comdirect

ehemaliger Nutzer · ‎21.04.2020

Moin,

bisher war ich ja immer ganz froh, dass die photoTAN App sich nicht über gerootete Androids beschwert. Leider habe ich ganz unbedarft auf Version 8 der App geupdatet und nun verweigert sie die Nutzung. Immerhin ist es ja zu empfehlen regelmäßig zuupdaten. In diesem Fall hätte ich mir aber echt gewünscht es nicht gemacht zuhaben oder wenigsten ein Backup gemacht zuhaben. Denn lieber eine veraltete unsicher App auf einem sicheren System, als anders herum.

WARUM unterstützt die App den keine gerooteten Androids? Die Ausrede, dass es unsicher ist, ist einfach nicht nachvollziehbar oder haben Sie an Ihrem Desktop-PC auch keinen Adminaccount? Nur weil ich als Besitzer meines Smartphone Zugriff auf mein komplettes Gerät habe, ist das noch nicht unsicher!

Wenn Sie wirklich etwas für die Sicherheit machen wollen, prüfen Sie vor dem Appstart ab, von wann die letzten Systemsicherheitsupdate sind. Denn das ist, was wirklich über die Sicherheit entscheidet.

Ich frage mich jetzt, wie ich mein Geld von Comdirect wegbekomme, ohne die App nutzen zukönnen, um nachträglich mein Konto kündigen zukönnen.

Das Problem dabei ist meist auch, dass man erst merkt, dass etwas nicht funktioniert, wenn man es gerade braucht.

(Vielleicht finde ich ja noch irgendwo ein Backup der alten App-Version. Sicher ist das dann nicht, aber darum geht es Ihnen ja auch nicht.)

ehemaliger Nutzer · ‎12.05.2020

Ist der 'Fachabteilung' eigentlich klar dass es Geräte gibt, die mit Root-Zugriff ausgeliefert werden? Ich habe ein Fairphone, bin äußerst zufrieden (und auch froh darüber, dass mir kein Hersteller unlöschbare Apps vorinstalliert hat).
Fairphone liefert seine Geräte mit Root-Berechtigung aus.
Was soll ich nun machen? Ich verspreche Ihnen, falls die Version 7 der App einmal nicht mehr funktioniert und Geräte mit Root-Zugriff immer noch blockiert sind, dann wechsel ich eher die Bank als mein Handy. Das seperate Lesegerät ist keine praktikable Alternative für mich.

ehemaliger Nutzer · ‎12.05.2020

Ich kann verstehen, dass die Funktion photoTan-Push auf gerooteten Geräten problematisch ist (Schadsoftware könnte die Kommuniḱation im Hintergrund abfangen und beliebige Transaktionen 'bestätigen').

Vorschlag an die Fachabteilung: Auf Geräten mit Root-Zugriff gibt es nur die klassische Funktion mit Einlesen der Grafik und TAN-Eingabe. Auf die Push-Funktion kann ich gerne verzichten.

decoder · ‎12.05.2020

Den Vorschlag von ingedirect sehe ich ebenfalls als eine akzeptable Lösung, die die Sicherheit der breiten Nutzerbasis nicht gefährdet, aber dennoch die App auch auf gerooteten Geräten lauffähig hält ohne Sicherheitsrisiken.

Insbesondere im Hinblick auf Geräte die es nur mit Root gibt, wie z.B. das genannte Fairphone, sollte die Fachabteilung diese Änderung in Betracht ziehen.

Christian_ · ‎12.05.2020

Stimmt, daran hatte ich bisher garnicht gedacht. Hatte auch schon Smartphones für Bekannte besorgt bzw eingerichtet, die von Haus aus mit Root und ohne Bloatware ausgeliefert wurden.

Auf PushTan kann ich auch gerne verzichten, aber den Passwortzwang für die neue App finde ich außerdem nervig. Man könnte ja auch zwei verschiedene Apps, eine für PhotoTan und eine für PushTan anbieten, die erstere dann wie bisher Version 7.x ohne Einschränkungen. Also es gäbe durchaus Kompromisse, wobei es bei der Commerzbank ja auch mit PushTan uneingeschränkt funktioniert, was ich schon mehrmals erläutert habe, aber scheinbar niemand wirklich zur Kenntnis nehmen will. PhotoTan fand ich bisher eigentlich immer genial. Weiß nicht warum die comdirect dem jetzt den Kampf ansagt und dieses funktionierende System mit an den Haaren herbeigezogenen, zusätzlichen Sicherheitsmechanismen zugrunderichten will.

ehemaliger Nutzer · ‎12.05.2020

Hallo @ehemaliger Nutzer,

die Kollegen haben das Thema auf dem Zettel. Stand jetzt können wir dazu noch keine Wasserstandsmeldung geben.

Viele Grüße

Mario

a0003 · ‎12.05.2020

Besser wäre:

Wenn die App root erkennt, wird push-TAN deaktiviert bzw. der Hinweis auf das mögliche Upgrade ausgeblendet und sofort die Photo-TAN Funktion gestartet.

Außerdem sollte es generell eine Möglichkeit geben, den Hinweis auf das push-TAN-Upgrade zu unterbinden, auch auf nicht gerooteten Geräten. Und für Personen, die push-TAN "versehntlich" aktiviert haben, sollte es aus Sicherheitsgründen (!) auch eine Option geben, dieses Verfahren wieder zu deaktivieren (derzeit geht das wohl nur über Deinstallation und Neuinstallation der App).

decoder · ‎12.05.2020

Danke für eure Mühen, doch noch eine Lösung zu finden die für alle funktioniert 🙂

Olli.S · ‎12.05.2020

Ich frage mich dann nur, was es der Sicherheit nützt, die gepushten TANs nur auf einem ungerootetem Smartphone zur Verfügung zu stellen, aber gleichzeitig MobileTAN per unverschlüsselter SMS auf jedem Ziegelstein mit Antenne zuzulassen.

Das Argument von @ehemaliger Nutzer, dass es ja auch Geräte gibt, die per default mit Rootzugiff für den Nutzer kommen, möchte ich gerne auch noch einmal hervorheben.

Ich habe derweil ein Konto bei der N26 beantragt. Da bin ich ja mal echt gespannt, was mich da erwartet; man liest ja so einiges :D.

Hypercosinus · ‎13.05.2020

Ich halte das Pushtan generell für viel riskanter als ein gerootetes Gerät .Die 2FA wird ja faktisch außer Kraft gesetzt.

tfan · ‎14.05.2020

Mittels Magisk hide läuft die App vorerst - Sicherheitsmechanism wie xprivacy via xposed funktionieren aber nicht.

Finde ich ausgesprochen daneben von der comdirect - es gibt in nahezu allen Android-Geräten mit Patchlevel älter als Februar 2020 gravierende Sicherheitslücken, die auch ohne Root einem Angreifer komplette Kontrolle über das Gerät geben. Ich bezweifle ganz stark, dass diese Geräte - mal ganz abgesehen von Geräten mit noch älteren Android-Versionen - von der App geblockt werden.

comdirect

Version 8.0 der PhotoTAN App verweigert Start wegen Root Zugang