Moin,
Am Donnerstag 22 Februar 2024 19:35:55 schrieb Florian Snow:
Das zweite große Problem ist, wie Banken die Secrets an die Hardware binden: vollständig in Software. Dies macht es erforderlich, dass die Banking-Apps auf gerootete Telefone usw. prüfen, denn wenn ein Telefon gerootet ist, könnte das Secret theoretisch extrahiert werden.
wie in weiteren Situation auch. Ein Defekt einer hoch priveligierten Komponente zum Beispiel oder falsch vergebene Rechte könnten ebenfalls Schadsoftware erlauben.
In den Abschnitten 2.1 Root ein generelles Sicherheitsrisiko? 2.2 Banking-Apps und Co.: Root-Erkennung erklärt Mike Kuketz warum ein gerootetes Android besser ist und die Banken - seiner Ansicht nach - das Kind mit dem Bade ausschütten. https://www.kuketz-blog.de/magisk-bei-der-macht-von-root-take-back-control-t...
Die Root-Checks erfolgen in der Regel durch die Verwendung von Bibliotheken in den Apps, die Sicherheit auch in bösartigen Umgebungen versprechen, z.B. auf einem von Malware befallenen Telefon.
Apps sind Software. Und Software kann sich nie ganz sicher sein, wirklich auf Hardware zu laufen. Auch Hardware-Krypto-Module können simuliert werden.
Ein zugeschraubtes Betriebssystem auf einem Mobiltelefon ist grundsätzlich gut für die Sicherheit, weil es Prüfungen erlaubt, ob wirklich nur die Software läuft, welche ich laufen lassen möchte. Allerdings sollten es die Nutzenden (und manchmal die Eigentümer:innen) der Geräte sein, welche das bestimmen. Dazu müssten sie in der Lage sein das Telefon auf- und zuzuschrauben. Bei Sony und Google Pixel Geräten kann z.B. von Usern der Bootloader aufgesperrt und dann wieder zugesperrt werden.
Selber aufsperren ("rooten") ist also gut, wenn jemand damit verantwortwortungsvoll umgeht, erhält er sogar ein sichereres Mobiltelefon. Banken sollten die Nutzung für Ihre (in der Regel proprietären) Apps erlauben.
Noch besser wäre eine Freie Software Standard App, mit der allgemeine Dinge, die viele Leute brauchen gehen.
Gruß Bernhard