stefankittel
Goto Top

Spionage durch Banking oder Auth-Apps im Allgemeinen

Moin,

wir haben hier im Team gerade über verschiedene Anmeldungen zu einer Webseite gesprochen. Dabei auch über eine App wie z.B. Banken sie verwenden. Wir haben das unter anderem wegen des Datenschutzes verworfen und kamen dann zu dem Punkte: "Aber das machen doch alle so....".

Worum geht: Du hast vermutlich eine App Deiner Bank für Transaktionscodes (TANs).
Wenn Du eine Überweisung tätigst erscheint in der App eine TAN die man in die Bankingsoftware eintippt.
Das ist prima und wichtig.

Meine Banking-App (ING Diba) plott auf dem Handy auf sobald eine TAN benötigt wird.
Ich muss sie nicht vonm Hand starten.

Das bedeutet Jemand muss eine direkte Verbindung zur App haben.
Vermutlich hat eher die App eine dauerhafte Verbindung zur Bank und hälte eine Sitzung offen. Z.B. einen HTTP Get Befehl mit einem Timeout von 60 Sekunden. Wenn der abläuft wird ein neuer gestartet.

Das heisst aber auch, und da kommen wir zum Problem, dass der Server in der Bank dauerhaft Deine öffentliche IP-Adresse weiß. Was er damit macht ist nachranging, da wir das nicht feststellen können.

Die ING-Diba kann also ein Bewegungsprofil von jeder Person erstellen die so eine App verwendet.

Das gilt für jede App die von einem exterenes Signal getriggert werden kann.
z.B. auch der Microsoft Authenticator.

Passive Systeme, wie z.B. TOTP beim Google Authenticator sind hiervon nicht betroffen.
Die brauchen nur die Uhrzeit.

Oder übersehe ich hier etwas und es gibt einen "annonymen" Service durch Apple/Google?
Die wissen ja eh wo man ist.

Stefan

Content-ID: 669397

Url: https://administrator.de/contentid/669397

Printed on: December 7, 2024 at 18:12 o'clock

150940
Solution 150940 Nov 11, 2024 updated at 08:57:59 (UTC)
Goto Top
Oder übersehe ich hier etwas und es gibt einen "annonymen" Service durch Apple/Google?
Die wissen ja eh wo man ist.

Ein Großteil der Apps die Push-Benachrichtungen anbieten nutzen die Google-Push-API dafür zumindest unter Android, da das eh schon eine regelmäßige Verbindung zu Googles Servern unterhält entfallen zusätzlich aufgebaute Verbindungen und Background-Worker die von Android ja gerne mal durch Energiesparmaßnahmen abgeschossen werden.
https://developers.google.com/admin-sdk/directory/v1/guides/push?hl=de


Gruß catrell
em-pie
Solution em-pie Nov 11, 2024 updated at 08:56:52 (UTC)
Goto Top
Zitat von @150940:

Oder übersehe ich hier etwas und es gibt einen "annonymen" Service durch Apple/Google?
Die wissen ja eh wo man ist.

Ein Großteil der Apps die Push-Benachrichtungen anbieten nutzen die Google-API dafür zumindest unter Android
https://developers.google.com/admin-sdk/directory/v1/guides/push?hl=de


Gruß catrell

Und bei Apple (vermutlich, nicht geprüft) den APN seitens Apple:
Hier wird es am Beispiel MDM beschrieben. Ich meine aber im Kopf zu haben, dass darüber auch so ziemlich alle andere Dienste/ PushNotifications laufen: https://support.apple.com/de-de/guide/deployment/dep2de55389a/web
StefanKittel
StefanKittel Nov 11, 2024 updated at 09:18:04 (UTC)
Goto Top
Ok, das macht Sinn.

Aber: Wie kann ich denn als User feststellen ob die Ing-Diba diesen Dienst nutzt oder selber was gebastelt hat?

Wireshark wird hier ein verschlüsseltes Datenpaket anzeigen.
Und vieleicht kann man mit der IP die ING oder Apple zuordnen. Vieleicht auch nicht.

Ich lästere mal und sage, dass die ING mir dies nicht sagen kann oder will.

Das mit den Diensten von Apple und Google war mir neu. Auch wenn es logisch ist.

Danke
Stefan

PS: Mit einer Baking-App wäre so etwas nicht passiert
150940
Solution 150940 Nov 11, 2024 updated at 09:30:59 (UTC)
Goto Top
Aber: Wie kann ich denn als User feststellen ob die Ing-Diba diesen Dienst nutzt oder selber was gebastelt hat?
App schnell durch nen Java Decompiler jagen dann sieht man recht schnell welche APIs die APP nutzt.

Bei der ING App sieht man aber schon rein durch entzippen der APK das sie exzessiv die Play-Services nutzt.
hildefeuer
hildefeuer Nov 11, 2024 at 12:20:43 (UTC)
Goto Top
Ja auch ich nutze die ING App, bekomme aber keine Nachrichten, weil ich die Benachrichtigungen deaktiviert habe.
Wer will schon jederzeit überall wissen, wenn Geld eingeht?
Ich muss bei den ING auch keine TANs eingeben, sondern die Überweisung freigeben und kann dann noch einmal den Betrag und IBAN kontrollieren. Dann muss ich meine Online Pin der ING APP eingeben und das ganze geht auch nur auf meinem Smartphone, das dort registriert ist.
Also nix mit mTAN. Das ist veraltert. Weil die Lücke ist ja bekannt....
Jemand der Deine Daten kennt, bestellt eine 2. Sim an andere Anschrift oder fängt die Zustellung ab und kann somit die mTAN bestätigen. Ist ja immer wieder vorgekommen, speziell bei Providern, die mit freien Händlern zusammenarbeiten. Da kommen halt viele an die Daten. Der Versand von zweit SIMs ist halt nicht besonders abgesichert bei den verschiedenen Providern.
Seekuhritty
Seekuhritty Nov 11, 2024 at 15:31:51 (UTC)
Goto Top
Zitat von @hildefeuer:

Ja auch ich nutze die ING App, bekomme aber keine Nachrichten, weil ich die Benachrichtigungen deaktiviert habe.
Wer will schon jederzeit überall wissen, wenn Geld eingeht?

Die Benachrichtigungen sind sinnvoll, weil du in Echtzeit Bescheid bekommst, wenn deine Debitkarte bzw Kreditkarte benutzt wird. Ebenso kannst du auch Benachrichtigungen von Abgänge/Überweisungen von deinen Konten aktivieren.

Das mag zu 99% der Zeit nutzlos sein, aber genau das 1% wird dir den Arsch retten, wenn deine Karte geklaut oder Zugang gehackt wurde.

Muss/Kann jeder selbst entscheiden, ich will es nur mal gesagt haben.
StefanKittel
StefanKittel Nov 11, 2024 at 15:36:26 (UTC)
Goto Top
Zitat von @Seekuhritty:
Die Benachrichtigungen sind sinnvoll...
Darum ging es doch gar nicht.
Es ging darum, dass durch diese Dauerverbindung ein Traking des Gerätes ermöglicht wird.