Community

Antworten
Highlighted
TobiM
Aufsteiger
  • Community Junior
  • Community Junior
  • Community Beobachter
  • Community Junior
Beiträge: 2
Registriert: 20.09.2016
Nachricht 1 von 6 (1.680 Ansichten)

Berechtigungen für secure plus app: Warum Telefonanrufe tätigen und Bilder Aufnehmen?

Kann mir jemand kurz einmal erklären, warum die Berechtigungen für secure plus app

zwingend Telefonanrufe tätigen und Bilder/Videos aufnehmen verlangt?

 

 

Antworten
0 Likes
Highlighted
Zocki
Enthusiast
Beiträge: 192
Registriert: 24.02.2016
Nachricht 2 von 6 (1.667 Ansichten)

Betreff: Berechtigungen für secure plus app: Warum Telefonanrufe tätigen und Bilder Aufnehmen?

Lt. Infos zur App braucht sie die Telefonfunktionen zur Identifikation und Gerätebindung, was dadurch angeblich ein Sicherheitsfeature der App ist. Die Kamaraberechtigung wird für das Abfotografieren von QR-Codes benötigt und die Speicherberechtigung zum Ablegen von Konfigurationsdaten. So hab ich es im App-Store gefunden.

Highlighted
Pooky
Regelmäßiger Autor
  • Community Junior
  • Community Junior
  • Community Junior
  • Beitragsunterstützer
  • Community Beobachter
Beiträge: 31
Registriert: 16.11.2016
Nachricht 3 von 6 (1.663 Ansichten)

Betreff: Berechtigungen für secure plus app: Warum Telefonanrufe tätigen und Bilder Aufnehmen?

[ Bearbeitet ]

Der Zugriff auf die Kamera ist erforderlich, um die QR-Codes erfassen zu können, damit TAN erzeugt werden. Der Zugriff auf die Telefonfunktion ist auch nötig, um den Kundenservice direkt aus der App heraus anrufen zu können.

Antworten
0 Likes
Highlighted
Fred_Astaire
Aufsteiger
Beiträge: 1
Registriert: 17.09.2019
Nachricht 4 von 6 (1.529 Ansichten)

Betreff: Berechtigungen für secure plus app: Warum Telefonanrufe tätigen und Bilder Aufnehmen?

Die neue Secure App zwingt zur Freigabe des Telefons. Ich möchte aber einer Bank nicht mein gesamtes Telefon-Leben zur unbeschränkten Datenverfügung anvertrauen, die Bank stellt mir ihre Telefonkontakte auch nicht zur Verfügung. Genau dafür vergibt Android nun mal Rechte. Ist ein Grund für mich, meine Konten aufzulösen. Gibts da einen Update?

Highlighted
immermalanders
Autorität
Beiträge: 3532
Registriert: 06.02.2015
Nachricht 5 von 6 (1.520 Ansichten)

Betreff: Berechtigungen für secure plus app: Warum Telefonanrufe tätigen und Bilder Aufnehmen?

@Fred_Astaire 

[...] Die neue Secure App zwingt zur Freigabe des Telefons. [...] Genau dafür vergibt Android nun mal Rechte. [...]

Exact, aber unter Android bekommst Du die Identifikations-Merkmale zur Geräte-Bindung nur, wenn das Recht "READ_PHONE_STATE" vergeben wird. Mit diesem Recht gibt man die von Dir genannten Daten frei, eine andere Wahl hat man nicht. Ohne dieses Recht bekommt man wohl auch eine System-ID, diese ist aber nicht an das Gerät gebunden. Unter Android gibt es die Rechte nur gebündelt und nicht einzeln.

Antworten
0 Likes
Highlighted
TaMarkus
Aufsteiger
  • Community Junior
Beiträge: 4
Registriert: 22.10.2018
Nachricht 6 von 6 (421 Ansichten)

Betreff: Berechtigungen für secure plus app: Warum Telefonanrufe tätigen und Bilder Aufnehmen?

[ Bearbeitet ]

Sorry dass ich diesen alten Thread wieder hoch hole. Nein, die Bank hat nicht das Recht die Geräte-Id meines Smartphones auszulesen. Das dient auch keineswegs der Sicherheit.

 

Im Gegenteil. Es wäre viel sicherer, wenn die Bank-App einfach einmalig eine Identifikationsnummer als eine Art Lifetime-Session-Id erzeugt, die dann immer verwendet wird. Es ist problemlos für einen Hacker möglich, eine bekannte Geräte-Id in eine kontrollierte Consorsbank-App hineinzufüttern. Das verteuert nur den Angriff.

 

Denn die heute verwendete Geräte-Id kann ja theoretisch auch von anderen Apps mit der selben Motivation ausgelesen werden. Etwa von anderen Banken-Apps.

 

Es wäre inkonsequent das zu aktzeptieren. Denn aktueller Stand ist, dass die Consorsbank sich sicherheitstechnisch von anderen Banken distanziert und drittbanken eben nicht traut. Denn ich habe auch nicht das Recht, einfach einen Sparkassen-PinTan-Generator sowohl für die Sparkasse, als auch für die Consorsbank gleichzeitig zu initialisieren. Etwa per Start-Code.

 

Im übrigen ist dieses PinTan-Gerät genormt, während ich glaube, dass das Consorsbank-Zeug proprietär ist. Und das ist eigentlich ein No-Go.

 

Wenn ihr schon unseren Passwörtern nicht traut, etwa weil man SSL-Zertifikaten nicht mehr trauen kann, dann brauchen wir eine Alternative zu HTTPS. Etwa per SSH-Tunnel via putty und dann muss man mit dem Browser immer eben auf Localhost zugreifen. Oder Client-Zertifikate zu verwenden wäre auch sinnvoll.

 

Die Vergangenheit hat leider gezeigt, dass jene Firmen, die ihre User zu den stärkten Sicherheitsmaßnahmen gängeln, oftmals selbst die größte Sicherheitsprobleme haben und die aufgenötigten Maßnahmen nur davon ablenken sollen, oder aber zumindest ein reines Werbeinstrument sein sollen um Sicherheit zu demonstrieren.

 

Denn um Sicherheit geht es längst nicht mehr.

 

Es geht nur noch um Aktionismus und Demonstration von Engagement: Schaut her, wir sind nicht untätig.

 

Aber wo sind die Screenshots der Systemadministratoren wo sie beweisen dass alle Software auf dem aktuellem Stand ist? Und die letzte ISO-Zertifizierung? Sicher, dafür sind die Wirtschaftsprüfer zuständig. Aber das sind keine Security-Aditoren.

 

Ich möchte anmerken, dass mein Text nicht gegen Consorsbank gerichtet ist, sondern gegen die Sicherheitspraxis bei allen Banken durchweg.

 

Ich bin mit der Consorsbank im Schnitt recht zufrieden!

 

Antworten
0 Likes