich das Häkchen setzen, um nicht mehr gefragt zu werden! - Die App verhält sich hier komplett falsch / nicht nachvollziehbar. Normalerweise sollte man spätestens hier, also nach der Absage, dem Nutzer erklären, warum man diese Berechtigung unbedingt benötigt. - Stattdessen bleibt der Bildschirm weiß.

Ich bitte wirklich stark darum, dass diese Punkte an die Entwicklungsabteilung(en) weitergegeben werden.
Mich persönlich interessiert hauptsächlich die technische Seite. Für andere Nutzer empfinde ich die anderen angesprochenen Punkte jedoch auch als sehr wichtig.