comdirect

Hallo Lorenson,

danke für den Tip. Dann müsste ich aber ja das device rooten, um zu vermeiden, dass die comdirect-Apps nicht meinen, dass mein Smartphone (fälschlicherweise) grootet sei, richtig?

---

@hi-ko  schrieb:

Hallo Lorenson,

danke für den Tip. Dann müsste ich aber ja das device rooten, um zu vermeiden, dass die comdirect-Apps nicht meinen, dass mein Smartphone (fälschlicherweise) grootet sei, richtig?

---

Es gibt noch die diese Variante: Magisk ohne Root/ Recovery  Dazu müsstets du dein Bootimage dumpen und patchen. Weiß nicht wie versiert du bist ober ob du den Aufwand betreiben möchtest.

ICH würde eher die Variante Root + Magisk Hide gehen. Funktioniert bei mir seit Jahren mit verschiedensten Geräten und ROMs. Garantiert ist es trotzdem nicht, dass es bei Dir auch so ist.

Hallo Lorenson, hallo Mario,

danke für Euren Input. Ich habe nun nochmals mein Smartphone komplett geflasht und dabei sogar die Datenpartition mit 'fastboot format userdata' formatiert.

In dem nun wieder einmal komplett jungfräulichen System liess sich die frisch installierte PhotoTAN problemlos starten und nutzen. Verstehen kann ich dies so nicht, weil die Daten-Partition nichts mit root zu tun hat. Vielleicht hat aber die comdirect auch eine neue Version der App released bzw. erst jetzt habe ich die aktuellste Version vom Playstore erhalten?

Alles schwer nachzuvollziehen und sollte das Problem erneut auftreten werde ich bestimmt nicht mehr mein Gerät formatieren, sondern Magisk Hide einsetzen. Ich hatte nur den Aufwand gescheut und wollte nichts haben, was in ein paar Monaten aus anderen Gründen wieder nicht mehr funktioniert.

Vielen Dank & viele Grüsse

Heiko

Hallo Mario,

wie unten beschrieben, habe ich es irgendwie hinbekommen. Entweder habt Ihr die App geändert oder das Formatieren der Daten(!)-Partition hat Eure App wohl gestimmt.

Völlig unabhänig von diesem konkreten Problem der neuen PhotoTAN-APP fand ich es erschreckend, dass die banking-App ohne mein Zutun von der PhotoTAN-App eine TAN holen konnte (entdeckt vor ca. 1,5 jahren, worauf hin ich sofort die banking-App gelöscht habe). In diesem Zusammenhang ist es natürlich nachvollziehbar, dass Ihr auf gerooteten Geräten nicht laufen wollt. Kritisch hierbei ist aber in Wirklichkeit, dass Ihr den Grundsatz des zweiten Faktors brecht. Ich weiss nicht, ob man heute noch immer beides auf dem selben Gerät ausführen kann, aber ich möchte eigentlich keine Banking-App, die auf dem selben Gerät TANs per API zu einer anderen App übermittelt. Die sicherste Variante wäre aus meiner Sicht eine PhotoTAN-App, die wirklich nur den Matrix-Code in eine TAN umwandelt und keinerlei Netzwerk-Interaktion zulässt. Ausserdem sollte es ausgeschlossen sein, dass beide Apps gleichzeitig auf einem Gerät laufen.

Viele Grüsse

Hallo @hi-ko,

danke für dein ausführliches Feedback.

Ich werde deine Anmerkungen zum 2FA-Konzept der Apps gerne an unseren Fachbereich weiterleiten. Grundsätzlich sind wir der Auffassung, dass wir mit dem App2App-Verfahren einen ausgewogenen Weg beschreiten, der sowohl die Sicherheitsvorgaben gemäß den PSD2-Vorgaben als auch die Usability berücksichtigt.

Darüber hinaus gilt unser Sicherheitsversprechen.

Gruß

Erik

Wie ich sehe gibt es hier recht viele eröffnete Themen zum Thema PhotoTAN-App & ROOT.

Entgegen vieler Aussagen hier, dass Root nicht möglich sei, kann ich allen versichern, dass es geht. Und ebenfalls entgegen der hier offiziellen Aussagen steht dies nicht im Geringsten im Widerspruch zur Sicherheit. Im Gegenteil! Wer rootet, will in der Regel Apps nutzen, die ihm eben jene Sicherheit in vor allem Privatsphäre zurückgeben. Denn Sicherheit geht nur all zu oft zu Lasten der Privatsphäre. Hmm...woher kennen wir das doch gleich? 🙂

Also: PhotoTAN-App & ROOT läuft wunderbar!!!

(gilt auch unter Android 8 OREO)

Mein System:
- Android-Smartphone ohne Google-Dienste 🙂
- microG mit Aurora (Fake-store)
- Root & CustomROM (cdDroid based on Android 10)
- Magisk 22.1
- Magisk-Modul "Riru" und dann "EdXposed" (xposed geht nur bis Android 8 OREO) oder "LSPosed" (wie EdXposed, jedoch mit scoping!)
- in EdXposed oder in LSPosed läuft dann XPrivacyLua als Modul (unter Android 8 das alte XPosed)
- AFWall+

Wichtig:
>>> in MAGISK den ROOT vor PhotoTAN-App verstecken
>>> im Modul EdXposed oder LSPosed das Modul XPrivacyLua aktivieren

- Variante mit LSPosed: den Haken bei der PhotoTAN-App setzen, damit XPrivacyLua die PhotoTAN-App in nicht wichtigen Dingen blockt.
- Variante mit EdExposed: hier wird jede neu installierte App automatisch von XPrivacyLua geblockt, bis man manuelle einzelne sicherheitskritische Abfragen freigibt. Allerdings lohnt es hier in den Einstellungen von EdExposed, dieses vor Apps zu verbergen und zumindest die PhotoTAN-App auszuwählen.

Egal, welchen Weg man geht:
Die PhotoTAN-App will weiter die Anwendungsliste einlesen. Wozu? Privatsphäre!
Einige Identifier will die App auch wissen. Kann sie haben - mit vorgeschobenen Fake-Daten. Einzig die Kamera darf die App logischerweise nutzen.

In AFWall+ ist die App nur für das WLAN und für LTE freigegeben, sonst klappt die Freigabe bei Überweisungen nicht. Dazu muss der Bankserver mit der PhotoTAN-App kommunizieren können.

Ob EdExposed oder LSPosed ist egal. Ich bin nur auf LSPosed umgestiegen, da seit Android 10 (oder gar 9) nur damit die Standortfälschung sauber funktioniert. Ich bekam den Tipp vom XPrivacyLua-Programmierer persönlich per Email. Nun klappt alles wie gewünscht.

Die PhotoTAN-App braucht natürlich die Google Service Frameworks.

Mein Smartphone hat bis auf GoogleMaps nichts von Google drauf. Statt des Google Cores nutze ich microG mit dem Fake-Store Aurora. Dort bin ich wegen früher bezahlter Apps allerdings mit meinem echten Google-Account angemeldet.

Der Aurora-Store erkennt die PhotoTAN-App an und aktualisiert sie auch.

Dass die Bargeldabschaffung nicht mehr weit ist, erkennt ein Blinder mit Krückstock. Doch die angebliche Sicherheit durch Zweistufen-Verifizierung mittels App ging mir schon seit Jahren zu sehr zu Lasten meines Rechts auf Privatsphäre, da ganz zufällig Parameter abgegriffen werden, mit denen sich jedes Smartphone weltweit eindeutig zurückverfolgen lässt.

Viel Erfolg beim Zurückerlangen der vollen Kontrolle über das eigene Smartphone. Ich hoffe, hier konnte allen helfen, die auf ihrem Root-Device die PhotoTAN-App zum Laufen zu bringen versuchen.