comdirect

Banking-Apps auf gerooteten Telefonen ist immer eine Glückssache - manche funktionieren, manche nicht - da reicht eine Suche nach "banking apps root" bei Google. Und die, die mal funktioniert haben, funktionieren mit irgendeinem Update dann plötzlich auch nicht mehr. Allein aus dem Grund rate ich von Banking-Apps auf gerooteten Telefonen ohne funktionierende Backup-Lösung(!) ab - ist schlicht zu unsicher ("unsicher" im Hinblick auf Unterstützung durch die Apps, nicht im Hinblick auf Security-Aspekte).

Man hätte vorher vielleicht ein Update rausschicken können, das auf root überprüft und dann eine Warnmeldung ausgibt ("Ihr Telefon ist gerootet, mit einem in 2 Wochen geplanten Update wird diese App nicht mehr funktionieren" o.Ä.); dann hätte sich jeder darauf einstellen können (Updates deaktivieren, root entfernen, etc.).

Viele Grüße,

Jörg

> Ob die neue App außerdem auch schon ein Custom-Rom (ohne Root) als Hindernis ansieht, müsste man noch testen. Bei manchen anderen Banken ist es jedenfalls so, dass sie schon wegen eines Custom-Roms garnicht erst starten, was noch unsinniger ist. Solange die alte App noch funktioniert, werde ich jedenfalls nicht meine Zeit mit weiteren Experimenten verschwenden und sonst wohl auch eher kündigen.

Genau das kann ich bestätigen. Da meine Smartphones alle keine Updates mehr vom Hersteller bekommen und weil der Datenschutz besser möglich ist setze ich ausschliesslich LineageOS als Android-Variante ein. Auf zwei älteren Geräten startet die Version 8 der App gar nicht mehr und auf dem aktuellsten Gerät verweigert die App den Dient mit dem Hinweis, es sei gerootet.

Völlig unabhängig von der Tatsache, dass ich mich nun aus meinem Kontozugang ausgesperrt habe und dass die Hotline mich immer wegen Überlastung rauswirft möchte ich auch eigentlich keine Banking-App, die in der Lage es sich selbstänig von der PhotoTan-App die Bestätigung zu holen. Hierbei wird ein wesentliches Sicherheits-Prinzip des zweiten Faktors gebrochen.

Bitte liebes comdirect-Team:

Stellt Euren Kunden doch bitte eine einfache Photo-TAN-App zur Verfügung ohne den ganzen Push-Schnickschnack und lasst dieses sicherheitstechnisch Fragwürdige Verfahren, welches zwar Kompfort aber weniger Sicherheit bedeuten.

Viele Grüsse

Heiko

Push-Tan brauche ich auch nicht wirklich, auch wenn das bei der Commerzbank trotz Root schon seit Monaten bisher einwandfrei funktioniert. Der Aufwand und das lästige ist eigentlich, das Smartphone jedesmal zur Hand zu nehmen und dann die App zu öffnen. Ob ich danach dann eine Grafik scanne oder auf "Bestätigen" gehe, macht auch keinen großen Unterschied mehr.

Wenn die Banken wirklich auf Sicherheit gehen wollen, dann sollten sie aktives Banking per Smartphone generell unterbinden. Dass man im Gegensatz zur reinen  Generierung einer TAN auf einem gerooteten Gerät so ein Theater aufführt, ist völliger Unsinn.

Ich schließe mich der allgemeinen Kritik an. Es ist schon sehr ärgerlich, wenn alle paar Monate neue Versionen, neue Verfahren, neue Einschränkungen eingeführt werden.

Es ist ja keine Spiele- oder Wetter-App, es geht um Zahlungen und Bankgeschäfte, da wünscht man sich ein robustes Verfahren, das möglichst jahrelang ohne große Veränderungen funktioniert.

Ich habe zwangsläufig die neue PhotoTAN App auf einem alten Handy installiert, damit kann ich zumindest den Posteingang wieder aufrufen, bei Überweisungen erhalte ich die Fehlermeldung:

"Die Aktivierung Ihres neuen Geräts wird derzeit bearbeitet. Dies kann bis zu zwei Bankarbeitstage in Anspruch nehmen. Bitte versuchen Sie es später erneut oder nutzen Sie ein anderes Gerät."

Innovativer als das x-te neue Sicherheitsverfahren binnen weniger Monate erschiene es mir,  wenn die Dauer digitaler Prozesse im Online-Banking im Jahr 2020 nicht mehr in Bankarbeitstagen gemessen würde.

Hoffen wir das Beste! Ich bin ansonsten mit der Comdirect Bank sehr zufrieden.

Update zu meiner anderen Antwort:

Ich habe es nun hinbekommen, dass die App auch unter LineageOS startet. Ich kann allerdings nicht sagen, warum es nach dem x-ten Versuch geklappt hat. Entweder in der aktuellsten App-Version hat die comdirect nun ein Einsehen gehabt dass alternative ROMs, die schliesslich von bq offiziell unterstützt waren sicher sind oder das komplette Löschen der Daten-Partition auf meinem Gerät hat dazu geführt, dass die App mir nun glaubt, dass das Smartphone nicht gerootet ist.

Welches ist "Ihre" aktuellste App-Version?

Mit der vorletzten Version 7.3.23 funktionierte alles, dann mit der nächsten Version 8.0.1 sind alle Türen für Root-Gerate zu. Gibt es bereits einen Update von 8.0.1 ?

Ich habe wieder 7.3.23 installiert und werde jedenfalls KEINEN Update mehr tätigen...

Ja mal echt geil: Wenn eine Bank die Leute dazu bringt alte App Versionen irgendwo aus dem Netz zu installieren, weil sie meinen, dass gerootete Gerät unsicherer sind. Klar, ein existierender root Zugang kann ein Hinweis auf ein Sicherheitsproblem sein. In vielen Fällen sind dies aber sogar die sichereren Geräte, weil die Nutzer wert auf aktuelle Android Versionen legen und Apps wie Adaway oder Xposed installieren, die die Angriffsvektoren deutlich reduzieren.

Von dem Problem mit den alten OS Versionen wollen wir gar nicht erst anfangen.

Also nochmal im Klartext: Lieber Produktmanager, pauschal die App auf gerooteten Geräten nicht mehr funktionieren zu lassen, macht die Welt sehr viel unsicherer, weil normalerweise paranoide Sicherheitsfanatiker dann keinen Ausweg sehen und sich virenverseuchte Versionen aus dubiosen Quellen installieren. Und nein, dann sind sie nicht selbst Schuld, sondern dazu genötigt worden.

Aber hey, immerhin lernen die Leute so eine wertvolle Lektion: Updates von der PhotoTAN App installiert man besser nicht. Das war nicht eure Intention? Dann bitte ein bisschen vorausdenken bevor ihr so etwas raus haut.

Ich nutze nun erfolgreich die aktuelle 8.0.1 vom 20.04. unter LineageOS (nicht gerootet) und werde gleich mal per twrp ein image ziehen. Weiss der Teufel, was die App vorher dazu gebracht hatte, das Gerät sei gerootet.