comdirect

jimitree · ‎08.09.2018

Hallo, ich habe ein Smartphone mit Lineage OS und ohne Google Play. Gibt es eine Möglichkeit, die PhotoTAN-App auch direkt, ohne den Umweg über Google Play herunterzuladen? Ich finde, das ist naheliegend, wo doch die bank uns alle geradezu zwingt die App zu nutzen, dann sollte das auch nicht davon abhängen, ob man eine Google-ID hat oder nicht.

kammann · ‎22.03.2019

@marxsxsls:

Bei dem im Jahr 2016 dokumentierten Angriff auf das App-basierte photoTAN wurde genau die fehlende Kopplung der Tan-App mit der Banking-App ausgenutzt und so konnten damals Tans unbemerkt vom Nutzer "abgezogen" werden, siehe

https://idw-online.de/de/news661628

Vermutlich haben alle betroffenen Banken inzwischen nachgebessert - das Grundproblem, dass Android kein sicheres Betriebssystem ist können sie aber nicht lösen. Die PhotoTAN App der comdirect verlangt als Berechtigung, Telefonanrufe zu tätigen - vermutlich wird diese Berechtigung genutzt um auf die IMEI des Geräts oder die IMSI der SIM-Karte zuzugreifen.

baha · ‎22.03.2019

Hallo,

es ist überhaupt nicht notwendig, darüber zu spekulieren, wozu die Berechtigung dient. Es steht doch in der FAQ, zu finden in der App-Beschreibung im Play Store, drin:

FAQ „Warum braucht die App die Berechtigung: Anrufinformationen?“

"Anrufinformationen" sind notwendig, um den App-Speicher mit den TAN Daten bei eingehenden Anrufen (Wechsel in den Hintergrund) sicher zu löschen. Abhängig von der Android Version ist es technisch nicht möglich diese Rechte einzeln anzufordern. Die comdirect PhotoTAN App greift zu keinem Zeitpunkt auf Ihre Anrufe, Historien oder andere persönliche Daten zu.

Die "Geräte-ID" wird benötigt, um die Aktivierung an genau dieses Gerät zu binden. Die Geräte-ID wird dabei NICHT an comdirect übertragen.
Selbstverständlich verwenden wir die Berechtigung nur für die oben angegebenen Zwecke. Die aktuellen Berechtigungen können Sie jederzeit in Ihren Android Einstellungen nachlesen (Apps ->photoTAN App -> Berechtigungen -> alle Berechtigungen).

Das sollte als Begründung m.E. ausreichen.

baha

matus · ‎22.03.2019

@marxsxslsIch habe grad die Phototan App über Yalp store installiert. Handy mit LineageOS gerootet und ohne Google play store. Ich habe es auch getestet und die App funktioniert problemlos.

Die Entscheidung von Comdirect verstehe ich auch nicht. Mittelfristig werde ich mich nach einer anderen Lösung umschauen müssen. Leider ist die Situation bei der Konkurrenz nicht viel besser. Es gibt noch ein Paar Banken die kostenlos mTAN anbieten, es ist aber fraglich wie lange noch.

Elbblick · ‎22.03.2019

@matus schrieb:
habe grad die Phototan App über Yalp store installiert. Handy mit LineageOS gerootet

Die App von einer Hackerseite auf einem gerootetem Frickel-OS.

Läuft bei Dir.

Aber bitte jammer hier nicht rum, sollten auf deinem Konto Dinge passieren, die Du nicht selber veranlasst hast.

marxsxsls · ‎23.03.2019

Ich hab es jetzt auch getestet. Die App via google playstore auf ein geliehenes Handy installieren und dann von dem Handy als apk runterziehen. Danach dann auf dem eigenen Handy installieren funktioniert problemlos. Da gibt es keinerlei Überprüfung in der app. Hätte mich auch fast gewundert.

@Elbblick

Das hier work-arounds notwendig sind, dafür trägt in nicht unerheblichen Maße die Comdirect Bank die Verantwortung. Die sicherste Möglichkeit, eine solche App zu beziehen ist von der eigenen Bank. Via google playstore ist minimal weniger sicher, da man einen (hier sehr professionellen) Mittelsmann verwendet. Irgendwelche unbekannten app stores ist natürlich noch etwas unsicherer.

Grundsätzlich kann man apps auch direkt vom google playstore herunterladen lassen mit einem webservice:

https://apps.evozi.com/apk-downloader/

und sollte dann die Datei erst durch scan/Prüfsummenvergleich o.ä. validieren.

Was bleibt ist das bzgl. Sicherheit suboptimale Verhalten der Comdirect Bank. Aber ja, das ist halt "business policy", kann man nix machen.

marxsxsls · ‎23.03.2019

@kammann

Meiner Meinung nach gibt es so was wie ein sicheres OS nicht. Das Grundproblem ist eher, daß man versucht eine 2FA auf einem Gerät zu simulieren. Das klappt natürlich nicht so einfach, denn eine 2FA setzt eben zwei voneinander unabhängige Faktoren voraus. Zwei Programme auf ein und demselben Mobiltelefon sind aber nicht unabhängig. Eine Schadsoftware kann root Rechte erlangen und dann der comdirect app alles Mögliche vortäuschen. Auch daß die mobileTAN die richtige Prüfsumme hat, obwohl es nicht stimmt.

Und die Herkunft der app bzgl. der google playstore wird von der mobileTAN app schon mal nicht geprüft. Sonst hätte ich es schon bemerkt.

matus · ‎23.03.2019

@Elbblick

> App von einer Hackerseite

Yalp store ist keine Webseite sondern eine App.

> bitte jammer hier nicht rum, sollten auf deinem Konto Dinge passieren, die Du nicht selber veranlasst hast.

Vielleicht verwechseln Sie mich mit jemanden: das war mein erster Beitrag hier im Forum (Hallo? Willkommen?). Auch wenn der Satz vielleicht nicht an mich gerichtet war, ist das eine sehr dumme und gefährliche Empfehlung, welche zu einem Verstoß gegen die AGBs von Comdirect verleitet (z. Bsp. C III 1.9, A II 8.1(1), 8.2 ). Natürlich, sollte jeder jeden verdächtigen Vorgang auf dem Konto (unbeachtet der Haftung und/oder der Verschuldung) bei Comdirect melden - auch hier im Comdirect Forum wenn das den anderen Nutzern helfen mag.

Elbblick · ‎23.03.2019

Yalp store ist keine Webseite sondern eine App.

Ob nun Hacker-Webseite oder Hacker-App, irregulär bleib irregulär. Es hat schon seinen Grund, warum Banken Wert darauf legen, dass ihre Apps nicht aus zweifelhaften Quellen auf zweifelhafen Betriebssytemen installiert werden. Punktum. Wer damit Schwierigkeiten hat oder meint es besser zu wissen, sollte sich einmal Gedanken darüber machen, ob nicht mit einem anderen Anbieter besser klar kommt. Das ewige "Ich will die iTAN behalten.", "PhotoTAN ist ja so unsicher", "woanders sind die mTANs aber kostenlos" kann ich langsam nicht mehr hören bzw. lesen.

Elbblick · ‎23.03.2019

@Elbblick
Das hier work-arounds notwendig sind, dafür trägt in nicht unerheblichen Maße die Comdirect Bank die Verantwortung.

Falscher Ansatz. Für den Download aus der einzig zulässigen Quelle sind keine work-arounds notwendig. Gerade aus ihrer Verantwortung gegenüber ihren Kunden, erlaubt die comdirect nur den den Downlaod aus dem offiziellen Google Playstore.

@Elbblick
Die sicherste Möglichkeit, eine solche App zu beziehen ist von der eigenen Bank.

Falsch. Um die App von aus einer unbekannten Quelle zu installieren, muss die entsprechenden Sicherheitseinstellung vom Smartphone geändert werden. Außerdem wage ich zu bezweifeln, dass Google ein entsprechendes Zertifikat für die comdirect ausstellt. Dazu kommt noch der nicht zu unterschätzende Aufwand um eine entprechende Download-Infrastruktur einzurichten und zu pflegen.

marxsxsls · ‎24.03.2019

@Elbblick schrieb:
@Elbblick
Das hier work-arounds notwendig sind, dafür trägt in nicht unerheblichen Maße die Comdirect Bank die Verantwortung.
Falscher Ansatz. Für den Download aus der einzig zulässigen Quelle sind keine work-arounds notwendig. Gerade aus ihrer Verantwortung gegenüber ihren Kunden, erlaubt die comdirect nur den den Downlaod aus dem offiziellen Google Playstore.

Was das angeht haben wir eine völlig andere und inkompatible Einstellung zur Sache. Für mich ist genau das der falsche Ansatz / Sichtweise.

Was den Aufwand angeht, die Datei in der Bankumgebung zugänglich zu machen - der dürfte viel geringer sein, als die in den playstore zu kriegen.

Ich denke es geht eher darum, den Supportaufwand möglichst minimal zu halten. Wer den Standardweg nicht nutzen kann oder will, hat halt Pech oder muß sich selber zu helfen wissen. Sicherheitstechnisch und Kundenservice suboptimal, aber das schert die Bank ebenso wenig. Ist ein Massengeschäft und es zählt der Gesamtumsatz. Da hab ich keine Illusionen.

comdirect

PhotoTAN-App direkt herunterladen