am 26.04.2020 22:45
Ich habe ein frustreiches Wochenende hinter mir, da ich keinen Zugriff mehr auf meine Konten habe:
Das automatische Update der Photo-TAN vor drei Tagen hat dazu geführt, dass die neue App den Start mit einer Fehlermeldung verweigert, dass mein Smartphone gerootet sein. Dies ist nicht korrekt. Ich nutze auf alle meinen Geräten das aktuellste LineageOS ohne root!
Ich habe mir sogar die Mühe gemacht und mein Smartphone komplett neu resettet und nacheislich ein ungerootetes LineageOS aufgespielt: Die App verweigert den Start.
Auf anderen Geräten, stützt die App entweder ab (Motorrola X) oder zeigt nach dem Start-Bildschirm einen schwarzen Screen (Google Nexus 4).
Bitte liebe comdirect: Ich brauche kein online-Banking App auf meinem Smartphone aber lasst mir doch bitte die Photo-TAN, ansonsten kann ich keine Bankgeschäfte durchführen !!!
Keine Ahnung, ob ich mir jetzt ein neues Konto besorgen muss ...
Bin für jede Hilfe dankbar!
Heiko R.
27.04.2020 06:22 - bearbeitet 27.04.2020 06:23
@hi-ko schrieb:Keine Ahnung, ob ich mir jetzt ein neues Konto besorgen muss ...
Das will natürlich niemand. Ich glaube übergangsweise (bis das Problem gelöst wurde) kannst Du zur Not das mobileTan-Verfahren nutzen.
@SMTcomdirect gibt es eine andere Lösung?
Viele Grüße
Stefan
am 27.04.2020 08:29
am 27.04.2020 08:29
Hallo @hi-ko,
dieses Phänomen ist uns bisher nicht bekannt. Bitte kontaktiere die Kollegen vom Technischen Support unter 04106 - 708 25 10.
Viele Grüße
Mario
am 27.04.2020 09:47
Hallo @hi-ko ,
hast du Magisk installiert? Wenn nicht, probier das und aktiviere Magisk Hide.
Gruß
Lorenson
am 27.04.2020 11:51
Hallo Lorenson,
danke für den Tip. Dann müsste ich aber ja das device rooten, um zu vermeiden, dass die comdirect-Apps nicht meinen, dass mein Smartphone (fälschlicherweise) grootet sei, richtig?
am 27.04.2020 12:12
@hi-ko schrieb:Hallo Lorenson,
danke für den Tip. Dann müsste ich aber ja das device rooten, um zu vermeiden, dass die comdirect-Apps nicht meinen, dass mein Smartphone (fälschlicherweise) grootet sei, richtig?
Es gibt noch die diese Variante: Magisk ohne Root/ Recovery Dazu müsstets du dein Bootimage dumpen und patchen. Weiß nicht wie versiert du bist ober ob du den Aufwand betreiben möchtest.
ICH würde eher die Variante Root + Magisk Hide gehen. Funktioniert bei mir seit Jahren mit verschiedensten Geräten und ROMs. Garantiert ist es trotzdem nicht, dass es bei Dir auch so ist.
am 27.04.2020 16:54
Hallo Lorenson, hallo Mario,
danke für Euren Input. Ich habe nun nochmals mein Smartphone komplett geflasht und dabei sogar die Datenpartition mit 'fastboot format userdata' formatiert.
In dem nun wieder einmal komplett jungfräulichen System liess sich die frisch installierte PhotoTAN problemlos starten und nutzen. Verstehen kann ich dies so nicht, weil die Daten-Partition nichts mit root zu tun hat. Vielleicht hat aber die comdirect auch eine neue Version der App released bzw. erst jetzt habe ich die aktuellste Version vom Playstore erhalten?
Alles schwer nachzuvollziehen und sollte das Problem erneut auftreten werde ich bestimmt nicht mehr mein Gerät formatieren, sondern Magisk Hide einsetzen. Ich hatte nur den Aufwand gescheut und wollte nichts haben, was in ein paar Monaten aus anderen Gründen wieder nicht mehr funktioniert.
Vielen Dank & viele Grüsse
Heiko
am 27.04.2020 17:28
Hallo Mario,
wie unten beschrieben, habe ich es irgendwie hinbekommen. Entweder habt Ihr die App geändert oder das Formatieren der Daten(!)-Partition hat Eure App wohl gestimmt.
Völlig unabhänig von diesem konkreten Problem der neuen PhotoTAN-APP fand ich es erschreckend, dass die banking-App ohne mein Zutun von der PhotoTAN-App eine TAN holen konnte (entdeckt vor ca. 1,5 jahren, worauf hin ich sofort die banking-App gelöscht habe). In diesem Zusammenhang ist es natürlich nachvollziehbar, dass Ihr auf gerooteten Geräten nicht laufen wollt. Kritisch hierbei ist aber in Wirklichkeit, dass Ihr den Grundsatz des zweiten Faktors brecht. Ich weiss nicht, ob man heute noch immer beides auf dem selben Gerät ausführen kann, aber ich möchte eigentlich keine Banking-App, die auf dem selben Gerät TANs per API zu einer anderen App übermittelt. Die sicherste Variante wäre aus meiner Sicht eine PhotoTAN-App, die wirklich nur den Matrix-Code in eine TAN umwandelt und keinerlei Netzwerk-Interaktion zulässt. Ausserdem sollte es ausgeschlossen sein, dass beide Apps gleichzeitig auf einem Gerät laufen.
Viele Grüsse
am 27.04.2020 18:03
Hallo @hi-ko,
danke für dein ausführliches Feedback.
Ich werde deine Anmerkungen zum 2FA-Konzept der Apps gerne an unseren Fachbereich weiterleiten. Grundsätzlich sind wir der Auffassung, dass wir mit dem App2App-Verfahren einen ausgewogenen Weg beschreiten, der sowohl die Sicherheitsvorgaben gemäß den PSD2-Vorgaben als auch die Usability berücksichtigt.
Darüber hinaus gilt unser Sicherheitsversprechen.
Gruß
Erik
am 29.04.2021 08:39
Wie ich sehe gibt es hier recht viele eröffnete Themen zum Thema PhotoTAN-App & ROOT.
Entgegen vieler Aussagen hier, dass Root nicht möglich sei, kann ich allen versichern, dass es geht. Und ebenfalls entgegen der hier offiziellen Aussagen steht dies nicht im Geringsten im Widerspruch zur Sicherheit. Im Gegenteil! Wer rootet, will in der Regel Apps nutzen, die ihm eben jene Sicherheit in vor allem Privatsphäre zurückgeben. Denn Sicherheit geht nur all zu oft zu Lasten der Privatsphäre. Hmm...woher kennen wir das doch gleich? 🙂
Also: PhotoTAN-App & ROOT läuft wunderbar!!!
(gilt auch unter Android 8 OREO)
Mein System:
- Android-Smartphone ohne Google-Dienste 🙂
- microG mit Aurora (Fake-store)
- Root & CustomROM (cdDroid based on Android 10)
- Magisk 22.1
- Magisk-Modul "Riru" und dann "EdXposed" (xposed geht nur bis Android 8 OREO) oder "LSPosed" (wie EdXposed, jedoch mit scoping!)
- in EdXposed oder in LSPosed läuft dann XPrivacyLua als Modul (unter Android 8 das alte XPosed)
- AFWall+
Wichtig:
>>> in MAGISK den ROOT vor PhotoTAN-App verstecken
>>> im Modul EdXposed oder LSPosed das Modul XPrivacyLua aktivieren
- Variante mit LSPosed: den Haken bei der PhotoTAN-App setzen, damit XPrivacyLua die PhotoTAN-App in nicht wichtigen Dingen blockt.
- Variante mit EdExposed: hier wird jede neu installierte App automatisch von XPrivacyLua geblockt, bis man manuelle einzelne sicherheitskritische Abfragen freigibt. Allerdings lohnt es hier in den Einstellungen von EdExposed, dieses vor Apps zu verbergen und zumindest die PhotoTAN-App auszuwählen.
Egal, welchen Weg man geht:
Die PhotoTAN-App will weiter die Anwendungsliste einlesen. Wozu? Privatsphäre!
Einige Identifier will die App auch wissen. Kann sie haben - mit vorgeschobenen Fake-Daten. Einzig die Kamera darf die App logischerweise nutzen.
In AFWall+ ist die App nur für das WLAN und für LTE freigegeben, sonst klappt die Freigabe bei Überweisungen nicht. Dazu muss der Bankserver mit der PhotoTAN-App kommunizieren können.
Ob EdExposed oder LSPosed ist egal. Ich bin nur auf LSPosed umgestiegen, da seit Android 10 (oder gar 9) nur damit die Standortfälschung sauber funktioniert. Ich bekam den Tipp vom XPrivacyLua-Programmierer persönlich per Email. Nun klappt alles wie gewünscht.
Die PhotoTAN-App braucht natürlich die Google Service Frameworks.
Mein Smartphone hat bis auf GoogleMaps nichts von Google drauf. Statt des Google Cores nutze ich microG mit dem Fake-Store Aurora. Dort bin ich wegen früher bezahlter Apps allerdings mit meinem echten Google-Account angemeldet.
Der Aurora-Store erkennt die PhotoTAN-App an und aktualisiert sie auch.
Dass die Bargeldabschaffung nicht mehr weit ist, erkennt ein Blinder mit Krückstock. Doch die angebliche Sicherheit durch Zweistufen-Verifizierung mittels App ging mir schon seit Jahren zu sehr zu Lasten meines Rechts auf Privatsphäre, da ganz zufällig Parameter abgegriffen werden, mit denen sich jedes Smartphone weltweit eindeutig zurückverfolgen lässt.
Viel Erfolg beim Zurückerlangen der vollen Kontrolle über das eigene Smartphone. Ich hoffe, hier konnte allen helfen, die auf ihrem Root-Device die PhotoTAN-App zum Laufen zu bringen versuchen.