Krankenkassenapps verweigern Nutzung auf gerooteten Handys

[densh]

Hallo,

ich bin seit einigen Wochen bei der BKK Euregio krankenversichert. Ich bekomme es leider nicht hin, die elektronische Patientenakte (ePA) bzw. die zugehörige App auf meinem Android Smartphone (OnePlus 7T Pro, Android 11) zu installieren. Mein Handy ist gerootet. Die App startet kurz und schließt sich automatisch von selbst wieder.

Ich habe schon versucht, dies mit Magisk Hide zu umgehen. Auch brachte es nichts, Magisk auf unsichtbar zu stellen.

Mir ist schon klar, dass es einen Sinn hat, weshalb Banking Apps bzw. Apps mit sensiblen Daten bei root ihren Dienst verweigern. Provisorisch habe ich auf einem alten iPhone SE die App installieren können und auch die Registrierung durchführen können.

Durch recherche im Internet bin ich auf diesen Link gestoßen: https://community.e.foundation/t/epa-elektronische-patientenakte/26575
Scheinbar sind viele Apps der Krankenkassen mit der gleichen App-ID "com.rise_world.epa" versehen. Außerdem soll wohl ein Check-Up beim start durchgeführt werden, weswegen der Dienst bei Android quitiert wird.

Hat jemand schonmal ein ähnliches Problem gehabt und konnte es mit seiner ePA App, trotz root, lösen?

 

[airwave]

Hi, hatte das gleiche Problem allerdings unter iOS mit Jailbreak und der App der TK (Techniker Krankenkasse).
Folgende Erkenntnisselassen sich vermutlich auf Android übertragen:

KEIN Tweak konnte die Sperre umgehen außer einem einzigen, der dafür gesorgt hatte, das die App nicht gleich abstürzt und man wenigstens zum Login kommt und dann gesagt bekommt: "Hey dein iPhone ist gejailbreaket".
Es werden wohl Kernel-Integritychecks gemacht.

Weitere Analyse mit SSL-Proxy (z.B. Charles) hat ergeben, dass die TK die UDID abzieht (Universal Device ID) und die sich das in Ihrer Datenbank speichern und mit einem Checkmark: "Diese UDID ist gerootet" markieren.

Nachdem ich mein iPhone komplett zurückgesetzt hatte inkl. kompletterer Bereinigung des Jailbreaks und einer neuen iOS Version: Selbes Bild, kein Login möglich obwohl kein Jailbreak mehr vorhanden.

Die Vollpfosten haben also programmiert, dass die UDID übertragen uns als gerootet markiert wird, aber danach nie wieder gecheckt wird.
Erst ein neues Handy hat Abhilfe gebracht.

Ich stehe dem sehr kritisch gegenüber die UDID des Gerätes abzufragen und dauerhaft als gerootet bei denen auf den Server zu Hinterlegen.

 

[yxcvb]

Leute, es geht um eure Gesundheitsdaten. Denkt doch erst einmal nach, bevor ihr so einen Unsinn macht.

 

[airwave]

Leute, es geht um eure Gesundheitsdaten. Denkt doch erst einmal nach, bevor ihr so einen Unsinn macht.

Kommt doch auf das eigene Netzwerk und das eigene Wissen an.

iOS jailbreake ich seit über 10 Jahren, teilweise noch als man seine eigenen Kernels patchen und IPSWs Builden musste.
Abgesehen davon: Unter iOS ist die Jailbreak Community inzwischen größtenteils open-source und liefert schneller Patches für Sicherheitslücken, als Apple es macht (kleiner Tweak mit 48kB z.B. war in 1 Minute installiert inkl Respring (Soft Restart). kam damals für den Emoji-Bug der das iPhone zum einfrieren und überhitzen brachte.
Jailbreakcommunity hatte nach nem halben Tag einen Tweak/Patch dafür, Apple erst nach Wochen inkl. mehrere 100derte MB Update.

 

[tollertyp]

Mir ist schon klar, dass es einen Sinn hat, weshalb Banking Apps bzw. Apps mit sensiblen Daten bei root ihren Dienst verweigern.

Ist dem so? Warum dann der Thread?

Ich stehe dem sehr kritisch gegenüber die UDID des Gerätes abzufragen und dauerhaft als gerootet bei denen auf den Server zu Hinterlegen.

Ich auch, vor allem weil es in Bezug auf Gebrauchtkauf dann durchaus "Risiken" für die Käufer bedeutet.

 

[densh]

Ist dem so? Warum dann der Thread?

Weil ich einfach mal fragen wollte, ob User hier schon die gleiche Problematik erlebt haben und ob sie ggf. eine Lösung finden konnten.

 

[|Moppel|]

Leute, es geht um eure Gesundheitsdaten. Denkt doch erst einmal nach, bevor ihr so einen Unsinn macht.

Ganz genau! Und deswegen möchten ich meine Daten auf meinem Google-freien Androiden haben.

Google wird "aus Gründen der Sicherheit" vorausgesetzt.
Dabei wurden die in der Vergangenheit wegen Verstößen gegen die DSGVO verurteilt.

Ist also ein vorgeschobenes Argument.

 

[Der Kabelbinder]

Was sagt denn Logcat?

 

[cruse]

Danke für den Hinweis.
Interessant ist, dass fast alle epa-apps nicht richtig laufen.
Die haben durch die Bank weg nur 2 Sterne und wenn man sich durch die Kommentare wühlt landet man überall bei einem total überzogenen Sicherheitskonzept, was zusammen mit Bugs die Apps unbrauchbar macht.
Auf "speziellen" Phones wie Fairphone oder eher seltenen Androids funzen die Apps zu 100% nicht.

Das Sahnehäubchen ist aber das Blacklisten von als gerootet erkannten Telefonen -> Hammer!