🇬🇧 🇩🇪 FP2 open SafetyNet for banking

Hi !
I am on FP2 open with microG and I tried to get SafetyNet Check okay for banking (special German VR SecureGo+). And i don’t get it…
I have Magisk long time working and everything was fine. Now I need for PushTAN this app silly “SecureGo plus” to work. In microG I enabled SafetyNet and installed Magisk modul “MagiskHidePropsConf”.
I tried installed with Zygisk and “Universal SafetyNet”.
I tried with old Android V9 and now in the new V10.
I tried different fingerprints in props of MagiskHidePropsConf.
And there is my personnel “I don’t get it”-Finish.
In Android 9 seems the fingerprint to new and in Android 10 there is only V6 (old !).
I tried FP3 (because same API29) but …
There are no special errors but both Safety checks are always NO.
I wanted so test “Device Simulation” but I don’t understand the preferences.
Anybody out there with FP2 open SafetyNet working?
Very nice smile from me for tips!

Wenn die Sicherheitsmechanismen einer Bank-App so einfach zu umgehen wären, dann würde ich mir ehrlich gesagt ums Online-Banking ziemliche Sorgen machen.

Es sollte nachvollziehbar sein, dass ein Dienstleister wie Atruvia (die bauen fĂĽr VR die Apps) keine inoffiziellen und nicht unterstĂĽtzten OS-Konfigurationen bedienen kann und will.

Dass eigentlich nur technisch versierte Nutzer solche Konfigurationen verwenden, die meistens sehr viel besser wissen, was sie tun, als die DAUs, mit denen sich solche Anbieter im Massenmarkt normalerweise herumschlagen mĂĽssen, ist zwar richtig, aber hier kein Argument.

Viele GrĂĽĂźe
Thomas

“…nicht unterstützten OS-Konfigurationen bedienen kann und will.”
Können ja wohl auf jeden Fall. Wäre sogar einfacher für die. Wollen aber nicht.

Phone rootet ist nicht ja automatisch gleich unsicher.
Von daher hat das mit Sicherheit nur bedingt zu tun.
Gegenbeispiel ist ja auch das es genug Leute hinbekommen. Bei verschiedensten Bank-Apps.
Also: Mach dir schon mal viel Sorgen!
Man wird so gezwungen ein selbst gekauftes Endgerät der Kontrolle einem großen internationalen Konzern zu unterwerfen. Dazu kann man sich auch Sorgen machen. Auch ohne Aluhut.
Beim PC (noch) undenkbar. Beim Mobil-Telefon für fast alle von Anfang an dran gewöhnt.

3 Likes

Ein gerootetes Android ist leicht sehr unsicher. Nur für wirklich versierte Leute kann es ausreichend sicher sein - das sind bei weitem nicht alle, die das Handy gerootet haben. Völlig anders als beim PC (Linux, Windows Enterprise). Du vergleichst hier zwischen PC und Android-Handy wirklich zwei völlig unterschiedliche Systemkonzepte.

Ein nicht gerootetes Handy kann aber genau so leicht sehr unsicher sein. Nur für ausreichend versierte Leute kann es IMHO tatsächlich ausreichend sicher sein.
Interessiert aber erstaunlicherweise keinen, die Banking-App läuft sicher völlig problemlos auf einem seit Jahren nicht mehr mit Updates versorgten Android, solang es nur ausreichend nach Google-Services stinkt.

3 Likes

Beim gerooten Handy haben ja auch nicht nicht alle Apps und Systemdienste automatisch root.
Unter gleichen Bedingungen ist das gerooted ein bisschen unsicher, okay.
Und was ist bei nicht gepatcht?
Die besagte App läuft ab Android V6. Das gibt es wohl nirgendwo komplett gepatcht.
Aber das ist ohne root sicherer wie ein aktuell “gepachtest” mit root?
Will sagen: Sicherheit / Bequemlichkeit /Gängelung ist Ausverhandlungssache.
Es geht um 2FA. Lasst uns doch 5FA machen. Ist garantiert viel sicherer…
Und noch mal 2FA: Banking App (z.B. für Buchungen) und TAN-App auf einem Gerät ist grundsätzlich ein übler Komprismiss. Da wäre ein PC + HandyTan wohl grundsätzlich sicherer. Aber würde da würden die Massen aufbegehren…
Wundere mich ein bisschen, das hier so simpel gedacht wird …

1 Like

Das kommt auf das Root-Programm an. Es gibt (oder gab) viele Systeme und viele Root-Varianten, die allen Apps Root zur VerfĂĽgung stellte und/oder die Root-Berechtigung einer App nur ausgesprochen unzureichend verifizierte.

Ja, das ist teilweise richtig. Ein nicht gerootetes Handy sichert aber zunächst einmal alle Apps voneinander durch Sandboxing ab. Das leistet ein gerootetes Handy nicht mehr. Allerdings sind nicht gefixte Sicherheitslücken - das betrifft bedauerlicherweise auch Handys von Herstellern, die Sicherheitsfixes liefern. Letztendlich ist deshalb natürlich jeder selbst verantwortlich. Ein Banking-App Hersteller möchte aber selbst möglichst kein Risiko eingehen. Das kann er unter anderem relativ einfach dadurch erreichen, dass er keine gerooteten Handys unterstützt (und einige weitere Randbedingungen in die Nutzungsbedingungen aufnimmt).

Ist das so? Da hätte ich gerne mal eine Quelle zu. Danke!
Warum soll root grundsätzliches Betriebsystemverhalten so ändern?

1 Like

Nimmst Du etwa Samsung Galaxy S2 Handy mit dem seinerzeitigen Root-Programm und Verwaltungen wie Konkurrenten von SuperSU. Es dürfen grundsätzlich alle Apps Root anfragen. Das können sie, ob sie im Manifest das beschreiben oder nicht. Verschiedene Verwaltungs-Apps hatten Schwierigkeiten bei Apps, bei denen Root nicht im Manifest stand. Und weißt Du, ob das heutige Magisk die Root-Anfrage wirklich zuverlässig abfragt? Apps können bei einem gerooteten Gerät vorhandene Systemlücken immer ausnutzen, um Root ohne Nachfrage zu erlangen. Es kommt also darauf an, dass Du nur vertrauenswürdige Apps installiert hast.

Es kommt also darauf an, dass Du nur vertrauenswĂĽrdige Apps installiert hast.
Nein, nur bei denen den ich root erlaube…
Und sagen wir es mal anders. Installiert Du Apps denen Du nicht vertraust ĂĽberhaupt irgendwo?

Das Beispiel hört sich jetzt etwas alt an.
Ich halte es da mehr mit

NatĂĽrlich muss ich der MachMal-Root Software und allen Apps denen ich root gebe vertrauen.
Und natürlich weis ich nicht wie zuverlässig da gearbeitet wird. Aber bei Google weiss ich, das bei Daten (Klar, allgemeine und nicht TANs oder so) gelauscht wird. Ist ja Geschäftsmodell.
Und damit komme ich zum Vergleich PC/Handy zurück. Die Unterschiede sind doch hauptsächlich Historisch/Geschäftsmodellmäßig zu erklären. Wären PC heute neu, wäre es wie bei den Handys (es wird ja auch versucht, das nachträglich anzupassen (SecureBoot, TPM, App-Shop). Natürlich immer mit der Begründung Sicherheit)
Wie gesagt: Es ist Ausverhandlungssache.
Und in diesem Fall verliert die Minderheit. (ohne groĂźe Not aus meiner Sicht)
Noch ein Gegenbeispiel: Wenn ich auf dem PC das buchen mache, wird auch nur der Browser gecheckt. Ob da 5 Keylogger installiert worden sind: Egal. Aber beim 2. Weg der 2FA wird jedes Szenarium zur Hochpotenten SicherheitslĂĽcke.

1 Like

Ja, aber das ist hier nicht die Frage. Aus der Sicht vieler Bank-App-Entwickler geht es darum, ob es leicht ist, Sicherheitsmechanismen zu untergraben oder nicht. Das ist beim PC als nicht-Systemverwalter und bei nicht gerooteten Handys verhältnismäßig schwierig, bei gerooteten Handys verhältnismäßig einfach.

Tja, für mich es eben schon die Frage…
Das es fĂĽr App-Entwickler bequemer ist: Geschenkt. Das sollte aber aus meiner Sicht nicht das Kriterium sein.
So ist es ĂĽberwiegend Pseudo-Sicherheit.
Hier trifft es wenige, wenn man allerdings nur Handys mit aktuellem Patch-Stand “erlauben” würde, wären sehr sehr viele betroffen.

2 Likes

Nein, es überwiegt bei den benannten App-Entwicklern die höhere Wahrscheinlichkeit auf Sicherheit. Absolute Sicherheit gibt es niemals. Es geht immer nur um Wahrscheinlichkeiten und auf die Länge von Nutzungsbedindungen und dem, was die Bank als Risiko eingehen möchte.

… und das die Mehrheit nicht verärgert wird.
Aber wir drehen uns im Kreis.

Hat noch jemand was zur eigentliche Frage beizutragen?
(Außer dass jenes zur Recht nicht gehen sollte…)

1 Like

Wir drehen uns nicht im Kreis. Es geht nicht um Deine oder meine Ansicht, was aus dem oder jenem Grund wünschenswert ist. Ich versuche Dir nur die Problematik zu verdeutlichen und Dir Hinweise auf Lösungsmöglichkeiten zu geben, also: warum einige Banken und App-Programmierer nicht von gerooteten Handys als geeignete Plattform für die Banking-App überzeugt sind. Du kannst aber gerne die App-Programmierer anschreiben und von Deiner Sichtweise überzeugen.

Das erklärt es: Klar geht es mir um meine Sicht, die ich wünschenswert finde. Und versuche zu begründen. Das ich große Teile der Problematik schon verstanden habe, ist scheint da wohl nicht deutlich geworden zu sein…

Danke, aber da habe ich dann wohl was verpasst…

Da bist Du hier nunmal an der falschen Adresse. Wie ich schon schrieb: Schreib das den betreffenden Banken und App-Programmierer und versuche sie zu überzeugen. Ich kann Dir hier nur den Grund aus Wahrscheinlichkeiten geben, warum es in Summe eher wenig sinnvoll ist, auch wenn es im Einzelfall natürlich und kompetente Nutzer vorausgesetzt, sehr nützlich wäre, wenn die Banking-App auch auf einem gerooteten Handy funktionieren würde.

FĂĽr technischen Fragen zum FP2 ist das hier die falsche Adresse?
(so fing der Thread an)

1 Like

Stimmt allerdings :slight_smile: In Wirklichkeit war diese Diskussion ĂĽber Pro und Con off-topic, wurde aber von Dir nach der Antwort von teezeh initiiert:

Doch. Im wahrscheinlichen Durchschnitt schon.