Onlinebanking Android vs IOS

handy.dealer schrieb:
Wie läuft das in Deutschland ab?
Am Beispiel meiner Postbank
Du hast den Finanzassistenten für alles mögliche, der Login ist TAN bzw 2FA (BestSign) gesichert und wird mittels FaceID freigegeben. Die Verifizierung über BestSign kann aber auch über ein unabhängiges Gerät erfolgen, zum Beispiel das Smartphone meiner Frau, oder die getrennte BestSign App.
BB946451-8E3B-4451-87AD-AD5C55E5B39E.png

Möchte ich Zahlungen leisten, oder was relevantes im Konto verändern muss ich das erneut über BestSign verifizieren, was natürlich auch von einem dezidierten Gerät geht.
 
  • Gefällt mir
Reaktionen: handy.dealer und madmax2010
madmax2010 schrieb:
Das offen bezieht sich eher darauf, dass der Quellcode einsehbar ist.
Das ist falsch, denn es gibt da eine eindeutige Definition für offen und geschlossen jenseits des häufig verwendeten Begriffs "open" für Open Source.

https://de.wikipedia.org/wiki/Geschlossene_Plattform

Offenes oder geschlossenes Betriebsystem bezieht sich direkt auf das komplette Ökosystem. Geschlossene Systeme, wie iOS, sind vollständig kuratiert vom Hersteller. D.h. Gerät, Betriebsystem und Software-Ökosystem bilden eine Einheit, die ausschließlich vom Hersteller gepflegt und verantwortet wird, Fremdhersteller können Software und Hardware nur mit direkter Zustimmung und Unterstützung des Plattformherstellers über fest definierte Wege veröffentlichen. Hier im Beispiel iOS, aber auch ein gutes Beispiel sind Spielekonsolen.

Offene Betriebsysteme sind das schlicht nicht. Offene Betriebsysteme sind weder zwingend an das Gerät gebunden, noch verhindern sie grundsätzlich die Installation eigener Software jenseits ihres eigenen Softwareangebots. Die Verantwortung liegt hauptsächlich beim Nutzer. Branding und weitere Modifikationen seitens Gerätehersteller etc. sind ebenfalls möglich. Jeder kann Software und Hardware für die Plattform herstellen und vertreiben. Open Source hilft hier (Android, Linux, BSDs etc.) aber ist nicht zwingend erforderlich, um eine offene Plattform zu sein (Windows, MacOS (mit Einschränkungen)).

Es gibt natürlich auch Abstufungen auf verschiendenen Ebenen, was offen und geschlossen angeht innerhalb einer Plattform.
 
Zuletzt bearbeitet:
wolve666 schrieb:
Banking über Phone ist immer unsicherer als am PC..es ist schon schlimm genug, das die ganzen Banken auf diesen App-Mist umgestellt haben.
Ich halte Banking über eine App für sicherer, als Banking am PC. Beim PC musst du die Bankseite über den/einen Browser aufrufen, hier besteht die Möglichkeit dich auf eine gefakte Seite weiterzuleiten. Beim Phone gibt es nur diese eine verschlüsselte App. Dann wäre da noch Schadsoftware auf dem PC, welche ebenfalls Daten des Online Banking abgreifen kann.

Ich halte iOS für die sicherste und einfachste Variante des Online Banking.
 
Zuletzt bearbeitet:
Tjorben schrieb:
Beim PC musst du die Bankseite über den/einen Browser aufrufen, hier besteht die Möglichkeit dich auf eine gefakte Seite weiterzuleiten. Beim Phone gibt es nur diese eine verschlüsselte App.

Die App verbindet sich sich auch mit (Web) servern / davon bereitgestellten APIs.
Fast Alle Angriffe die man am Desktop Rechner in dem Aspekt ausführen kann, gelten auch fürs Smartphone.

Was meinst du mit verschlüsselte App? Die sind genau so verschlüsselt wie ein Aufruf über den Browser.

Natürlich gibt es auch schadsoftware für Android und ios. In beiden Ökosystemen scheint es zum guten Ton zu gehören unglaublich lange für security patches zu brauchen und es ist irgendwie ok auch mit Geräten rum zu laufen die seit Monaten nicht gepachted wurden, wenn sie überhaupt noch patches bekommen
 
  • Gefällt mir
Reaktionen: wolve666
madmax2010 schrieb:
Fast Alle Angriffe die man am Desktop Rechner in dem Aspekt ausführen kann, gelten auch fürs Smartphone.
Das ist auch falsch, denn das gilt nur für Angriffe auf die Verbindung an sich, und zwar von außen.

Sobald du Angriffe von der gleichen Plattform aus ausführst bzw. auf eine Plattform, z.B. die App an sich oder das OS, sind die völlig unterschiedlich. Manche Angriffsflächen existieren nur auf der einen Plattform, auf der anderen aber nicht.
 
madmax2010 schrieb:
Die App verbindet sich sich auch mit (Web) servern / davon bereitgestellten APIs.
Fast Alle Angriffe die man am Desktop Rechner in dem Aspekt ausführen kann, gelten auch fürs Smartphone.
Es handelt sich hier um unterschiedliche Systeme, die Angriffsfläche kann daher doch nicht gleich sein ?! Alleine wenn man sich das Aufkommen von Malware und die daraus resultierenden Angriffszenarien für Windows anschaut, schon von diesem Aspekt aus ist Banking über eine App zu bevorzugen.

Ergänzung ()

madmax2010 schrieb:
Die sind genau so verschlüsselt wie ein Aufruf über den Browser.
Wenn du auf der richtigen Webseite gelandet bist, dann ja. :p
 
Zuletzt bearbeitet:
madmax2010 schrieb:
unglaublich lange für security patches zu brauchen
This! Bei meinem Smartphone (Xiomi MiA1), zugegeben nicht mehr das Neueste, gibts schon seit Ende November 2020 keine Updates mehr. Man ist gewungen, sich alle 2 Jahre (oder warens 3 Jahre?) ein neues oder zumindest aktuelles Teil zu kaufen, damit man Updates bekommt.

Oder man ist so bedarft und installiert sich ne Custom Rom wie Lineage. Dank dieser lebt mein Phone noch u. das mit akutellen Patches :).

Man sollte sich mal nicht so sicher sein mit Apple, die greifen auch Daten ab.

Am PC halte ich mein System täglich aktuell, und wenn ichs genau nehme, sollte man für seine Bankgeschäfte sogar ne VM-Lösung betreiben. Aber das ist vielen Daus ja schon zu hoch (mit den täglichen Updates).

Früher, als es die Mobile TAN noch gab, da war die Welt noch einigermaßen in Ordnung.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: madmax2010
Die namensauflösung funktioniert davon unabhängig immer gleich und fast die selben Angriffe sind valide. Entweder durch schadsoftware direkt auf dem Gerät oder irgendwo auf dem Weg von der WLAN Antenne zum Router
Ja, die schadsoftware wäre eine andere, aber die Mechanismen die man 6 um jemanden mit einem anderen Server als gewünscht zu verbinden sind ziemlich unabhängig die gleichen. Es sei denn ios hat sich von TCP/IP, DNS und http losgesagt.
Sure, dnssec und Co helfen durchaus, aber bis Banken das vernünftig nutzen wird bitcoin zur Lieblingswährung von fff
 
Du stellst das viel zu vereinfacht dar. Du willst das richtige sagen, aber vermatscht das so unpräzise, dass am Ende eine zu oberflächliche Aussage herauskommt, die so nicht mehr stimmt.

Sobald die Plattform eine Rolle spielt, sind immer deren Eigenheiten zu betrachten, auch wenn das Prinzip eines Angriffs das gleiche sein mag und gängige Netzwerktechniken verwendet werden. Danach entscheidet sich ob ein Angriff möglich ist, und danach wie. Und auch bei den gängigen Netzwerktechniken spielt sofort wieder die individuelle Implementierung im System eine Rolle. Protokoll != Implementierung!
Individuelle Sicherheitsmechanismen, Zertifikate, Eigenheiten von offen oder geschlossen fällt bei dir vollständig hinten runter.

Die Prinzipien mögen grundsätzlich die gleichen sein, aber so, wie du das darstellst, stimmt es nicht.
 
wolve666 schrieb:
Oder man ist so bedarft und installiert sich ne Custom Rom wie Lineage. Dank dieser lebt mein Phone noch u. das mit akutellen Patches :).
Ich weiss ja nicht, aber ich hätte bei einem preislich sehr günstigen China Smartphone schon von Hause aus kein gutes Gefühl überhaupt irgendwelche Passwörter dort einzugeben. Und dann noch eine Custom Rom von irgendwo her installieren, da würde ich auch kein Banking drauf machen.
 
  • Gefällt mir
Reaktionen: madmax2010
@Tjorben ich betreibe ja auch mit dem Smartphone kein Banking. Lineage ist aber allemal besser, da akuteller.
Naja und China Phone..zeig mir ein Phone, das nicht mit Teilen aus China/Korea hergestellt wird.

Grds. hast du aber recht, mit Smartphone Banking sollte man lassen finde ich
 
wolve666 schrieb:
zeig mir ein Phone, das nicht mit Teilen aus China/Korea hergestellt wird.
Das gilt für so ziemlich jede Art von Computer in der heutigen Zeit, nicht nur für Smartphones. Wenn's also danach geht, darfst du gar kein Online Banking machen.
Du dürftest nichtmal eine Bank haben, weil das auch für deren technische Infrastruktur gilt. Mal abgesehen vom Internet an sich...
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: wolve666
Banking App + TAN App auf demselben Gerät ist vollkommen sicher! Die TANs sind an den Auftrag gebunden und werden in Echtzeit generiert und nur temporär verfügbar. Du kannst keine TAN alleine abrufen und sie frei verwenden. Außerdem ist jede App für sich mit einem Passwort gesichert.

Um diese Sicherheitsfunktionen zu umgehen, müsste jemand dein Onlinebanking hacken, einen Auftrag erstellen, sich die TAN senden lassen (auf das Smartphone) und auch diese App in einer bestimmter Zeit hacken. Erst dann könnte er ernsthaften Schaden anrichten.

Nur die TAN alleine hätte keinen Sinn, da sie nur deinen erstellten Auftrag ausführen kann und sonst nichts.
 
Zurück
Oben