comdirect

Hallo,

ich habe eine Lösung gefunden, bei der es auch mit der aktuellen Version der Photo-TAN-App funktioniert. Ausschlaggebend war der Artikel in der c't 06/20, S. 124 "Android-Root vor Apps verstecken". Der Magisk Manager gaukelt Android und den Apps ein nicht gerootetes System vor. Im Magisk Manager ist das Tool Magisk Hide enthalten. Darin kann man die Photo-TAN-App auswählen und anschließend startete sie wieder. Eine Überweisung habe ich bisher noch nicht getätigt, aber allein der Start der App scheint ja schon das Problem gelöst zu haben.

Grüße

Stefan

Naja, das trägt nicht unbedingt zur Sicherheit bei.

Da bleibe ich lieber bei Version 7 der photo-TAN App.

---

@Skalar  schrieb:

Naja, das trägt nicht unbedingt zur Sicherheit bei.

Da bleibe ich lieber bei Version 7 der photo-TAN App.

---

Überweisung “unter Magisk“ hat schon mit PhotoTAN bei mir vor ein paar Tagen funktioniert. Magisk funktioniert in dieser Hinsicht einwandfrei, auch z.B. mit Google Pay, und es existiert schon seit einigen Jahren und wird positiv besprochen. Man handelt sich aber auf diese Weise eine weitere potenzielle Sicherheitslücke ein, und das sollte eigentlich nicht nötig sein!

Ich hatte das gleich als erstes versucht, Root mit MagiskHide vor der App zu verstecken, was aber bei mir nicht geklappt hat. Und selbst wenn, wäre mir das auch noch zu wackelig, da es mit dem nächsten Update damit auch schon wieder vorbei sein könnte. Ich hatte schon mal eine PushTan-App einer anderen Bank damit zum laufen gebracht, aber mit einem der nächsten Updates war dann auch schnell damit Schluss, da wohl noch mehr fiese Prüfungen in die App eingebaut wurden und generell auf Custom-Roms bzw. bei installierten Cleaner-Apps der Betrieb verweigert wurde. Da nützt dann auch das versteckte "Root" nichts mehr. Solange die alte Version der App noch läuft und nicht auch noch irgendwann aktiv blockiert wird, ist das immer noch die akzeptabelste Lösung. Bevor ich mit irgendwelchen zweifelhaften Basteleien anfange, wechsle ich eher die Bank oder nehme eben ein billiges, altes Zweitgerät im (unsicheren) Originalzustand speziell für solche Sachen her, auch wenn das sicherlich nicht Sinn und Zweck dieser Gängelungen sein kann und man damit im Endeffekt genau das Gegenteil erreicht.

Magisk und RootBeer Sample

Leider ist das MagiskHide nicht immer erfolgreich. Für die Nutzer, bei denen es trotz Magisk noch als Root eingestuft wird: Im Google Apps Store gibt es die öffentliche "RootBeer Sample" App. Damit kann man testen, ob das Handy noch als Root erkannt wird oder nicht. So kann man Schritt für Schritt versuchen, dass Handy zu "verstecken"...

Abgesehen von der Root-Geschichte, ist die neue App wohl insgesamt ein Schuss nach hinten. Ich wollte sie mal auf meinem Zweitgerät einrichten und es wird ganz penetrant ein Upgrade auf PhotoTan-Push verlangt, wo man dann auch noch zwingend ein Passwort festlegen muss. Was soll mir das "Push" bringen, wenn ich jedesmal die App umständlich erst mit einem Passwort entsperren muss.

Warum macht Ihr das nicht ganz einfach wie das "Original" die Commerzbank. Mit deren App funktioniert PhotoTan-Push schon seit Monaten ganz unkompliziert  und benutzerfreundlich auf gerooteten Geräten und auch ohne Passwort-Zwang. Diese übertriebene "Sicherheit" überall, die alles fast nicht mehr nutzbar macht, ist wirklich wie die Pest.

---

@Best   schrieb:

Hallo,

 

ich habe eine Lösung gefunden, bei der es auch mit der aktuellen Version der Photo-TAN-App funktioniert. Ausschlaggebend war der Artikel in der c't 06/20, S. 124 "Android-Root vor Apps verstecken". Der Magisk Manager 

...

mal ehrlich, steht das, oder auch die anderen eher abenteuerlichen Lösungen im Verhältnis?
Vor allem wenn dann gleichzeitig fehlende Verlässlichkeit beklagt wird, kann ich das nicht nachvollziehen.

Ich habe mich auch sehr geäerget, da ich ungeplant 4 Tage von meinem Konto abgeklemmt war. Da mir die 9 ct pro SMS bei der inflationären Abfrage einer Tan zu viel sind, war klar, dass hier nur ein Lesegerät die Lösung sein kann.

Ich hatte die Situation mit dem Reklamationsmanagement am Telefon besprochen, und bekam dann 4 kostenfreie Wertpapiertransaktionen als Trostpflaster. Damit war sogar letztlich das Lesegeraet Kostenneutral. Aber selbst wenn nicht, hätte ich keine Lust, Stunden mit Software zu frickeln um 35 EUR zu sparen.

Selbst wenn man die neue App zum Laufen bekommt, ist das ein Schritt zurück in die Steinzeit, wenn man jedesmal erst umständlich ein Passwort eingeben muss und man ständig zum Wechsel auf PushTan genötigt wird.

Ich frage mich, warum man das alles aufeinmal über den Haufen schmeißen will, denn PhotoTan war/ist doch wirklich das beste und bedienungsfreundlichste TAN-Verfahren, das man sich vorstellen kann. Und die Commerzbank hat das sogar schon mit PhotoTan-Push bereits seit Monaten unkompliziert auf die Reihe gebracht. Man muss lediglich kurz in der App auf "Anmeldung bestätigen" tippen, ohne Passwort. Der Nachteil bei der Commerzbank ist nur, dass man bei jeder Anmeldung diese Bestätigung machen muss, also nicht nur alle 90 Tage, aber es ist trotzdem relativ unkompliziert und kaum störend. Aber die comdirect will sich scheinbar absichtlich unbeliebt machen, indem bewährte und einwandfrei funktionierende Verfahren verhunzt werden.

Rein von der Comdirect-Logik her, müßten jetzt alle seit 2014 hergestellten Samsung Smartphones mit abgelaufenen Sicherheits-Patch von der Banking App und PhotoTan App ausgeschlossen werden.

"Laut einem Bericht des Google-Sicherheitsforschers Mateusz Jurczyk können alle Samsung-Smartphones seit dem Jahr 2014 ohne Verschulden des Nutzers gehackt werden. Schuld daran ist eine erst jetzt entdeckte Sicherheitslücke, die es Angreifern erlaubt, das Smartphone mittels eines MMS-Angriffs zu übernehmen. Das für Samsung-Geräte überarbeitete Android unterstützt nämlich seit 2014 das Bildformat QMAGE."