DKB-Banking App erkennt Root, trotz Magisk

[pzYsTorM]

Hmm... komisch...
Sinn dahinter: Naja, die App macht ja irgendwie nen Check, ob das Handy gerootet ist.
Wenn der Freeze Trick funktioniert, heißt das, dass der MagiskManager bei ner su-Anfrage den Request irgendwie anders beantwortet als ohne MagiskManager (oder eben gefreezt). Daher hab ich mal mit diesen Optionen rumgespielt.

 

[Master One]

@pzYsTorM, AFAIK ist Magisk praktisch weg wenn eingefroren, hat also nichts mit einer Antwort auf ein su-Request zu tun.

Ich kann mir nicht vorstellen, dass das bei Dir wirklich funktioniert hat. Versuch mal, ob das nach einem Neustart und mit "Clear Cache" in der TAN2Go App immer noch funktioniert.

 

[BOotnoOB]

Sinn dahinter: Naja, die App macht ja irgendwie nen Check, ob das Handy gerootet ist

Das ist richtig. Aber der Rootcheck besteht nicht darin, Rootrechte zu erfragen. Dieser Check wäre zwar auf den ersten Blick gar nicht so schlecht, weil es einfach und eindeutig wäre. Aber auf den zweiten Blick wäre er viel zu leicht auszuhebeln.

Eine App fragt in den meisten Fällen nicht explizit nach Root. Manchmal ja, aber oft werden Zugriffe verlangt, die über die eigentlichen Berechtigungen einer App hinausgehen und nur als "root" zu realisieren sind. Diese Zugriffe werden von Magisk verwaltet.
Jetzt stell dir mal vor, eine Bankingapp ist so programmiert, dass eine priviligierte Berechtigung (Root) eingefordert wird. Ja, ja... nur zum checken... is klar. Das kannst du nicht realisieren als Geldinstitut.

 

[perahoky]

Moin Leute,

hab mich hier mal angemeldet um mich bei euch zu bedanken. Hab dadurch diese (ätzenden) webID und PushTan apps zum laufen gebracht.
Und das obwohl ich vorher nichtmal root hatte!
Diese "Sonderapps" mögen mein OnePlusOne eben garnicht. Wahrscheinlich weil ich LineageOS drauf habe oder sowas.
Was für eine Ironie dass man sich extra dafür root holen muss um root zu verstecken.
Inzwischen checken die vermutlich echt alles - bootloader, recovery, bestimmte ordner, TTB (titanium backup) und so weiter.

ich bin ja der meinung dass man eine kleine Tabelle machen sollte, welche app weshalb wo nicht läuft und wie man das fixt.
ich hatte z.B. garkein root sondern ein customROM (lineageOS) weil ich ja sonst garkeine updates (= unsicher!) mehr bekomme.
Auf einem Windows Desktop (der garantiert viel unsicherer ist als root android) kann man auch tun und lassen was man will und die dinger laufen einfach.

Vielleicht brauchen wir so langsam eine virtualisierungs engine für android.

Danke nochmal und liebe grüße,
bis andermal

 

[BOotnoOB]

Was für eine Ironie dass man sich extra dafür root holen muss um root zu verstecken.

Das Problem ist der offene Bootloader, der vom System erkannt wird. Durch aktiviertes Magisk Hide wird dieser als geschlossen dargestellt. Hinzu kommt eine fremde Software, die auch sofort problemlos registriert wird.

 

[perahoky]

Danke für die Erklärung
Gut, ich kaufe mir trotzdem einen extra TAN generator damit ich davon nicht abhängig bin. Auf netflix, amazon video oder PokemonGO kann ich verzichten, aber wenn die dumme bank sich irgendwelche "Merkmale" ausdenkt und eines tages plötzlich aussperrthörts auf.
Das ist mein Gerät und ich muss das Gerät entsperren sonst bekomme ich keine Updates und bin viel unsicherer (letztes OxygenOS ist 4 jahre her?)
Dieses "webID" ist die gleiche Sache: Warum dieses blocking? Das ist doch nur ein Video-Call, im Desktop-browser gibts auch keine Probleme ("habe keine genügende kamera") und die ernsthaften Angreifer juckt das nicht. Ich beantworte da paar Fragen, halte meinen perso vor die linse und das wars. Spielt root etc. da überhaupt noch eine rolle?

Liebe Grüße

 

[BOotnoOB]

@perahoky Das lässt sich wohl am besten damit beantworten: Sensible Sicherheitsrichtlinien und versicherungstechnische Gründe

Mir brauchst du das mit den Security Patches nicht zu sagen, halte das auch für völligen Schwachsinn. Meine TAN-App der Sparkasse ist abwärtskompatibel bis Android 6.0 und da frage ich mich ernsthaft, wie viele Jahre der Patch bei so einer Version zurückliegen muss.

 

[Master One]

Ist zwar etwas off-topic, aber eine Frage an jene, die sich mit TAN2Go und Island / Shelter gespielt haben:

Was genau ist denn der Unterschied zur "Multiple users" Option in Android (11)?

Hat das mit der Authentifizierung per Fingerabdruck geklappt, als die TAN2Go App im isolierten Work-Profile installiert/gekloned war?

Ich würde nämlich gerne die DKB Banking und TAN2Go Apps zweimal auf meinem Handy haben, damit ich auch den DKB Zugang meiner Ehefrau verwalten kann. Dazu habe ich unter ArrowOS 11 ein zweites Benutzerprofil angelegt, aber da scheitert es gleich einmal daran, dass offenbar nur der Device-Owner die Fingerprint-Authentifizierung nutzen kann (entweder ein Bug in ArrowOS oder eine Design-Limitierung von Android?).

 

[legal-alien]

Die TAN2Go App brauchst Du nicht zweimal auf dem Smartphone zu haben, um ein zweites Konto zu verwalten.
Man kann bei der DKB ein zweites Mobilgerät zum alternativen Empfang für die TAN angeben.
Somit kannst Du mit deinem Handy sowohl deine als auch die TANs deiner Frau mit der gleichen App abrufen.

 

[Master One]

@legal-alien, interessant, das muss ich mir dann nochmals ansehen.

Dennoch, es gibt auch Apps anderer Banken, die das nicht können, und da ich hier gerade dabei bin, ein Backup-Handy einzurichten, das die verschiedenen Zugänge von meiner Ehefrau und mir beherbergen soll, ist die geschilderte Thematik weiterhin interessant.

Ich stoße mich also weiterhin an der fehlenden Fingerprint-Authentifizierung in einem zusätzlichen User-Profile, denn es gibt Apps die ohne Fingerprint nicht funktionieren, und mir ist nicht klar, was denn nun der Unterschied zwischen der eingebauten Funktionalität ("Multiple users") und Addon-Apps (also Island oder Shelter) sein soll.

 

[Maheshwara]

@legal-alien
Ja, das hat mir ein DKB Mitarbeiter auch mal gesagt. Ich hatte das so verstanden, dass man jedes weitere Konto dann genauso mit der Tan2Go App verbinden muss wie das erste auch. Ist das so? Oder funktioniert das ganz anders?

Ich habe nämlich dasselbe vor wie @Master One: Das Tab als Backup für unsere DKB Konten einzurichten, weil wir schon mehrfach nur Neuverknüpfung per Brief angeboten bekamen und dann fast 3 Wo. ausgesperrt waren, weil man dort mit dem Versand des Registrierungsbriefes nicht in die Pötte kam. Es hat jedes Mal mind. 2 Wo. gedauert, bis wir den hätten. Für Chiptan sind wir auch registriert, aber wir haben weder immer die EC Karte, noch den Leser dabei.

 

[Master One]

@Maheshwara @legal-alien, scheint so zu funktionieren, also in der TAN2go App im Menü >> TAN2go-Verbindungen kann man dann unten auf "Neue TAN2go-Verbindung" klicken.

Dasselbe ist aber wohl in der DKB Banking App nicht möglich, und damit bringt mir das genau nichts, da das DKB Online-Banking beim Login dann die Bestätigung in der DKB Banking App haben will.

Wenn das mit der Fingerabdruck-Authentifizierung in einem zusätzlichen User-Profile möglich wäre (was zumindest bei mir hier mit ArrowOS 11 nicht klappt), wäre es kein Problem, alle Online-Banking-Zugänge meiner Ehefrau und mir mit nur einem (Backup-)Handy zu verwalten, aber so wird das dann leider nichts. Deswegen zwei Backup-Handys hier einsatzbereit zu halten, erscheint Overkill zu sein.

 

[Maheshwara]

@Master One
Aber geht es nicht, beim Login die Option zum Bestätigen per TAN auszuwählen? Dann kommt die TAN ja auch auf dem Backup Gerät an und du kannst dich damit einloggen...

Beiträge automatisch zusammengeführt: 16.03.2021

Klar, das ist natürlich nicht so bequem, aber zumindest kann man sich auch im Notfall IRGENDWIE einloggen. Mich nerven die ganzen Einschränkungen im Online-Banking der DKB ohne Ende, so dass ich schon überlegt habe mein Hauptkonto zu einer anderen Bank zu verlegen. Nur ein "vertrauenswürdiges Gerät", nur 2 Verknüpfungen überhaupt möglich, Neuverknüpfung manchmal nur per Brief möglich (und dann damit nicht mal in die Pötte kommen), ... Nicht zu vergessen der ganze Affentanz wg. Root... Das können einige andere Banken besser. Bspw. kann ich mein Commerzbank Konto immer eigenständig neu verknüpfen (mit dem Brief zur erstmaligen Registrierung) und zwar auf so vielen Geräten wie ich möchte (egal ob die gerootet sind oder nicht).

 

[legal-alien]

Also ich nutze die DKB ausschließlich am PC und nicht am Handy. Da man zum einloggen bekanntlich eine TAN von der TAN2Go App benötigt, haben wir es so eingerichtet, dass sowohl vom Handy-1 als auch vom Handy-2 die TANs für Konto-1 und auch Konto-2 abgerufen werden können.
Das lässt sich im Online-Banking der DKB relativ einfach einstellen.
Somit haben wir auch immer eine Backup-Möglichkeit zum einloggen und müssen dann ggf. nicht tagelang auf irgentwelche Briefe und Post zur Reaktivierung etc. warten.

 

[Master One]

@Maheshwara, ja, das mit der DKB ist leider ziemlich nervig und uninteressant geworden, insbesondere auch, wenn die einen nun irgendwann von der Kreditkarte zur Debitkarte bewegen möchten. Für Transaktionen sind wir schon längst zu Revolut gewechselt, was aber (bislang) nur ein Zahlungsdienstleister und als Zweitkonto gedacht ist, das Geld bleibt weiterhin bei einer echten Bank (eben der DKB). Auf andere deutsche Banken haben wir als Österreicher leider keinen Zugriff und die österreichischen Banken können mich allesamt gern haben.

@legal-alien, kannst Du das etwas genauer erklären? Das mit der TAN2Go App ist nun klar, dort kann ich also mit einer App mehrere Verbindungen anlegen. Der Haken liegt also nun bei der DKB Banking App, denn die benötigt man ja für

1. die Bestätigung beim Online-Banking Login,
2. Visa Secure, und
3. Card Control,

wobei die letzteren beiden Funktionen ja im Online-Banking am PC gar nicht zur Verfügung stehen, sondern nur in der DKB Banking App.

Ich will das alles ja auch gar mehr nicht am Handy haben, da ich ebenfalls Online-Banking nur am PC mache. Und da wir jetzt gerade neue Handys bekommen haben, inklusive Backup-Handy, war der Gedanke eigentlich, alle Banking Apps aus Sicherheitsgründen überhaupt nur noch am Backup-Handy zu installieren, damit die ganzen sensitiven Sachen eben nicht mehr auf den Handys sind, die wir mit uns führen.

 

[perahoky]

Woher wissen wir eigentlich dass diese Airfrozen-App (Um Magisk zu verstecken) vertrauenswürdig ist? Ie scheint aus China zu stammen.
Gibt es da bessere Alternativen als Airfrozen?
Und wie lange wird es wohl dauern bis Anti-Bootloader/SafetyNET auch versteckte Apps checken wird?

Zum TAN2go Thema:
Also ich habe mir einen TAN generator gekauft und benutze den bei meinem zukünftigen DKB Konto und der alten Sparkasse bis die gekündigt ist.
Wenn ich mein Smartphone schon mit root und kritischen apps usw. ausstatte, dann muss ich da nicht auch noch meine Bank-Zugänge ablegen. Ist sowieso... kritisch.
Tan-Generator: Giro/Kredit-Karte rein, synchronisieren, qrCode Scannen, TAN eingeben, bestätigen, fertig (So zumindest der Plan).
tanJack® photo QR - Chipkartenleser-Shop REINER SCT

ich fänds echt gut wenn man in Android auch eine Virtualisierungslösung für solche apps entwickeln könnte die - ähnlich einer VPN - komplett verschlüsselt wird.
"Virtualisierungs-App" starten
Passwort eingeben
App auswählen (TAN-App o.ä.)
Normal verwenden
Schließen
(Verschlüsselt)

Auf diese weiße könnte die App - wie in Docker - die Schnittstellen vom Host-OS nutzen aber die Daten vom Container.

 

[Lupus]

Woher wissen wir eigentlich dass diese Airfrozen-App (Um Magisk zu verstecken) vertrauenswürdig ist? Ie scheint aus China zu stammen.
Gibt es da bessere Alternativen als Airfrozen?
Und wie lange wird es wohl dauern bis Anti-Bootloader/SafetyNET auch versteckte Apps checken wird?

Titanium Backup und Swift Backup fallen mir da noch ein. Man muss nicht zwingend Airfrozen nehmen, nutze ich auch nicht.

Über kurz oder lang wird Magisk das Spielchen leider eh verlieren. Das hat der Coder auch schon gesagt, Google muss nur Hardware Attestation aktivieren und dann wird es sehr sehr schwer.

 

[Master One]

Woher wissen wir eigentlich dass diese Airfrozen-App (Um Magisk zu verstecken) vertrauenswürdig ist? Ie scheint aus China zu stammen.

Also ich habe da keine Bedenken, da

1. im Google Play Store.
2. Open Source Software (hyongbai /AirFrozen auf GitHub).
3. laut Warden mit keinen Trackern oder Loggern ausgestattet.

Made in China muss nicht Vorurteil-behaftet sein.

 

[perahoky]

Der Quellcode ist nicht die Version die man in Play Store bekommt. Schau mal aufs Datum.
Titanium Backup wird afaik nicht mehr weiter entwickelt, deswegen hab ich da wenig Motivation in eine abgesagte App zu investieren.
Weiß da jemand genaueres?

Dass Magisk etc. gegenüber Anti-Root/Bootloader verlieren wird ist echt traurig. Diese paranoia auf Smartphones gegenüber Änderungen ist echt sinnlos und nervig. Wenns drauf ankommt hängt eh alles vom Nutzer ab, da helfen auch diese Pseudo-Sicherheitsmaßnahmen nichts. Die echten Bösewichte kommen da immer durch, nur uns einfache Nutzer die vllt. fälschlich von diesen Vorschriften getroffen werden sind genervt und müssen irgendwelche Lösungen finden oder sogar unsichere Betriebssysteme einsetzen.

Die Bloatware-Apps mit irgendwelcher Werbung auf Samsungs-Smartphones (die man ohne Root nicht entfernen kann) sind wohl kein Problem oder wie?

Wenn die zuverlässig NUR auf Root etc. prüfen würden wäre ich ja noch einverstanden. Aber dass die wegen Bootloader rummeckern geht mir zu weit. Als nächstes darf man ksk-sparkasse.de nur noch mit SecureBoot auf Windoof aufrufen oder wie? Weil Linux ist ja "so unbekannt".

 

[Master One]

Der Quellcode ist nicht die Version die man in Play Store bekommt. Schau mal aufs Datum.

Der Code im GitHub Repo ist auf dem aktuellen Stand und stimmt mit dem Datum im Play Store überein, der Autor hat lediglich kein aktuelles Release über das GitHub Repo zum Download zur Verfügung gestellt.