comdirect

Hallo SMT_Mario,

> unsere Apps sind ausschließlich auf den offiziellen Betriebssystemen lauffähig. Die Lauffähigkeit auf gerooteten Systemen kann nicht garantiert werden und wir können hier auch keinen Support leisten.

Das ist ok und nachvollziehbar. Aber es handelt sich ja nicht um ein durch das Betriebssystem auftauchendes Problem, sondern die App-Entwickler haben eine neue Kondition eingebaut, also aktiv verhindert dass die Applikation nicht lauffaehig ist.

Wie hier schon erwaehnt ist die fehlende Ankuendigung das eigentliche Problem.

Comdirect ist sonst nicht sparsam mit Nachrichten. Hier waehre ein Hinweis wirklich wichtig gewesen, damit man alternativ smsTAN und/oder Lesegeraet aktivieren kann, bevor man von jetzt auf gleich ausgesperrt wird.

In Zeiten eines derart volatilen Aktienmarktes wirklich ein Unding mit eventuell kostspieligen Folgen.

Wie fragwuerdig der Sicherheitsgewinn durch die Neuerung ist, wurde ja auch schluessig dargelegt.

Ist eine derartig Ueberpruefung auch fuer die Comdirect-App geplant?

Ich hoffe nein.

Danke fuer kurzes Feedback

---

... sondern die App-Entwickler haben eine neue Kondition eingebaut, also aktiv verhindert dass die Applikation nicht lauffaehig ist.

Und das ist von der Programmierung her sicher nicht trivial - was hätten die Programmierer in dieser Zeit nicht alles machen können, was wirklich hilft!

Wie hier schon erwaehnt ist die fehlende Ankuendigung das eigentliche Problem.

Comdirect ist sonst nicht sparsam mit Nachrichten. Hier waehre ein Hinweis wirklich wichtig gewesen, damit man alternativ smsTAN und/oder Lesegeraet aktivieren kann, bevor man von jetzt auf gleich ausgesperrt wird.

100% Zustimmung - das ist schließlich keine Wetter-App - das ist eine Produktiv-App!

Hier hat (hoffentlich!) jemand ganz bewusst die Entscheidung getroffen, Kunden mit gerootetem Handy von einem Tag auf den anderen aus ihrem Konto auszusperren.

Nehmen wir einmal an, dass 0,1% aller Smartphones gerootet sind.  Laut eigenen Angaben (https://kunde.comdirect.de/cms/ueberuns/de/presse/Monatszahlen_Mai2019.html) hatte die comdirect bank im Mai 2019 2.636.000 Kunden.  In diesem Fall wurden durch diese App-Änderung ca. zweieinhalbtausend Kunden aus ihrem Konto ausgesperrt...

Ist das eine sinnvolle Management-Entscheidung?  Auf welcher Ebene trifft comdirect derartige Entscheidungen?  Wurden diese Konsequenzen überhaupt bedacht?

---

Übrigens (laut https://en.wikipedia.org/wiki/Rooting_(Android)): "The Free Software Foundation Europe argues that it is legal to root or flash any device. According to the European Directive 1999/44/EC, replacing the original operating system with another does not void the statutory warranty that covers the hardware of the device for two years unless the seller can prove that the modification caused the defect."

Hallo zusammen,

zu dem hier sehr intensiv diskutierten Thema Rooting möchten wir Folgendes anmerken.

Es ist richtig, dass die Vorgänger-Version der photoTAN App auf Geräten mit administrativen Zugriff unter bestimmten Voraussetzungen genutzt werden konnte. Dennoch haben wir grundsätzlich immer darauf hingewiesen, dass wir die Funktionstüchtigkeit auf diesen Geräten nicht gewährleisten können. Dass die alte Version trotz Rootings bzw. Jailbreaks genutzt werden konnte, hängt damit zusammen, dass diese App-Version nicht in dem Maße gehärtet war, wie es bei der neuen Version mit der Push-Funktion der Fall ist.

Der Grad der Härtung wurde bei der neuen Version aus sicherheitstechnischen Erwägungen angehoben. Die Argumentation, dass ein gerootetes System – vorausgesetzt das notwendige Wissen dafür steht zur Verfügung - sehr gut abgesichert werden kann, können wir nachvollziehen. Andererseits fällt es uns schwer sicherzustellen, dass auch jedes gerootete Gerät von seinem Nutzer mit dem notwendigen Maß abgesichert wird. Daher haben wir die Entscheidung getroffen, den Grad der Härtung unter dem Aspekt der Sicherheit und im Sinne aller Nutzer dieser App, zu erhöhen.

Den Vorwurf, dass wir über diese für Nutzer von gerooteten Geräten gravierende Änderung nicht umfänglich im Vorwege informiert haben, müssen wir uns gefallen lassen. Das haben wir zu unserem Bedauern versäumt und den Schluss daraus gezogen, bei derartigen Anpassungen künftig präventiv und transparent vorzugehen.

Was die Verwendung älterer APK-Versionen der App angeht, möchten wir darauf hinweisen, dass wir für die Sicherheit und Funktionalität von Installationen aus uns unbekannten Quellen keine Gewährleistung übernehmen. Die photoTAN App wird von uns ausschließlich über den Google Play Store und den Apple Store bereit gestellt.

Grundsätzlich wird sich unsere Fachabteilung weiterhin Gedanken darüber machen, inwieweit ein Anpassung der Härtung unter Berücksichtigung der o.g. Aspekte möglich ist.

Gruß

Erik

@SMT_Erik

Für mich ein NO GO. Ich werde auf jeden Fall beim Root bleiben.

Schon einmal darüber nachgedacht, dass mobileTAN-Verfahren auch für Nutzer aus Nicht-Europäischen Ländern gebräuchlich zu machen? Ich z.B. habe nur eine Nummer aus dem Subsahara-Afrika Gebiet. 

Das gibts doch nicht!

Ich muss eine dringende Überweisung machen und bekomme diese tolle Meldung ohne Ankündigung oder einer Alternativlösung. Klar, ich kann ja (hoffentlich noch!?) umstellen und für SMS bezahlen, stimmt 🙂

"Der Grad der Härtung" wurde also angehoben, herzlichen Dank auch!

Darf man erfahren, wie viele Fälle von Missbrauch Sie beim bisher wohl zu geringen "Grad der Härtung" festgestellt hatten, um diese Fehlentscheidung zu treffen???

Oder wars eher ein "Bauchgefühl"?

Ich fühle mich als Kunde jedenfalls gerade ziemlich verarscht!

Wohnen Sie in einer Mietwohnung? Was würden Sie sagen, wenn Sie nach Hause kommen und der Besitzer hat die Schlösser getauscht, um den "Grad der Härtung" zu erhöhen?

Ich kanns nur wiederholen, ich fühle mich als Kunde gerade ziemlich verarscht!

Hallo SMT_Erik,

eigentlich ist deine Antwort richtig gut, denn es zeigt, dass die Entscheidung die App zu verändern nicht unbedacht getroffen wurde und Du gehst auch auf die wesentlichen Punkte ein. Es gibt allerdings ein Problem: Die Antwort zeigt, dass ihr als Bank eure Entscheidung verteidigen möchtet und euch relativ wenig dafür interessiert, was wir Kunden wollen.

Aus Kundenperspektive könnte ich deinen Text wie folgt umformulieren und damit den identischen Inhalt transportieren:

1. Ist die Comdirect unfähig im Voraus angemessen zu kommunizieren

2. Ist die Comdirekt nicht in der Lage zu erkennen welche Geräte sicher sind (inbs. mit root)

3. Löst die Comdirekt gerne Probleme, in dem sie sich mit Kleingedrucktem aus der Verantwortung zieht

Selbst die Wortwahl (z. B. "Härtung") zeigt, dass ihr es weiterhin für richtig haltet was ihr getan habt. Und das ist ein Problem. Denn kaum ein Manager wird zustimmen den Sicherheitsgrad einer App zu senken. Wenn man jedoch davon spricht, dass die Root-Überprüfung zu scharf eingestellt ist und bspw. False-Positives erzeugt, schaut das Bild schon anders aus.

Ich hoffe, dass zu den Gedanken der Fachabteilung auch noch Taten folgen werden, denn ansonsten sollte ich meine Zeit wohl ebenfalls eher damit verbringen, herauszufinden welche Bank gerade in den Rankings vorne liegt, als hier meiner Bank Feedback zu geben. Warum der Perspektivenwechsel für euch wichtig ist, beschreibt auch diese Zitat sehr schön:

If there is any one secret of success, it lies in the ability to get the other person's point of view and see things from that person's angle as well as from your own.

Henry Ford

In der Tat eine interessante Antwort. Leider wurde bei der Antwort der Aspekt völlig veralteter Betriebssysteme auf den Smartphones komplett ignoriert vergessen.

Das betrifft wie gesagt auch nicht nur Android sondern genauso iOS. Aus meiner Sicht müsste die Bank veraltete Betriebssysteme noch viel eher blockieren als gerootete Systeme. Während man bei gerooteten Geräten die Sicherheit berechtigterweise infrage stellen kann - aber nicht muss -, ist veralteten Softwareständen inhärent, dass die nötige Sicherheit fehlt.

Eine Konsequente "Härtung" sieht demzufolge auch anders aus als hier umgesetzt. Ich bin mir relativ sicher, dass sich die für die Härtung verantwortlichen Personen bei euch darüber auch im Klaren sind - und eben dem Druck des Managements nachgegeben haben (müssen).

Mir ist klar, dass die Bank Hunderttausenden wenn nicht Millionen von Kunden mit so einer Änderung Probleme bereiten würde - aber so manches Mal geht Lernen eben nur durch Schmerz (meine Meinung als in dem Bereich beruflich Tätiger). Vielleicht kämen dann so einige Leute auch auf den Trichter, dass z.B. das sichere Lesegerät gar nicht so teuer ist, wenn die Alternative bedeutet sich für die TAN-App ein neues Smartphone kaufen zu müssen.

Ich weiß, das wird die Bank niemals machen, wenn sie dazu nicht (per Gesetz) dazu gezwungen wird, aber man wird ja noch träumen dürfen.

Eine gute Alternative bei dem ganzen Schlamassel wäre natürlich auch die gute alte ChipTAN. 😉

baha

Zwischen der "Funktionstüchtigkeit auf diesen Geräten nicht gewährleisten" und einem aktiven Unterbinden besteht meines Erachtens ein ganz gravierender Unterschied.

Die App auf gerooteten Geräten per Update komplett unbrauchbar zu machen, halte ich für eine extrem fragwürdige Entscheidung, deren Konsequenzen nicht bedacht wurden.
Zum Glück hatte ich auf meinem (ebenfalls gerooteten) Zweithandy noch eine funktionsfähige Version der App und konnte damit arbeiten.
Diese (veraltete) Version der photoTAN App habe ich jetzt auf mein Haupt-Handy kopiert und als "Lesegerät" freigeschaltet (danke für den Tipp aus dem Thread an der Stelle - ohne den Hinweis hätte ich das vermutlich nicht probiert!).
Finde ich auch nicht geil, mir bewusst alte Software zu installieren, aber was will man machen, wenn die neue Version den Dienst verweigert.
Andere Leute laden sich die vorherige Version der APK möglicherweise aus dubiosen anderen Quellen herunter und setzen sich so dem Risiko einer Infektion mit Schadsoftware aus.

An der Stelle jedoch ein Lob: Die App spuckt immerhin eine Fehlermeldung aus, mit der man etwas anfangen kann und stirbt nicht einfach ohne nachvollziehbaren Grund.

Auf der anderen Seite finde ich es ziemlich frech, das Neuregistrieren mit alten photoTAN-Versionen nur über den Umweg "Lesegerät" zu ermöglichen.

Da ich die Kontrolle über meine Android-Geräte haben will, sind alle meine Android-Geräte gerootet und teilweise durch Custom ROMs überhaupt erst auf aktuellem Sicherheitslevel.
Zudem kann ich mit Root-Rechten weitere Sicherheitsmaßnahmen aktivieren wie z.B. ein von der normalen PIN unterschiedliches, sehr komplexes Passwort für die Full-Disk-Encryption.
Ohne Root-Rechte wäre mir das nicht möglich gewesen.
Auch meine Backups benötigen Root-Rechte. Nicht jeder will seine privaten Daten bei Google in die Cloud laden.

Ich hätte mir jetzt auf mein Handy auch das Original-Image wieder aufspielen können.
Dann hätte ich aufgrund älterer Android-Version zwar unzählige ungepatchte Sicherheitslücken aber meine Bank ist glücklich, weil ich keine Root-Rechte auf meinem Gerät habe, sondern die Schadsoftware, die ich mir beim Einkaufen gerade über Bluetooth eingefangen habe.

Root ist nicht "böse", sondern eine Notwendigkeit für bestimmte Aktionen.
Und ein nicht-gerootetes System ist keineswegs sicherer, wenn Schadsoftware durch Privilege Escalation eigenständig zu Root-Rechten kommt.

Bitte entfernen Sie die Einschränkung schnellstmöglich wieder und sehen Sie in Zukunft von einer Updatepolitik ab, die ohne Ankündigung sichere Geräte willkürlich ausschließt.
Ein nicht-gerootetes Gerät zu verwenden ist sicherheitstechnisch nicht unbedingt ein Gewinn und für mich und viele andere keine Option.