ComputerBase Menü
Aktuelles

Sicherheits-Overkill..? Auf «zu sicher» geschaltet?

cumulonimbus8

cumulonimbus8

Fleet Admiral
Registriert
Apr. 2012
Beiträge
18.403
Moin!

Ich habe 2 Samsung A71 von denen das 2. (damals) alles vom 1. übernommen hat. Dort beobachte ich solche Zustände nicht, aber ich habe auch keinen Anhalt irgendwelche Sicherheitseinstellungen dort, auf dem 2., geändert zu haben.

In Benutzung sind so weit auch nur 2 Apps die im (all)täglichen Umgang negativ auffallen. Die Mobiles-Bezahlen-App der Sparkasse und von der Kette tegut die tebonus-App. Funktionieren tun alle wie sie sollen, das Problem ist der Zugriff.

Und um das herauszustellen: ich rede nicht davon eine beendete (geschlossene) App neu aufzurufen. In dem Falle verstehe ich eine Abfrage zur Sicherheit.
(Nein, ich verstehe sie eigentlich nicht: wenn das SP entsperrt ist, nach Biometrie oder PIN!, dann sind für mich alle Dämme gebrochen und noch eine Extrastufe Sicherheit brauche ist nicht. Nur wenn das SP keine Einschaltsicherheit hat - dann mögen sich Apps selbst schützen…)

Also öffne ich die Sparkassen-App. Fingerabdruck. Ich wechsle zur Supermarkt-Karte - Fingerabdruck (um allein einen Barcode zum Vorzeigen zu öffnen mit dem ansonsten nichts, gar nichts, passieren kann). Ich scanne den Barcode an der Kasse, will dann per NFC bezahlten, Die Sparkassen-App springt an und will eine Fingerbadruck! Bekommt sie den wird bezahlt.
Das alles geht noch besser wenn ich beide Apps in Startstellung bringe und zum Einkaufszettel (simples Google-Doc) wechsle. An der Kasse - Supermarktkarte freischalten. Und beim Bezahlen? Erraten. Da kann ich sogar extra hinwechseln - Fingerabdruck. Und offen um damit zu bezahlen - nach Tagesform Fingerabdruck.

Das passiert nicht 100% immer - aber zu oft. Apps wurden reinstalliert, und natürlich wären diese absolut Fehlerfrei, wie man mir versicherte.

Frage: Kann ich eine Sicherheitseinstellung, einen Level, was weiß ich, erwischt haben die solche subtilen Auswirkungen hat?

In der Tat brachte mich eine Hotline auf diesen Ansatz da das selbe Problem 2 Apps betrifft (von 2).

CN8
 
cumulonimbus8 schrieb:
(Nein, ich verstehe sie eigentlich nicht: wenn das SP entsperrt ist, nach Biometrie oder PIN!,
Zum Vergrößern anklicken....
Die App / die App Programmierer wissen ja nicht das du sowas überhaupt nutzt... Könnte ja sein das dein Gerät ohne Pin läuft.

Ich denke du wirst da nicht herumkommen eine andere App zum bezahlen zu nutzen, die meisten Apps der deutschen Banken die ich so benutzen durfte sind ziemlich der letzte Rotz. Da muss man wohl einen US Amerikanischen Dienst nutzen....
 
ISt etwas wirr geschrieben was dich jetzt genau stört, aber die Fingerabdrücke werden von den Apps abgefragt, je nach dauer der inaktivität wird da wohl ein neuer authentifizierungs prozess mit fingerprint angestoßen
 
  • Gefällt mir
Reaktionen: TomH22 und Syagrius
honky-tonk schrieb:
je nach dauer der inaktivität
Zum Vergrößern anklicken....
…und eben die existiert nicht.
Die Wechsel sind live, unmittelbar, innerhalb von Sekunden. Nichts wird ausgeschaltet, durch mich oder die Stromsparautomatik.

SpamBot schrieb:
Ich denke du wirst da nicht herumkommen eine andere App zum bezahlen zu nutzen
Zum Vergrößern anklicken....
Das kanns irgendwie nicht sein. Es geht ja (Betonung!) nicht ums Bezahlen sondern das Bedienfähigmachen einer App. Die Apps an sich funktionieren einwandfrei.
(Und aus gewissen Erwägungen heraus wäre so ein Wechsel auch gar nicht machbar.)

••
SpamBot schrieb:
Die App / die App Programmierer wissen ja nicht das du sowas überhaupt nutzt...
Zum Vergrößern anklicken....
Ich bin im primitiven Glauben, dass eine App so was beim Betriebssystem erfragen könnte. Offenbar erlaubt es Android nicht?

CN8
 
cumulonimbus8 schrieb:
ch bin im primitiven Glauben, dass eine App so was beim Betriebssystem erfragen könnte. Offenbar erlaubt es Android nicht?
Zum Vergrößern anklicken....
doch, der fingerprint kommt vom OS wenn du's ganz genau wissen willst welche möglichkeiten es für die apps gibt: https://developer.android.com/training/sign-in/biometric-auth
Um zu reverse engineeren welche varianten in den apps genutzt werden und warum eine erneute auth. erfolgt kann ich jadx empfehlen.
 
Um mich dumm zu stellen…
Keine Routine sollte etwas vom System aufrufen das dann einfach mal den Fingerabdruck fordert - diese Routine sollte erkennen, dass im System diese Funktion aktiv ist und sich dann zurückhalten (»weil die Tür ja schon offen ist«).

CN8
 
Nein, das sollte nicht so sein, da dann ja ein entsperrtes Smartphone von jedem zum Bezahlen benutzt werden kann.

Ich erkenne das Problem auch noch nicht. Wenn Du bezahlen willst, öffnest Du die Bezahl-App und musst Dich authentifizieren, ist doch völlig in Ordnung. Warum wechselst Du dann erst noch mal woanders hin? Für den Vorgang direkt aus und fertig ist die Laube.
 
  • Gefällt mir
Reaktionen: TomH22, honky-tonk und aragorn92
Sorry, Arbeit am Hoizont.

Wie gesagt, 2 Geräte. Am anderen bezahle ich unmittelbar und ungeprüft mit der Wallet und einer hinterlegten Kreditkarte.

Nochmals: eine offene App, eine einsatzbereit App, wird nicht geschlossen sondern es wird einfach zu einer anderen App gewechselt. Und dann zurück.
Mir wäre völlig neu, und ich meine es auch vor geraumer Zeit nie so erlebt zu haben, dass eine offene App beim Zurückwechseln sich wie bei einem Neuaufruf verhält. (Da mag ich gerne zur Authentifikation genötigt werden.)
Gesteigert wird das, dass ich die App freigebe (Biometrie), offen lassen, nichts weiter tue, bezahlen will (›Vorhalten für NFC‹) und die offene App nochmal einen Fingerabdruck anfordert!

Da das zwei Apps (von aktuell 2 bei denen das erwartbar wäre) betrifft die sich verriegeln - per Timeout, alles klar, lästig aber von mir aus - muss das Problem beim System liegen. Ein Timeout von Minuten, Stunden - OK. Aber von Sekunden ist schlicht nur absurd.

Wenn ich was verstellt haben könnte - was? (Drehe ich an der Sicherheit mache ich das bei beiden SPs.)

CN8
 
Also wenn dann müsste so eine Einstellung innerhalb der App zu finden sein und nicht beim Betriebssystem. Kann bei meiner Banking-App auch einstellen nach welchen Zeitraum die wieder einen Fingerabdruck will nach dem Schließen.
 
stage schrieb:
Also wenn dann müsste so eine Einstellung innerhalb der App zu finden sein
Zum Vergrößern anklicken....
Ich wiederhole mich: die Apps sind korrekt eingestellt (und selbstverständlich fehlerfrei) - gemäß deren Hotlines. Solche Einstellungen gibt es nicht und ich hätte sie auf den Mond geschossen gäbe sie es..!

CN8
 
cumulonimbus8 schrieb:
Frage: Kann ich eine Sicherheitseinstellung, einen Level, was weiß ich, erwischt haben die solche subtilen Auswirkungen hat?
Zum Vergrößern anklicken....
Nein, es liegt an der App. Ich bin auch Kunde bei der Sparkasse und während Corona hatte ich mir die App installiert. Plötzlich kam ein Update der App und als Folge blieb sie als Hintergrunddienst permanent aktiv, wenn einmal geöffnet oder nach Neustart des Phones. Hätte sie dort nicht permanent 300MB des RAMs belegt, hätte ich sie vermutlich auch behalten. Jedenfalls konnte man damals die App als Standardzahlungsmittel per NFC festlegen und es reichte aus, wenn das Display entsperrt war und man konnte zahlen.

Das hat sich aktuell - aus Sicherheitsgründen - geändert, wie ich gerade festgestellt habe, als ich sie installiert habe. In den FAQ (Einstellungen > Services meiner Sparkasse > FAQ) steht sinngemäß weiter unten bei Punkt 21, dass durch die zusätzliche Abfrage der Entsperrmethode eine irrtümliche Zahlung im Vorbeigehen ausgeschlossen werden soll. Klingt nachvollziehbar. Vermutlich kam es in jüngster Vergangenheit zu solchen Problemen. Ist aber nur eine Vermutung meinerseits.
Wie auch immer, es lässt sich offensichtlich nicht ändern.
SpamBot schrieb:
Die App / die App Programmierer wissen ja nicht das du sowas überhaupt nutzt... Könnte ja sein das dein Gerät ohne Pin läuft.
Zum Vergrößern anklicken....
Die App verlangt eine eingerichtete Displaysperre durch PIN/Passwort/Muster (Grundlage für die Nutzung des Fingerabdrucks bei Android), sonst kann sie nicht benutzt werden.
 
  • Gefällt mir
Reaktionen: abcddcba
Für Letzteres wäre die Frage was sich tut wenn ich dies »hinterrücks« abschaltete.

Die Erklärung ist schlüssig. Aber es ist schon so gut wie peinlich wenn eine Hotline bzw. rückrufende IT diese Feinheit nicht kennt und mir unter die Nase reibt.
Jedenfalls sollte dann immer bei Switchen zu der App das kommen, und die Entsperrung unmittelbar beim Bezahlen müsste sich erklären.
Da warte ich mal auf antworten. Wallet ist ja nicht so pingelig, da könnte jemand mit einem Leser Arger machen. Außer… Es vibriert und bimmelt. Und das bekommt man mit..!

CN8
 
Und wo ist nun das wirkliche Problem? Es kommt zum Bezahlvorgang, ich öffne die App oder rufe sie auf und legitimiere mich, ans Lesegerät halten, fertig.
 
cumulonimbus8 schrieb:
Für Letzteres wäre die Frage was sich tut wenn ich dies »hinterrücks« abschaltete.
Zum Vergrößern anklicken....
Bei der nächsten Abfrage oder ggf. auch sofort, wäre deine hinterlegte Karte ausgegraut. Stand so auch irgendwo in den FAQs. Hab die App eben wieder deinstalliert.
Ergänzung ()

Incanus schrieb:
Und wo ist nun das wirkliche Problem? Es kommt zum Bezahlvorgang, ich öffne die App oder rufe sie auf und legitimiere mich, ans Lesegerät halten, fertig.
Zum Vergrößern anklicken....
Genau das ist das Problem (oder eher der Grund der Frage, denn das ist eigentlich ein Sicherheitsfeature). Vorher musste die App - wenn als Standard zur Zahlung per NFC festgelegt - weder gestartet noch der Bezahlvorgang bestätigt werden. Das bloße Entsperren deines Displays war die Legitimierung, dass die App eine Zahlung ausgeführt hat, sobald das Handy vor ein Kassenterminal gehalten wurde.
 
Zuletzt bearbeitet:
Incanus schrieb:
Und wo ist nun das wirkliche Problem? Es kommt zum Bezahlvorgang, ich öffne die App oder rufe sie auf und legitimiere mich, ans Lesegerät halten, fertig.
Zum Vergrößern anklicken....
Du liest nicht die Frage, stimmt’s?
Die App macht sich ungebrauchbar - und das könnte an einer verunglückten Systemeinstellung liegen. Offenbar aber doch an der App und einem Upgrade. Da 2 Apps betroffen sind warte ich auf Antworten der Hotlines,

siggi%%44 schrieb:
Bei der nächsten Abfrage oder ggf. auch sofort, wäre deine hinterlegte Karte ausgegraut.
Zum Vergrößern anklicken....
…ich wollt’s nur nicht ausprobieren 😇 Jedenfalls hast du mehr weit unten gelesen als ich lesen wollte und dort finden möchte. Funktionshindernisse gehören nach ganz oben.

CN8
 
  • Gefällt mir
Reaktionen: siggi%%44
Allgemein kann ich als Kunde der Sparkasse nur nur folgendes vermuten:
Die vorherige Variante klingt natürlich ziemlich nachlässig für ein Kreditinstitut. Sie wollten offensichtlich die Zahlungsart per App so gut es geht die der Sparkassen Card angleichen. Also anstatt die Karte aus der Brieftasche zu zücken, hält man einfach sein Smartphone vors Terminal, wobei das entsperrte Display schon mehr Legitimierung bietet als bei der Karte, die ja prinzipiell überhaupt keine hat. Soweit die Idee der sog. "digitale Sparkasen Card", wie es immer so schön heißt.

Aber was die genialen Programmierer wohl nicht bedacht haben: Ich laufe nicht ständig mit der Karte in der Hand durch die Gegend und tendenziell ist sie eher allem abgewandt in einer meiner Taschen. Das Phone halte ich aber tendenziell in der Hand und auch auf der Höhe, in der üblicherweise die Kassenterminals angebracht sind. Das Potenzial, hier eine ungewollte Zahlung auszuführen, ist natürlich weitaus größer und so sicherlich auch geschehen. Vielleicht gab es auch Ärger mit der Versicherung oder einen neuen Chef... Man weiß es nicht. Aber lieber ein Mal mehr den Fingerabdruck, als ein Mal weniger Geld auf dem Konto.
Ergänzung ()

@cumulonimbus8 Bevor ich die App deinstalliert habe,hatte ich einen Blick auf die Belegung des RAMs geworfen: 490MB!! Zum Vergleich: Ich habe ein 3D-Wallpaper, das sich den Neigungen des Phones entsprechend bewegt, in HD-Auflösung und einem Verbrauch von 150MB RAM. Ich habe keine Ahnung warum und wofür die App solche Mengen an Ressourcen braucht, aber das ist echt schon happig! Wollte dich nur darauf hinweisen, weil die Sparkassen Card ihren Dienst ebenso gut erfüllt und die App nicht unersetzbar ist.
 
Zuletzt bearbeitet:
Ich sollte wirklich mal das RAM sichten, rein aus Neugier.

Deine Information hat aber eine interessante «Spitze». Die Karte steckt in einem alubeschichtetem Plastikteil, da passiert erst mal nix.
Das SP aber, hielte ich es quasi vor der Nase in der Hand, damit kann ich reichlich viel anstellen. Aber, da es um eine Kasse (Supermarkt an vorderster Front) geht, es kann kein Fremder rumwedeln und unerwartet abgreifen. Und die Kasse ist erst scharf wenn bezahlt werden soll, kann also auch nix passieren.
Im Grunde hast du die Argumente der Sparkasse mit einem Torpedo mittschiffs versenkt. 😉

Und nun warten wir mal was die Hotlines ausspucken. Mit dem was ich hier erfahren haben kann ich gezielt nachhaken. Mein Dank dafür.
 
  • Gefällt mir
Reaktionen: siggi%%44
cumulonimbus8 schrieb:
Ich sollte wirklich mal das RAM sichten, rein aus Neugier
Zum Vergrößern anklicken....
Würde mich auch interessieren. Mag sein, dass die App frisch nach der Installation noch sehr aktiv war. Aber aus meiner Erfahrung ist sie im Ruhezustand trotzdem noch bei 250-300MB. Übrigens habe ich nur 3GB insgesamt zur Verfügung bei meinem täglichen Begleiter, was die ganze Sache etwas verschärft. Wenn knapp 0,5GB von durchschnittlich 1,6GB freien RAM belegt werden, ist das schon ordentlich für einen Hintergrunddienst. Das schaffen sogar die Play Dienste nicht.
 
Incanus schrieb:
Sie funktioniert doch einwandfrei oder kannst Du damit nicht bezahlen?
Zum Vergrößern anklicken....
Die Hauptfunktion der App steht gar nicht zur Debatte. Als Vergleich: Die Onlinebanking App der SK kann 5 Min. im Hintergrund bleiben und verlangt keine Authentifizierung, wenn sie wieder in den Vordergrund geholt wird. Der TE aber steht an der Kasse, bereitet seine Zahlung vor, indem App gestartet und authentifiziert wird. Andere App kommt vor Zahlung zum Einsatz und App der SK geht kurz in den Hintergrund. Wird sie zum Zahlen Sekunden später in den Vordergrund geholt, will sie erneut eine Authentifizierung. Kann schon nervig sein oder eben nicht. Für ihn ist es nervig. Aber er wollte auch nur den Grund wissen und nicht darüber diskutieren, wie nervig das sein kann.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

M
2 Verschiedene E-Mail APPS auf Tablet möglich?
Antworten
5
Aufrufe
610
Michele Halagar
M
Z
Synology Photos App auf Fire HD 10
Antworten
2
Aufrufe
1.151
BlubbsDE
BlubbsDE
M
  • Umfrage
Habe ich einen Virus trotz Rücksetzen auf Werkseinstellung?
2
Antworten
21
Aufrufe
2.058
iSight2TheBlind
I
Brati23
Probleme mit hotmail.de /exchange / EM-Client / Fairmail
Antworten
10
Aufrufe
797
Brati23
Brati23
S
  • Artikel
Leserartikel GrapheneOS auf dem Google Pixel 8 Pro
2
Antworten
33
Aufrufe
9.370
homer0815
homer0815

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz