ComputerBase Menü
Aktuelles

Ist Online-Banking auf Android-Smartphones sicher?

P

pacific99

Ensign
Registriert
März 2019
Beiträge
251
Moin,

ich nutze aktuell Bitdefender auf allen meinen Geräten (Windows-PC, Android-Smartphone, iPad).
Da hier im Forum immer wieder von externer Anti-Viren-Software auf dem PC abgeraten und der Windows-Defender empfohlen wird, wollte ich mich nun auch langsam vom Bitdefender trennen (Lizenz läuft halt noch bis November...).

Nun zur eigentlichen Frage: Wie verhält es sich mit der Sicherheit unter Android, insbesondere wenn man Online-Banking auf diesem betreibt? (Nein ich nutze nicht die Mobile TAN) Ich habe immer an vielen Stellen gelesen, das Android nicht besonders sicher sei und insbesondere, wenn man Online-Banking betreibt, eine entsprechende Schutz-Software zu empfehlen wäre. Android hat ja auch keine eigene Software wie Windows ihren Defender.

VG
 
Android ungleich Android ...

1. Verschiedene Versionen sind unterschiedlich angreifbar
2. Verschiedene Hersteller packen noch ihren eigenen Kram mit drauf.
3. die größte Unsicherheit geht vom Benutzer aus ... was installiert er ... auf welchen Seiten Surft er ...
 
Android ist wie dein Windows so sicher wie du es dir machst.

Nur Programme aus vertrauenswürdigen Quellen drauf laden und Kopf einschalten.
 
Bei Android ist es von Vorteil einen Smartphone mit aktuellen Sicherheitspatch zu verwenden.

Ein Antiviren Programm ist auf Android absolut sinnlos da du ohne Admin/Root Rechte die Software gar nicht tief genug im System einbinden kannst.
 
prinzipbedingt kann bitdefender & co. auf android und ios gar nicht wie auf einem klassischen windowssystem funktionieren. solange ein programm nicht mit rootrechten ausgeführt wird, kann es sich andere prozesse oder das interne dateisystem nicht anschauen. das geld und den aufwand kannst du dir sparen.

das wichtigste ist, ein gerät von einem anbieter zu haben, der regelmäßig und zeitnah die updates ausliefert.
 
android ist tendenziell eher sicherer als windows da dort einfach viel modernere berechtigungsysteme implementiert sind. eine app kann nicht wie unter windos einfach auf daten anderer anwendung zugreifen.

ich will damit NICHT sagen dass windows unsicher ist, aber wenn man einem programm zugriff gewährt beim installieren, dann hat es eben vollen zugriff. bei android oder ios ist das tendenziell besser gelöst. und trotzdem sollte man natürlich nur vernünftige apps installieren aus vertrauenswürdigen quellen.

aber... das große problem von android sind fehlendes oder viel zulangsame updates, das ist ein riesen problem und da ist windows klar besser. aber auch komische modifizerte betriebsysteme von einigen herstellern scheinen mir nicht optimal, ich meine damit jetzt nicht unbedingt samsung.

anti-viren software kann ich unter android nicht beurteilen, aber aufgrund des schon ganz guten konzepts zur trennung von apps würde ich nicht vermuten das sie gutes tun und eher die angriffsoberflächliche erhöhen. ich habe mich bei andoid mit AV aber nicht tiefgreifend beschäftigt, muss ich gestehen.
 
Das Problem sind einfach zusätzliche Apps die Sachen abgreifen. Unter anderem auch Zwischenspeicher (Copy paste).
Hier mal ein Beispiel was Whatsapp mindestens alles abgreift auf dem Handy.

61C855EB-C4F0-439F-9E8D-C8464F1CE98A.jpeg

Bei Android besteht einfach die Möglichkeit, nicht mehr den aktuellen Sicherheitsstandard zu haben da die allermeisten mit veralteter Androidversion laufen.
 
Ich frag mich immer wie ein Virenscanner unter IOS funktionieren soll. Jede App läuft dort in einer Sandbox und hat damit keinen Zugriff auf andere Apps, geschweige auf das Betriebssystem.

Das ist meiner Meinung nach völliger Unsinn, maximal bringt die App selbst Sicherheitslücken mit.
 
Ich nutze ein Android Smartphone mit Version 10 und Patch vom Dezember. Ich habe Apps aus unsicheren Quellen installiert (XDA) und keine Extra-Schutzsoftware. Wenn der Update Support endet, werde ich trotzdem weiterhin meine Finanzen mit diesem Smartphone regeln.

Bisher wurde ich noch nicht ausgeraubt. Drückt mir bitte die Daumen!
 
Wie soll es nicht sicher sein? Welche Daten sollten gefährdet sein? Der Zugang zum Onlinebanking ist ein Benutzername und ein Passwort. Die Verbindung ist, wie jede Verbindung einer App/eines Browser, verschlüsselt. Transaktionen müssen mit temporär gültigen Codes bestätigt werden. Selbst wichtige Daten der App selbst, liegen auf deinem Handy nur verschlüsselt vor. Ich habe Root-Zugriff und kann diese Dateien zwar lesen, aber nichts damit anfangen. Sie ließen sich nicht einmal auf ein weiteres Gerät übertragen, da sie einmalig für das eine spezielle Gerät erstellt werden.
Ja, es ist sicher.
 
öhm... da gibts einige angriffsvektoren. beliebt ist es, dass malware ein overlay über die bankingapp legt und die erste aktion abfängt. der user bekommt eine fehlermeldung, versucht es noch einmal und der zweite anlauf funktioniert dann damit es nicht weiter auffällt. nur blöd, dass der angreifer dann schon seine tan o.ä. hat. ausserdem sind im ram alle interessanten daten unverschlüsselt vorhanden.

wenn man weiss, was alles möglich ist (und wie software teilweise so entwickelt wird...) dann lässt man banking auf dem phone sowieso lieber sein :)
 
  • Gefällt mir
Reaktionen: Roesi
Das setzt aber voraus, dass ich mir irgendeinen Schrott installiere. Sowas kann ich mir mit Android nicht einfangen, indem ich auf falschen Websites surfe.
Ergänzung ()

0x8100 schrieb:
ausserdem sind im ram alle interessanten daten unverschlüsselt vorhanden
Zum Vergrößern anklicken....
Weil sie auch unverschlüsselt dort eingelesen werden. Also warum ist jetzt der RAM wichtig? Bei Zugriff auf das Gerät liegt mir alles unverschlüsselt vor, was in den RAM geladen werden könnte. Das interessiert mich doch.
 
pacific99 schrieb:
Nun zur eigentlichen Frage: Wie verhält es sich mit der Sicherheit unter Android, insbesondere wenn man Online-Banking auf diesem betreibt?
Zum Vergrößern anklicken....
Das hängt im Wesentlichen a) von Deinem Verhalten ab (welche Apps aus welchen Quellen Du sonst noch auf dem Smartphone installierst oder in der Vergangenheit mal installiert hattest), b), wie aktuell Dein Android dabei jeweils ist, und c), in welchen Netzen/Netzwerken (z.B. offene WLAN-Netze) Du damit online gehst.

Es hängt aber am wenigsten davon ab, welchen Virenscanner Du installiert hast.
 
  • Gefällt mir
Reaktionen: Roesi
Was man auch unterscheiden sollte. Laufen Banking App und Tan-Generator auf einem Gerät oder nicht?

Mit externem Tan-Generator sollte es nicht unsicherer sein als auf einem PC, außer man hat eine Android Version mit veraltetem Patchlevel (was leider eben die häufig ist....)

Malware kann man sich auf beiden Systemen installieren, unter Windows sogar tendenziell einfacher, da keine Sandbox für Programme besteht.

Diese all-in-one Lösungen (Tan-Generator + Banking oder sogar ganz ohne Tan-Generator) sind allerdings eine Frechheit und entsprechen meiner Meinung nach auch nicht den PSD2 Regeln, wo zwei Faktoren vorausgesetzt werden. Die Banken meinen, dass die auf dem Gerät gebundene Installation einen zweiten Faktor ersetzt. Meiner Meinung nach ist das genau genommen dann aber keine 2FA mehr, weil der zweite Faktor das benutzte System ist. Ist das System kompromittiert ist es der zweite Faktor auch. Der Witz der 2FA ist ja gerade, dass das nicht passieren kann durch getrennte Systeme.
 
Du kannst die TAN aber nicht immer Hintergrund empfangen und bestätigen. Die App muss von dir freigeschaltet werden mit einer aktiven Eingabe. Somit kann keine Schadsoftware ohne dein Wissen eigenständig Bankgeschäfte mithilfe der TAN bestätigen.
 
Es gibt auch Banking Apps wie die von der ING die völlig ohne Taneingabe auskommen, weil eben das Gerät als zweiter Faktor benutzt wird. Da wäre das nicht so.

Und es wurde auch gezeigt, dass die Tan wenn auf den gleichen Gerät empfangen wird abgefangen werden kann.
YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

In der Praxis wird das keine große Gefahr sein, sonst würde es viel mehr bekannte Fälle geben. Aber möglich ist es und nicht Sicherheit an erste Stelle zu setzen finde ich für Banking schon relativ merkwürdig.

Sollten die Banken für Missbrauch haften, dann hätte ich damit kein Problem. Aber ob das in allen Fällen so ist, kann ich nicht sagen und vor allem hätte man sicher viel Ärger. Es gibt Dinge da ist mir Sicherheit wichtiger als angenehm zu benutzen. Ich finde es nicht mal schlimm, wenn es jeder so machen könnte wie er möchte, aber man hat immer weniger die Möglichkeit die 'benutzerfreundlich aber unsicheren' Systeme zu meiden.
 
Die abgefangene TAN bringt mir als Angreifer aber nichts, weil sie nur für genau die aktuelle Transaktion generiert wurde. Ich kann die TANs nicht sammeln und für andere Transaktionen verwenden, die ich evtl. einleite. Also kann ich als Angreifer nur die vom Nutzer eh gewollte Transaktion bestätigen.
 
  • Gefällt mir
Reaktionen: Vektorfeld
Millionen Menschen nutzen Android für Onlinebanking, teilweise ohne geringste IT-Kenntnisse. An Overlay-Berechtigung kommt eine App nicht so einfach dran, das wird meines Wissens nach immer gesondert abgefragt. Sofern man nur Apps aus dem offiziellen Playstore installiert ist Android sicher genug. Für Laien ist es vielleicht sogar sicherer weil man alles über die offizielle App erledigen kann und folglich keine Gefahr besteht auf Phishing Seiten hereinzufallen.

Die Angriffsszenarien sind doch durch die 2 Faktor Authenzifizierung eh obsolet geworden, die Malware müsste ja die Überweisung Tätigen und die Authentifizierung auslösen sowie bestätigen (Pin oder Biometrisch), und nicht nur den vom User bestätigten Tan für eine andere Überweisung abfangen. Also praktisch zwei verschiedene Apps kontrollieren.

Ich würde eher auf Datenschutz achten, also keine PDF Dateien aus der Banking App exportieren und dann mit irgendwelchen Dubiosen PDF-Apps öffnen, oder dubiose Spiele installiert haben die Speicherzugriff haben.
 
  • Gefällt mir
Reaktionen: siggi%%44
siggi%%44 schrieb:
Also kann ich als Angreifer nur die vom Nutzer eh gewollte Transaktion bestätigen.
Zum Vergrößern anklicken....
Schau es dir nochmal an. Ja, es ist nur nur eine Transaktion betroffen aber du kannst die Überweisung manipulieren, was dort gezeigt wird.

Wenn deine Malware das automatisiert macht, wartet sie einfach und ändert deine Überweisung. Dass ist das Problem. Wenn du zwei getrennte Kanäle benutzt, geht das deutlich schwerer, da beide kompromitiert sein müssen. Also z.B. externer Tan-Generator (am besten) + App oder App (für Tan) und PC/oder anderes Devices.


ps: genau das wird hier auch gesag, der link springt zur entsprechenden frage mit antwort
YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.
Ergänzung ()

@Vektorfeld: Du hast recht, normal geht es nicht. Es geht aber immer um den Fall das dein Device kompromittiert wurde durch Sicherheitslücken. Was eben mit ausbleibenden oder stark verspäteten Updates leichter möglich ist.

Ich gebe dir auch recht, dass App Banking für viele unter dem Strich vielleicht sogar sicherer ist, weil z.b. Phishing schwerer ist. Trotzdem wäre es besser, wenn man Banking-Apps mit einem externen Tan-Generator benutzt und mit QR Tan auch sehr komfortabel (der alte Flickercode nervt tatsächlich. moderne Generatoren nutzen QR Codes das geht eben deutlich schneller....)
 
Zuletzt bearbeitet:
Ich starte die besagte App von ING und daddle alles für eine Überweisung ein. Der Auftrag wird erst in dem Moment freigegeben (und das ist vorher nicht möglich!), wenn ich ihn durch Eingabe einer fünfstelligen PIN bestätige. Bei einem schlechten Ping sind das ca. 80 Millisekunden. Da mir selber keine TAN angezeigt oder übermittelt wird..., was soll ich als Angreifer hier in diesem Fall abgreifen? Wie soll ich eine manipulierte Überweisung tätigen? Eine aktive Eingabe findet nicht im Hintergrund statt. Außerdem kann ich auch problemlos meinen Fingerabdruck verwenden und den kann eine Schadsoftware nicht im Rahmen einer Banktransaktion, deren Sitzung auch zeitlich begrenzt ist, mal eben so durch Codes überlisten.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

AvenDexx
Alternative für PicsArt (Android) auf Windows PC
Antworten
4
Aufrufe
632
AvenDexx
AvenDexx
C
HP ProDesk oder lieber was anderes bis 300€
Antworten
19
Aufrufe
1.531
CaptainLuftikus
C
J
unbekanntes Programm installiert sich plötzlich von alleine
2 3 4
Antworten
72
Aufrufe
7.049
DonSerious
DonSerious
B
Ist das wirklich die einfachste Möglichkeit die Audioausgabe meines Smartphones auf einen Echo Dot (Alexa) zu spiegeln.
Antworten
6
Aufrufe
1.526
Der Funkmeister
Der Funkmeister
Goldleader
Android Tablet für um die 300 Euro....
2
Antworten
20
Aufrufe
2.033
Goldleader
Goldleader

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz