Leider ist das genau die Art von halber Sicherheit die ich von der Verwaltung gewohnt bin.
Basics falsch machen, aber Hauptsache BSI Zertifikat.
Wird eine persönliche Identifikation ĂŒber den Online-Ausweis angefordert [âŠ] öffnen entsprechende Dienste-Anbieter die AusweisApp mit einem so genannten Deeplink.
Dieser Deeplink beginnt mit den Zeichen (âeid://â) und öffnet ĂŒblicherweise die offizielle AusweisApp von Governikus. Ist diese jedoch nicht installiert, können andere Anwendungen entsprechende Links fĂŒr sich beanspruchen und ihrerseits starten.
lol das ist so bescheuert dass ich nicht anders als lachen kann
âŠdas Bundesamt fĂŒr Sicherheit in der Informationstechnik (BSI) [âŠ] sieht die Verantwortung fĂŒr die Sicherheit der EndgerĂ€te jedoch primĂ€r bei den Nutzern.
Ja ne ist klar. Ihr seid bestimmt die selben die ihre Apps auf Android 7 laufen lassen aber ein Android 13 ohne SafetyNet als unsicher einstuft
wĂŒtendes schielen auf Banking apps
Sag das nicht so laut. Bin ganz froh das meine Banking-App ohne Murren auf Graphene lÀuft.
Soll heiĂen ich kann jede app die so einen deeplink sendet mit einer fakeApp ĂŒberlisten und muss nicht einmal einen Ausweis haben.
Die Taktik kenne ich doch schon von meiner Bank!
Ich finde das schon beachtlich: Die erste Reaktion des BSI ist ein schnödes Schulterzucken.
Das ist der normale Modus Operandi der BSI. Solange die technische Richtlinie erfĂŒllt ist, ist alles tiptop, egal was passiert.
Gegenfrage: Was soll das BSI denn tun, wenn Endanwender sich gefakte Apps installieren und dort ihre Zugangsdaten eingeben?
Aus dem Artikel: âDer unter Laborbedingungen demonstrierte Angriff ist nur möglich, da sich der Online-Personalausweis beim Starten der AusweisApp auf eine technische Lösung verlĂ€sst, von der sowohl Google als auch Apple grundsĂ€tzlich abraten. Wird eine persönliche Identifikation ĂŒber den Online-Ausweis angefordert â etwa beim Abruf des Punktstandes in Flensburg â öffnen entsprechende Dienste-Anbieter die AusweisApp mit einem so genannten Deeplink.â
Hier ist durchaus Optimierungspotential.
auf eine technische Lösung verlÀsst, von der sowohl Google als auch Apple grundsÀtzlich abraten
Gerade dazu ist aber leider keine Quelle verlinkt. Google promotet selbst die Verwendung von Deeplinks auf ihrer Ads-Plattform und in der Doku von Android steht auch nicht drin, dass man dieses Feature nicht nutzen sollte.
Ich hatte mich ja schon einmal ĂŒber die Benutzung der online Funktion aufgeregt.
Interessant fand ich auch den RĂŒcksetzbrief selbst. Etwa ne halbe Seite ErklĂ€rung worauf ich alles bei dem Rubbelfeld beachten muss, dass es nicht beschĂ€digt sein darf oder andere Anzeichen von Dritteinwirkung haben darf und was ich tun soll wenn doch. Danach folgt die Anleitung: Feld frei rubbeln und Code in App eingeben ODER mit dem Handy den offenen QR Code direkt neben dem Rubbelfeld einlesenâŠ
Ich trage Verantwortung und habe keinen lol
Die âLĂŒckeâ die hier beschrieben wird, nutze ich als Feature, damit sich angeklickte YT Links in NewPipe statt Youtube öffnen, lol.
deleted by creator
@rimjob_rainer
Auf F-Droid gibtâs da ne APP fĂŒrâŠ
@CodeSalat
Solange das nur die guten Haker machen, ist doch alles in Ordnung. Oder hat sich schon ein böser Haker gemeldet, der das im Verborgenen gemacht und ausgenutzt hat?
deleted by creator