Kann mir jemand kurz einmal erklären, warum die Berechtigungen für secure plus app
zwingend Telefonanrufe tätigen und Bilder/Videos aufnehmen verlangt?
Lt. Infos zur App braucht sie die Telefonfunktionen zur Identifikation und Gerätebindung, was dadurch angeblich ein Sicherheitsfeature der App ist. Die Kamaraberechtigung wird für das Abfotografieren von QR-Codes benötigt und die Speicherberechtigung zum Ablegen von Konfigurationsdaten. So hab ich es im App-Store gefunden.
Der Zugriff auf die Kamera ist erforderlich, um die QR-Codes erfassen zu können, damit TAN erzeugt werden. Der Zugriff auf die Telefonfunktion ist auch nötig, um den Kundenservice direkt aus der App heraus anrufen zu können.
Die neue Secure App zwingt zur Freigabe des Telefons. Ich möchte aber einer Bank nicht mein gesamtes Telefon-Leben zur unbeschränkten Datenverfügung anvertrauen, die Bank stellt mir ihre Telefonkontakte auch nicht zur Verfügung. Genau dafür vergibt Android nun mal Rechte. Ist ein Grund für mich, meine Konten aufzulösen. Gibts da einen Update?
[...] Die neue Secure App zwingt zur Freigabe des Telefons. [...] Genau dafür vergibt Android nun mal Rechte. [...]
Exact, aber unter Android bekommst Du die Identifikations-Merkmale zur Geräte-Bindung nur, wenn das Recht "READ_PHONE_STATE" vergeben wird. Mit diesem Recht gibt man die von Dir genannten Daten frei, eine andere Wahl hat man nicht. Ohne dieses Recht bekommt man wohl auch eine System-ID, diese ist aber nicht an das Gerät gebunden. Unter Android gibt es die Rechte nur gebündelt und nicht einzeln.
Sorry dass ich diesen alten Thread wieder hoch hole. Nein, die Bank hat nicht das Recht die Geräte-Id meines Smartphones auszulesen. Das dient auch keineswegs der Sicherheit.
Im Gegenteil. Es wäre viel sicherer, wenn die Bank-App einfach einmalig eine Identifikationsnummer als eine Art Lifetime-Session-Id erzeugt, die dann immer verwendet wird. Es ist problemlos für einen Hacker möglich, eine bekannte Geräte-Id in eine kontrollierte Consorsbank-App hineinzufüttern. Das verteuert nur den Angriff.
Denn die heute verwendete Geräte-Id kann ja theoretisch auch von anderen Apps mit der selben Motivation ausgelesen werden. Etwa von anderen Banken-Apps.
Es wäre inkonsequent das zu aktzeptieren. Denn aktueller Stand ist, dass die Consorsbank sich sicherheitstechnisch von anderen Banken distanziert und drittbanken eben nicht traut. Denn ich habe auch nicht das Recht, einfach einen Sparkassen-PinTan-Generator sowohl für die Sparkasse, als auch für die Consorsbank gleichzeitig zu initialisieren. Etwa per Start-Code.
Im übrigen ist dieses PinTan-Gerät genormt, während ich glaube, dass das Consorsbank-Zeug proprietär ist. Und das ist eigentlich ein No-Go.
Wenn ihr schon unseren Passwörtern nicht traut, etwa weil man SSL-Zertifikaten nicht mehr trauen kann, dann brauchen wir eine Alternative zu HTTPS. Etwa per SSH-Tunnel via putty und dann muss man mit dem Browser immer eben auf Localhost zugreifen. Oder Client-Zertifikate zu verwenden wäre auch sinnvoll.
Die Vergangenheit hat leider gezeigt, dass jene Firmen, die ihre User zu den stärkten Sicherheitsmaßnahmen gängeln, oftmals selbst die größte Sicherheitsprobleme haben und die aufgenötigten Maßnahmen nur davon ablenken sollen, oder aber zumindest ein reines Werbeinstrument sein sollen um Sicherheit zu demonstrieren.
Denn um Sicherheit geht es längst nicht mehr.
Es geht nur noch um Aktionismus und Demonstration von Engagement: Schaut her, wir sind nicht untätig.
Aber wo sind die Screenshots der Systemadministratoren wo sie beweisen dass alle Software auf dem aktuellem Stand ist? Und die letzte ISO-Zertifizierung? Sicher, dafür sind die Wirtschaftsprüfer zuständig. Aber das sind keine Security-Aditoren.
Ich möchte anmerken, dass mein Text nicht gegen Consorsbank gerichtet ist, sondern gegen die Sicherheitspraxis bei allen Banken durchweg.
Ich bin mit der Consorsbank im Schnitt recht zufrieden!
Hab mich das gerade auch gefragt.
Diese Berechtigungen freizugeben ist leider zum Standard geworden.
Ich hab auch andere Bankkonten wo das für deren Secure App Bedingung ist
Das ist tatsächlich der Architektur von Android und dem Googlesytem zu verdanken.
Es gibt Beispiele anderer guter Apps, die nur für Bluetooth Nutzung ganze Standortfreigabe inkl. GPS Ortung wegen dieser nicht differenzierter Sicherheitswarnungen anfordern müssen.
Die Steuerung der Lampen oder anderer Smartgeräte zu Hause per Bluetooth.
Vor allem aber die Corona Warn App kam deshalb sehr in Verruf, obwohl sie ein perfekter Kompromiss zwischen Datenschutz und Meldung mit Kontakt von Infizierten ist.