comdirect

Was ist das Bedrohungsszenario eines durch Malware gerooteten Smartphones?

Eine PushTan könnte durch die Malware bestätigt werden und die Zahlung am PC auslösen.

Eine Phototan? Was könnte hier mehr passieren als bei einer SMS?

Wenn kein Zugriff auf den PC vorhanden ist, gar nichts aus meinem Verständnis.

Es gibt kein sicherheitsrelevantes und gleichzeitig signifikantes technisches Argument gegen das rooten.

Nur leider spielt das keine Rolle. Das haben wir ja schon gerlernt. Es ist eine reine

(Saubermann) Image Entscheidung. Vollkommen irrational, aber sieht gut aus.

"Wir machen unseren Job, wir räumen auf." 

Versteht das endlich. 

Trotz allem wäre es wünschenswert, wenn die hier angesprochen Defizite und sich auftürmenden Absurditäten im comdirect Heimathafen (dem "Persönlichen Bereich") repariert würden.

Irgendwo wird sich doch trotz Pandemie noch ein Klempner finden, der in diesem (vorsicht Potential Community Rules Abuse Alert) "Saustall" zumindest die gröbsten Falschaussagen und Fehlfunktionen rausnimmt. Das kann man auch aus unternehmerischer Sicht wohl erwarten.

Man bekommt sonst schnell den Eindruck, dass in der Techniker Abteilung keiner mehr arbeitet, weil das Geld gebraucht wird um die (unternehmerische) Entscheidungstreffer finanziell abzusichern. 

Kleiner funfact nebenbei: Im Anhang sehen wir den direkten Zusammenhang aller unternehmerischer Entscheidungen der Commerzbank in den letzten 10+ Jahren und deren Konsequenzen, in einem leicht verständlich aufbereiteten Grafikdokument.

Ich reihe mich mal ein die lange Liste der "Geschädigten". Über die - technisch nicht nachvollziehbare und aus meiner Sicht irrsinnige - Entscheidung, Geräte mit Root auszusperren (oder es zu versuchen - beim nächsten Magisk-Update dürfte das Verstecken wieder funktionieren) wurde bereits genug geschrieben. Kein weiterer Kommentar, ich habe dann eben das Update der PhotoTan-App deaktiviert bis eine Lösung (Magisk v24?) verfügbar ist. Ob das im Sinne des Erfinders ist?

Leider wird die "User Experience" im weiteren Verlauf noch schlechter . Durch die Neuinstallation muss ich das Gerät jetzt neu aktivieren."Weiteres Gerät aktivieren" über die Homepage schlägt aber wie bereits hier beschrieben fehl bzw. ist nicht möglich (Bug oder Feature?). Der angeforderte Aktivierungsbrief ist jetzt zwar immerhin sehr schnell angekommen, allerdings dauert es jetzt nach der Aktivierung angeblich nochmal bis zu zwei Tage bis zur tatsächlichen Freischaltung des Geräts. Vorher ist keine Überweisung möglich. Gut, vermutlich könnte ich jetzt mobileTAN nutzen (das ist ja viel sicherer als ein gerootetes Handy - haha), aber mir widerstrebt es dann doch zusätzlich zum Ärger auch noch Gebühren für diesen Unfug zu zahlen.

Mir stellt sich die Frage, ob man bei der comdirect in der IT bereits im 21. Jahrhundert angekommen ist oder ob man intern noch mit Fax und Schreibmaschine arbeitet. Ganz ehrlich, ich finde das peinlich.

Nur mal zum Vergleich: Auch bei eurer Konkurrenz mit den drei großen Buchstaben fährt man einen Kreuzzug gegen gerootete Handys. Allerdings kann ich dort alternativ per chiptan über ein standardisiertes Gerät + EC-Karte Transaktionen freigeben und muss mir nicht ein proprietäres, teures Extra-Lesegerät kaufen.  Und ich kann mich auch nicht erinnern dass ich hier nach der Aktivierung noch Tage warten musste...

Ja, das war jetzt nicht freundlich. Aber manchmal sind klare Worte notwendig um zu verdeutlichen wenn etwas gehörig falsch läuft.

Das absurde ist ja, dass selbt beim "Mutterkonzern", der Commerzbank die aktuelle Phototan-App auf meinem gerooteten Gerät mit Push-TAN einwandfrei funktioniert. Auch muss man die App nicht erst umständlich mit einem Zwangs-Passwort oder sonstwas erst entsperren. Nach einem Update meines Smartphones mit einem neuen Custum-Rom inclusive Root lief außerdem auch alles reibungslos mit dem uralten Aktivierungsbrief. Für die comdirect habe ich aber gleich die 7.x Version genommen, als Lesegerät aktiviert und Updates verboten, womit es auch keinerlei Probleme gibt. Und dabei bleibe ich auch und lasse die Finger von weiteren Experimenten mit neueren Versionen, die sowieso keinen Vorteil bieten. Ich habe etwas besseres zu tun, als mich stunden- oder gar tagelang mit irgendeiner TAN-App rumzuschlagen. "Altmodische" Überweisungen habe ich außerdem auf ein Minimum reduziert, da das immer umständlicher wird, und bezahle weitestgehend mit (kostenlosen) Kreditkarten, wo es außerdem auch noch Cashback gibt.

Commerzbank Photo-TAN läuft, comdirect nicht - das gilt auch für e-OS. 

Managementtechnisch formuliert wäre das "wieviele Kunden legen so viel Wert auf ein datensammlerfreies Betriebssystem UND wollen kein altes "konformes" Zweithandy zuhause rumliegen haben, dass sie dafür zur comdirect wechseln oder comdirect nicht verlassen". ...auch wenn ich dazu gehöre - ich bin nicht die Mehrheit und mein altes Handy tut's noch.  

Vielleicht muss man diese Frage auch nicht beantworten, sondern könnte evaluieren wie (mit relativ wenig Aufwand) die App so umgebaut werden kann, dass bei erkanntem Root nur die Scan Funktionalität (vs. direkte Freigabe) zur Verfügung steht, nebst Hinweis ("Sie können die Online Freigabe nicht nutzen, weil..."). 

---

@etron770  schrieb:

"* Die Aktivierungsgrafik aus dem alten Brief von 2018 funktioniert nicht mehr"

Ich hatte mit älteren Geräten immer Schwierigkeiten die älteren Aktivierungsgrafiken zu erkennen.
Am besten ging es mit vollem Sonnenlicht und dann manchmal erst nach einigen Versuchen.
Ironie an:
Vielleicht ist das der technische Schutz gegen alte ungerootete Smartphones mit veralteter Soft- und Hardware
Ironie aus

---

Vielen Dank für den Hinweis - nach zahlreichen Versuchen konnte ich die alte Aktivierungsgrafik nun doch einlesen.  Das Tablet ist übrigens nur 1 Jahr alt, an dem Gerät lag es dann wohl eher nicht, denn mit den sonstigen PhotoTANs am Bildschirm kommt es jetzt gut zurecht.  ---  Möglicherweise hat ja die Funktion "Erkennung Root" bei der Weiterentwicklung der App inzwischen eine höhere Priorität als die Funktion "Erkennung Aktivierungsgrafik" erhalten.   😉

Aktivierungsgrafiken würde ich sofort scannen und verschlüsselt und oder offline speichern (z.B. auf SD-Karte). Vom Bildschirm tun's die noch nach Jahren 😉 Dass die CYMK Pigmente auf dem Papier unterschiedlich schnell ausbleichen und daher die Farbcodierung unleserlich wird, liegt nicht am Erkennungsalgorithmus. Da muss ggf. mehr Licht her, entweder eine starke Lampe mit gutem Farbwiedergabeindex (die "1000 Watt für 10 € Variante" aus dem Baumarkt hilft da nicht zwingend) oder halt Sonnenlicht als ideal Standard.