Fragen? Antworten! Siehe auch: Alternativlos
Money Quote:
Die Photo-Tan-Apps der Hersteller haben mehrere Schwachstellen.Äh, nein, haben sie nicht. Die App hat nicht die Schwachstelle, die App ist die Schwachstelle. In der Sekunde, wo dein Code auf meinem Gerät läuft, kannst du dich auf genau keine Aussagen des Codes mehr verlassen. Ich könnte da die Ausführungsumgebung komplett kompromittiert haben. Die App denkt, sie tut etwas, aber sie tut etwas anderes.
Bei 2-Faktor-Authentisierung ist das Argument, dass es ja nur der 2. Faktor ist, wenn der ausfällt, dann ist man immer noch nicht unsicherer als vorher. Wenn der 1. Faktor aber Austerity-Politik zum Opfer fällt, dann ist das ganze System vollumfänglich für den Arsch.
Ob die App die IMEI abfragt und vergleicht oder nicht, das spielt keine Rolle. Ich kontrolliere die Hardware, die der App die IMEI-Nummer sagt. Wenn ich will, dass da IMEI 23 raus kommt, dann kommt da IMEI 23 raus.
Nun gibt es selbst bei einem Totalschaden natürlich noch Dunkelgraustufen, und es mag sein, dass diese Forscher da eine Schattierung entdeckt haben. Aber das Konzept an sich ist für den Arsch. Es spielt keine Rolle, wie gut oder schlecht die App "arbeitet" bzw zu arbeiten glaubt. Und lasst euch nicht von irgendwelchen angeblichen Secure Irgendwas-Technologien ins Bochshorn jagen.
Alleine schon die Vorstellung, dass die App abfragen könnte, ob das Android gerootet wurde oder nicht, ist grotesk. Wenn das jemand ordentlich aufmacht, kannst du da nichts abfragen. Kann sich ja auch jeder leicht selber überlegen.