comdirect

Den Vorschlag von ingedirect sehe ich ebenfalls als eine akzeptable Lösung, die die Sicherheit der breiten Nutzerbasis nicht gefährdet, aber dennoch die App auch auf gerooteten Geräten lauffähig hält ohne Sicherheitsrisiken.

Insbesondere im Hinblick auf Geräte die es nur mit Root gibt, wie z.B. das genannte Fairphone, sollte die Fachabteilung diese Änderung in Betracht ziehen.

Stimmt, daran hatte ich bisher garnicht gedacht. Hatte auch schon Smartphones für Bekannte besorgt bzw eingerichtet, die von Haus aus mit Root und ohne Bloatware ausgeliefert wurden.

Auf PushTan kann ich auch gerne verzichten, aber den Passwortzwang für die neue App finde ich außerdem nervig. Man könnte ja auch zwei verschiedene Apps, eine für PhotoTan und eine für PushTan anbieten, die erstere dann wie bisher Version 7.x ohne Einschränkungen. Also es gäbe durchaus Kompromisse, wobei es bei der Commerzbank ja auch mit PushTan uneingeschränkt funktioniert, was ich schon mehrmals erläutert habe, aber scheinbar niemand wirklich zur Kenntnis nehmen will. PhotoTan fand ich bisher eigentlich immer genial. Weiß nicht warum die comdirect dem jetzt den Kampf ansagt und dieses funktionierende System mit an den Haaren herbeigezogenen, zusätzlichen Sicherheitsmechanismen zugrunderichten will.

Besser wäre:

Wenn die App root erkennt, wird push-TAN deaktiviert bzw. der Hinweis auf das mögliche Upgrade ausgeblendet und sofort die Photo-TAN Funktion gestartet.

Außerdem sollte es generell eine Möglichkeit geben, den Hinweis auf das push-TAN-Upgrade zu unterbinden, auch auf nicht gerooteten Geräten.  Und für Personen, die push-TAN "versehntlich" aktiviert haben, sollte es aus Sicherheitsgründen (!) auch eine Option geben, dieses Verfahren wieder zu deaktivieren (derzeit geht das wohl nur über Deinstallation und Neuinstallation der App).

Danke für eure Mühen, doch noch eine Lösung zu finden die für alle funktioniert 🙂

Ich frage mich dann nur, was es der Sicherheit nützt, die gepushten TANs nur auf einem ungerootetem Smartphone zur Verfügung zu stellen, aber gleichzeitig MobileTAN per unverschlüsselter SMS auf jedem Ziegelstein mit Antenne zuzulassen.

Das Argument von @ehemaliger Nutzer, dass es ja auch Geräte gibt, die per default mit Rootzugiff für den Nutzer kommen, möchte ich gerne auch noch einmal hervorheben.

Ich habe derweil ein Konto bei der N26 beantragt. Da bin ich ja mal echt gespannt, was mich da erwartet; man liest ja so einiges :D.

Ich halte das Pushtan generell für viel riskanter als ein gerootetes Gerät .Die 2FA wird ja faktisch außer Kraft gesetzt. 

Mittels Magisk hide läuft die App vorerst - Sicherheitsmechanism wie xprivacy via xposed funktionieren aber nicht.

Finde ich ausgesprochen daneben von der comdirect - es gibt in nahezu allen Android-Geräten mit Patchlevel älter als Februar 2020 gravierende Sicherheitslücken, die auch ohne Root einem Angreifer komplette Kontrolle über das Gerät geben. Ich bezweifle ganz stark, dass diese Geräte - mal ganz abgesehen von Geräten mit noch älteren Android-Versionen - von der App geblockt werden.