comdirect

ehemaliger Nutzer · ‎21.04.2020

Moin,

bisher war ich ja immer ganz froh, dass die photoTAN App sich nicht über gerootete Androids beschwert. Leider habe ich ganz unbedarft auf Version 8 der App geupdatet und nun verweigert sie die Nutzung. Immerhin ist es ja zu empfehlen regelmäßig zuupdaten. In diesem Fall hätte ich mir aber echt gewünscht es nicht gemacht zuhaben oder wenigsten ein Backup gemacht zuhaben. Denn lieber eine veraltete unsicher App auf einem sicheren System, als anders herum.

WARUM unterstützt die App den keine gerooteten Androids? Die Ausrede, dass es unsicher ist, ist einfach nicht nachvollziehbar oder haben Sie an Ihrem Desktop-PC auch keinen Adminaccount? Nur weil ich als Besitzer meines Smartphone Zugriff auf mein komplettes Gerät habe, ist das noch nicht unsicher!

Wenn Sie wirklich etwas für die Sicherheit machen wollen, prüfen Sie vor dem Appstart ab, von wann die letzten Systemsicherheitsupdate sind. Denn das ist, was wirklich über die Sicherheit entscheidet.

Ich frage mich jetzt, wie ich mein Geld von Comdirect wegbekomme, ohne die App nutzen zukönnen, um nachträglich mein Konto kündigen zukönnen.

Das Problem dabei ist meist auch, dass man erst merkt, dass etwas nicht funktioniert, wenn man es gerade braucht.

(Vielleicht finde ich ja noch irgendwo ein Backup der alten App-Version. Sicher ist das dann nicht, aber darum geht es Ihnen ja auch nicht.)

a0003 · ‎30.04.2020

Ich übersetze das so: "Grad der Härtung anheben" bedeutet: die Kunden entmündigen, selbst die Entscheidung treffen zu dürfen, wie sicherheitsgefährdet das eigene Betriebssystem ist. Als Bankkunde ist man jedoch zwangsläufig (und verifiziert) volljährig --- die Bank sollte daher diese Entscheidung einem Erwachsenen selbst überlassen! Es wird ja auch nicht von der Bank überprüft, ob ich meine Passworte sicher verwahre oder offen herumliegen lasse.

Bzgl. der alten APKs gibt es dagegen nur einen Hinweis (Zitat: "möchten wir darauf hinweisen"). Da darf also der ansonsten unmündige Kunde selbst entscheiden, ob er alte und vielleicht unsichere APKs verwendet? Warum nicht auch bei der aktuellen App bei jedem Start, z.B.: "Ihr Gerät ist offenbar gerootet - Fortfahren auf eigene Gefahr"?

SMT_Erik · ‎30.04.2020

@AndyZA schrieb:

...

Schon einmal darüber nachgedacht, dass mobileTAN-Verfahren auch für Nutzer aus Nicht-Europäischen Ländern gebräuchlich zu machen? Ich z.B. habe nur eine Nummer aus dem Subsahara-Afrika Gebiet.

Hallo @AndyZA ,

ein Ausbau auf Rufnummern weiterer Länder beim mobile TAN-Verfahren ist derzeit nicht in Planung. Deinen Wunsch leite ich aber gerne weiter.

Gruß

Erik

Hilfreiche Links:

Unsere Community-Regeln | Labels in der Community | Tipps & Tricks rund um die Community
3 Zutaten für den perfekten Communitybeitrag | Der Community-Adventskalender!

rembrand · ‎30.04.2020

Hallo Erik

danke, dass Ihr Euch damit auseinandersetzt. Schoen waehre, wenn das nicht ohne Folgen bleibt.

> Der Grad der Härtung wurde bei der neuen Version aus sicherheitstechnischen Erwägungen angehoben.

Ich hoere immmer wieder heraus, das dies einer neuen Funktion (Push-Tan) geschuldet ist. Es liese sich ja auch dies so einbauen, dass sie nur bei nicht gerooteten Telefonen funktioniert, wenn das so ein Teufelszeug ist.

> Was die Verwendung älterer APK-Versionen der App angeht, möchten wir darauf hinweisen, dass wir für die Sicherheit und Funktionalität von Installationen aus uns unbekannten Quellen keine Gewährleistung übernehmen. Die photoTAN App wird von uns ausschließlich über den Google Play Store und den Apple Store bereit gestellt.

Genau das ist ein riesen Problem. Ich halte es auch fuer unklug, via drittanbieter wie apk-downloader oder aehnliches kritische Software zu laden. Allerdings ist das Bereitstelllen via Google und Apple eine Unart, die sich ausschliesslich bei Apps fuer Mobilgeraete durchgesetzt hat. Guter Stil ist es, wenn Herrausgeber Ihre Software selbst zur Verfuegung stellen und die Moeglichkeit zur Ueberpruefung via Hash-Summe ermoeglichen.

> Grundsätzlich wird sich unsere Fachabteilung weiterhin Gedanken darüber machen, inwieweit ein Anpassung der Härtung unter Berücksichtigung der o.g. Aspekte möglich ist.

Ich bin gespannt und hoffe, dass von den vielen guten konstruktiven Vorschlaegen hier was uebernommen wird.

Gruesse

a0003 · ‎30.04.2020

Genau das ist ein riesen Problem. Ich halte es auch fuer unklug, via drittanbieter wie apk-downloader oder aehnliches kritische Software zu laden. Allerdings ist das Bereitstelllen via Google und Apple eine Unart, die sich ausschliesslich bei Apps fuer Mobilgeraete durchgesetzt hat. Guter Stil ist es, wenn Herrausgeber Ihre Software selbst zur Verfuegung stellen und die Moeglichkeit zur Ueberpruefung via Hash-Summe ermoeglichen.

Sehr richtig! Es gibt überdies auch Geräte ohne Google Play Store (z.B. Amazon Tablet), auf denen die PhotoTAN App laufen würde - wenn sie denn direkt verfügbar wäre.

Eine deutlich weniger "gefährliche" Methode der Installation auf solchen Geräten ohne Play Store etc. ist folgende: Installation der App auf dem gerooteten Gerät aus Play Store. Anschließend APK Backup durchführen (mit geeignetem Tool) und so erzeugte APK-Datei auf ein anderes Gerät kopieren. Damit umgeht man wenigstens das Problem einer möglicherweise dubiosen Herkunft aus dem Internet...

[Ich selbst führe zum Glück regelmäßig Backups meiner installierten APKs durch (dank root automatisch möglich) und musste daher nicht für die Vorgängerversion auf dubiose Quellen zugreifen.]

Christian_ · ‎30.04.2020

@rembrand schrieb:
Ich hoere immmer wieder heraus, das dies einer neuen Funktion (Push-Tan) geschuldet ist. Es liese sich ja auch dies so einbauen, dass sie nur bei nicht gerooteten Telefonen funktioniert, wenn das so ein Teufelszeug ist.

Das kann es auch nicht sein, denn bei der Commerzbank nutze ich Photo-Tan Push schon seit Monaten mit deren Photo-TAN-App ohne Probleme auf meinem gerooteten Gerät.

Die comdirect tut jetzt so als ob das eine supertolle Innovation wäre, wodurch man außerdem gerooteten Geräten den Kampf ansagen muss.

Noris Knofun · ‎30.04.2020

Für die Version 7.3.23 der photoTAN App ist die zugehörige sha256 Prüfsumme:

f420c6add2a042b68a1adfb53f47f2cd4ed38650844ecd15dbae6ecefe83befd

Wäre schön wenn von offizieller Seite Prüfsummen oder sogar die App bereitgestellt wird und man sich nicht Infos von Foristen hinter Pseudonymen und Drittanbieterseiten anvertrauen muss um weiter seine Bankgeschäfte durchführen zu können...

Andi89 · ‎30.04.2020

Ich möchte mich gerne der langen Liste an verärgerten Kunden anschließen, seit dem letzten Update der App habe ich auf meinem gerooteten Android Telefon keinen Zugang mehr auf mein Konto.

Lassen Sie mich das noch mal sagen: Ich habe keinen Zugriff auf mein Konto!

Das ist eine drastische Behinderung in meinem Alltag, und ich hoffe inständig, dass dieser Fehler (denn genau das ist es) bald behoben wird.

Ein Konto ist Infratruktur. *Wichtige* Infrastruktur. Eine so einschneidende Änderung einfach durchzuführen, ohne eine Warnperiode einzuplanen ist geradezu boshaft. Ich kann da als studierter Softwareingenieur nur verwundert den Kopf schütteln...

Hypercosinus · ‎01.05.2020

Da klingt mal wieder ein wenig "Friss oder stirb"-Mentalität durch. Die Umfrage zum Kundendienst kann so nicht besonders positiv ausfallen. Schade

euryanthe · ‎04.05.2020

Unglaublich!

Das ist pure Gängelung, da gerootete Geräte in Wahrheit sicherer sind, indem man z.B. durch eine angepaßte Hosts-Datei unsichere Server blockieren kann. Auch können manche Antimalware-Programme besser arbeiten. Diese Fehlentscheidung muß umgehend rückgängig gemacht werden!!

Malo0815 · ‎06.05.2020

nicht nur gängelung der nutzer. eventuell kalkuliert, da man auf mobile tan ausweichen muss und diese kostet bekanntlich. ein schelm wer böses dabei denkt.
wenn das so bleibt, regel ich alle meine geschäfte wieder über norisbank, wo mein zweites konto geführt wird und die dortige tan-app allerdings problemlos auf roothandys funktioniert. es geht also, wenn man will.

comdirect

Version 8.0 der PhotoTAN App verweigert Start wegen Root Zugang