ComputerBase Menü
Aktuelles

Ist Online-Banking auf Android-Smartphones sicher?

Ganz freudlich gemeint, es bringt nichts das so zu diskutieren wie du möchtest, du wirst so keine Sicherheit beweisen können. Mehr als die konkreten aussagen von Sicherheitsforschern (der hat deinen Doktor darüber geschrieben soweit ich weiß) kann ich dir nicht bieten.

Wenn der Angreifer root hat könnte er z.B. einfach die Netzwerkverbindung an die blockieren ING und spielt dir was vor... Mit root ist theoretisch alles denkbar, praktisch muss man natürlich Wege finden was nicht immer so einfach ist. aber keiner Weiß was da existiert und nächste Woche entdeckt wird.

In der Praxis wirst du damit höchstwahrscheinlich keine Probleme haben, aber es bleibt eben ein gewisser Unsicherheitsfaktor konzeptionell. Das muss jeder für sich abwägen wie viel Sicherheit er wo benötigt. Ich nutze daher z.B. zwei Konten. Auf dem einen sind meine Tagesausgaben und alles onlinemässige, auf dem anderen mein Notgroschen und Gehalt.

Ich würde mir nur wünschen, das man überall die Wahl hätte. Die Banken die auf all-in-one Apps bieten, tuen das eben nicht mehr. Ich würde z.B. bei meinem Hauptkonto gerne nur lesenden Zugriff haben. Bei einer all-in-one App habe ich immer beides. Das kritisiere ich.
 
prev schrieb:
Wenn der Angreifer root hat
Zum Vergrößern anklicken....
Wie soll er denn Root bekommen? Es gibt bei einer originalen FW weder einen user root noch eine Option, den User mithilfe von su zu wechseln. Die Binary su ist nicht vorhanden.
Ergänzung ()

prev schrieb:
Ganz freudlich gemeint, es bringt nichts das so zu diskutieren wie du möchtest,
Zum Vergrößern anklicken....
Gut, dann diskutieren wir das jetzt so wie du willst.

Der Vortrag aus deinem Link ist von 2015. Also zu der Zeit, als Android 6.0 veröffentlicht wurde. Daher wird sich der Vortrag auf A5 oder A4.4 beziehen.

Da hat sich ein bisschen was geändert seitdem. Du kannst keinen Root-Zugriff nur durch Installation einer App (One-Click-Root) erlangen. Es geht nicht! Du kannst dich generell nicht mithilfe einer Schadsoftware nach belieben auf dem Gerät austoben. Du als User hast ja schon so gut wie keine Rechte und das lässt sich nicht ändern. Du hast keinerlei Zugriff auf Appdaten, Logs oder Systemfunktionen.

Über ein Netzwerk die Daten ausspähen macht auch keinen Sinn, weil alle Transaktionen und deren Bestätigungen in Echtzeit ablaufen. Die deutschen Bundesbehörden können nicht einmal deinen Whatsapp-Chat lesen noch drin Handy entschlüsseln, ohne deine PIN.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: prev
Es geht um das ausnutzen von Exploits um root zu bekommen. Gibt es immer wieder wie hier zu sehen https://googleprojectzero.blogspot.com/2021/01/in-wild-series-android-exploits.html, wenn das über Jahre nicht gepatcht wird (wie bei Android oft zu sehen), kann kann ausgenutzt werden. Aber es gibt natürlich auch immer 0 -day Exploits die mal ausgenutzt werden können. So funktionieren ja viele Trojaner, dass sie auf bekannte Sicherheitslücken abziehen und einfach in der Breite probiert wird.

Die Bundesbehörden können das (vermutlich) nicht für daten at rest, aber per Trojaner etc. wäre das schon denkbar. Siehe Hack von Jeff Bezos (allerdings war das ein iPhone, aber das Prinzip ist das Gleiche) https://www.heise.de/newsticker/mel...von-saudischem-Kronprinz-gehackt-4643230.html

Was ich meinte, mit "man kann das nicht so diskutieren" war absolut nicht als Angriff gemeint. Es meine damit, dass man nicht darlegen kann, dass etwas sicher ist, wenn es auch nur einen theoretischen Weg gibt, warum etwas nicht sicher sein könnte, da so eben eine eine Möglichkeit besteht.

Ob das dann tatsächlich ausgenutzt werden könnte, bzw. wie hoch das Risiko ist, ist eine andere Diskussion.
Da kann man sagen, ja konzeptionell gibt es eine Schwäche, aber es ist vermutlich so unwahrscheinlich, dass man das Risiko gut tragen kann. An den Punkt kann man dann gerne unterschiedlicher Meinung sein. :stock::daumen:

Ich finde es eben immer schön, wenn man Konzepte hat die von sich aus besser sind. Bei 2fa geht man ja in der Risikobewertung davon aus, dass ein Device kompromittiert ist und es das System trotzdem sicher bleiben soll. Das hast du bei zwei getrennten Geräten auch, weil nicht beide Wege manipulierbar sind, außer es sind beide Devices kompromittiert (was mit externen offline Generator dann wirklich schon sehr sehr schwer ist).

Wenn sich jemand Tan-Generator und Banking App auf einem Gerät installieren möchte, dann soll er es tun wenn das (geringe) Risiko für ihn vertretbar ist. Völlig legitim.

In der Praxis wird auch eine all-in-one App sicher genug sein. Ich würde nur gerne die Möglichkeit haben immer zwei echte Wege zu nutzen, weil ich selbst das Risiko soweit es geht reduzieren möchte und kein Problem mit einem externen Tan-Generator habe. Daher nervt es mich, das der Trend zu all-in-one Apps geht beim Banking.

PS: Um das mit 2fa nochmal greifbarer zu machen.

Hinweg:
Wenn ich auf Device A etwas eingebe, dann erzeugt der Bank-Server für mich ein Hash der Transaktion. Diesen Hash kann ich mit meinem privaten Schlüssel (Tan-Generator) entschlüsseln und sehe die Daten der Transaktion (Update: Kleine Verbesserung, ich bin mir nicht 100% sicher, ob die Transaktion selbst tatsächlich Verschlüsselt oder im Klartext übertragen wird - gemeint sind die Daten, die Kommunikation sollte immer SSL verschlüsselt sein. Wenn man die Daten im Tan-Generator manuell prüft, macht das aber keinen großen Unterschied, siehe nächster Satz...). Sollte manipuliert worden sein, sehe ich es hier, da ich die Daten prüfen kann.

Genauso auf dem Rückweg:
Jetzt erzeuge ich auf auf Basis dieser Daten wiederum einen Hash den ich zurück schicke (die Tan). Sollte dieser manipuliert werden, ist die Tan falsch, da nicht passend zu den eingegebenen Daten.

Wenn ich beides auf einem kompromittierten Gerät mache, kann ich als Benutzer an verschiedenen stellen getäuscht werden. z.B. das mir einfach meine ursprünglichen Daten korrekt angezeigt werden, die Transaktion im Hintergrund aber mit anderen Daten arbeitet. Wenn ich die Tan extern erzeuge, geht das nicht, da kein Zugriff auf das externe Gerät besteht (ok, rein theoretisch könnte natürlich ein Exploit auch über das Einlesen des Hash auf den TAN-Generator übertragen werden... aber das ist dann schon sehr sehr theoretisch und über einen Flicker-Code/QR Code auch nicht soo leicht zu machen weil die Datenmenge sehr gering ist).
 
Zuletzt bearbeitet: (Verbesserung im 2fa beispiel, kleine Ungenauigkeit von mir...)
  • Gefällt mir
Reaktionen: Roesi
An der Stelle nochmal vielen Dank von mir für die vielen Antworten. Hatte gestern leider viel zu tun und konnte erst jetzt reinschauen.
Ich bin auf jeden Fall beruhigt und wieder ein ganzes Stück schlauer. Ich stecke halt in diesem ganzen Sicherheitsding überhaupt nicht drin und habe null Ahnung, wer wen wann wie irgendwie hacken oder auf irgendwas zugreifen kann, aber scheinbar scheint das ja doch nicht ganz so einfach zu sein.
brain.exe führe ich selbstverständlich während ich im Internet unterwegs bin/Apps runterlade etc. immer aus.

Das mit der TAN habe ich im Eingangspost gesagt: Mobil-TAN nutze ich nicht. Ich nutze einen externen TAN-Generator
 
pacific99 schrieb:
Ich nutze einen externen TAN-Generator
Zum Vergrößern anklicken....
100% Sicherheit gibt es nicht, aber damit bietest du schon eine sehr geringe Angriffsfläche.

Die Sicherheit ist dadurch bedeutend höher, als mit deinen nutzlosen Bitdefender auf dem iPad.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Roesi
Helge01 schrieb:
Die Sicherheit ist dadurch bedeutend höher, als mit deinen nutzlosen Bitdefender auf dem iPad.
Zum Vergrößern anklicken....
Ja, dass der Bitdefender auf dem iPad nix bringt, das war mir tatsächlich schon klar. Den hab ich eigentlich nur installiert, weil er halt mit dabei war :D
 
  • Gefällt mir
Reaktionen: Helge01
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

AvenDexx
Alternative für PicsArt (Android) auf Windows PC
Antworten
4
Aufrufe
611
AvenDexx
AvenDexx
C
HP ProDesk oder lieber was anderes bis 300€
Antworten
19
Aufrufe
1.503
CaptainLuftikus
C
J
unbekanntes Programm installiert sich plötzlich von alleine
2 3 4
Antworten
72
Aufrufe
6.928
DonSerious
DonSerious
B
Ist das wirklich die einfachste Möglichkeit die Audioausgabe meines Smartphones auf einen Echo Dot (Alexa) zu spiegeln.
Antworten
6
Aufrufe
1.507
Der Funkmeister
Der Funkmeister
Goldleader
Android Tablet für um die 300 Euro....
2
Antworten
20
Aufrufe
2.007
Goldleader
Goldleader

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz