comdirect

---

Aber technisch ist es so, dass wir die App ja nicht auf eigenen Server hosten, sondern sie lediglich in den App-Store zu Verfügung stellen. Auf dieser "letzten Mail" haben wir keinen Einfluss mehr auf die technischen Integrität. Daher können wir keinen anderen rechtlichen Passus anbieten. Vor dieser Herausforderung stehen alle Anbieter.

---

Dem stimme ich nur halb zu.

Ironischerweise ist für APKs nämlich bereits eine technische Maßnahme für genau dieses Problem implementiert: Signaturen

$ apksigner verify --verbose --print-certs comdirect_11.0.0_APKPure.apk
Verifies
Verified using v1 scheme (JAR signing): false
Verified using v2 scheme (APK Signature Scheme v2): true
Verified using v3 scheme (APK Signature Scheme v3): false
Verified using v4 scheme (APK Signature Scheme v4): false
Verified for SourceStamp: false
Number of signers: 1
Signer #1 certificate DN: OU=Rostock Mobile, O=comdirect bank AG, L=Quickborn, ST=Schleswig-Holstein, C=DE
Signer #1 certificate SHA-256 digest: 4c9ceae29d6d8ee06f37da06085c3f940e15a74a61656d99a452a93ff134e952
Signer #1 certificate SHA-1 digest: 0f3a377f7b48e8c48076568c1c1e2f277a11da70
Signer #1 certificate MD5 digest: 7d963c727f793cd60e2c1b697e235b65
Signer #1 key algorithm: RSA
Signer #1 key size (bits): 2048
Signer #1 public key SHA-256 digest: c90d2fff9c5906ba7bc3d5f9cb65e43187306090d71f7a043e2b9eb56d2041fb
Signer #1 public key SHA-1 digest: 6884ba2c27156344e2852661a1ac1ae297b26a3f
Signer #1 public key MD5 digest: aa70387e5a1ca55fe84267ed3ae3cc58

Alles, was man seitens comdirect tun müsste, ist, über einen geeigneten, sicheren Kommunikationskanal (z.B. über einen kleinen ausklappbaren Textblock auf https://www.comdirect.de/cms/comdirectapp.html unter den App-Store-Links "für Experten") zu bestätigen, dass die Key-Hashes tatsächlich zu einem comdirect-Entwickler gehören. Dadurch würde man zugleich die Authentizität bestätigen und Benutzern die Möglichkeit (!= Anleitung / Verpflichtung zur Hilfestellung) geben, sich vor manipulierten (älteren) APKs aus alternativen Downloadquellen zu schützen (die Motivation, solche zu nutzen, sei mal dahingestellt). Der Key hat sich seit mindestens einem halben Jahr (= Release der v6.0.0) nicht verändert. Aufwand/Nutzen-Verhältnis könnte also akzeptabel sein.

Das schließt natürlich nicht aus, dass Google als signierende Instanz was anderes paketiert als comdirect in the Play Store hochlädt oder Schadsoftware vor dem Upload in die App gelangt. Während ich bzgl. letzterem auf die Entwicklungsprozesse vertrauen möchte, wäre (zusätzlich) selbst hosten aber auch kein Problem mehr seit dem Digital Markets Act, falls comdirect Google in der Hinsicht nicht vertraut, und für eine Banking-App durchaus angemessen.

Idealerweise wird die App demnächst Open Source, aber bleiben wir mal realistisch. 😉