Wird eine persönliche Identifikation über den Online-Ausweis angefordert […] öffnen entsprechende Dienste-Anbieter die AusweisApp mit einem so genannten Deeplink.
Dieser Deeplink beginnt mit den Zeichen (“eid://”) und öffnet üblicherweise die offizielle AusweisApp von Governikus. Ist diese jedoch nicht installiert, können andere Anwendungen entsprechende Links für sich beanspruchen und ihrerseits starten.
lol das ist so bescheuert dass ich nicht anders als lachen kann
…das Bundesamt für Sicherheit in der Informationstechnik (BSI) […] sieht die Verantwortung für die Sicherheit der Endgeräte jedoch primär bei den Nutzern.
Ja ne ist klar. Ihr seid bestimmt die selben die ihre Apps auf Android 7 laufen lassen aber ein Android 13 ohne SafetyNet als unsicher einstuft
wütendes schielen auf Banking apps
Sag das nicht so laut. Bin ganz froh das meine Banking-App ohne Murren auf Graphene läuft.
Soll heißen ich kann jede app die so einen deeplink sendet mit einer fakeApp überlisten und muss nicht einmal einen Ausweis haben.
Leider ist das genau die Art von halber Sicherheit die ich von der Verwaltung gewohnt bin.
Basics falsch machen, aber Hauptsache BSI Zertifikat.
Die Taktik kenne ich doch schon von meiner Bank!
Ich finde das schon beachtlich: Die erste Reaktion des BSI ist ein schnödes Schulterzucken.
Das ist der normale Modus Operandi der BSI. Solange die technische Richtlinie erfüllt ist, ist alles tiptop, egal was passiert.
Gegenfrage: Was soll das BSI denn tun, wenn Endanwender sich gefakte Apps installieren und dort ihre Zugangsdaten eingeben?
Aus dem Artikel: “Der unter Laborbedingungen demonstrierte Angriff ist nur möglich, da sich der Online-Personalausweis beim Starten der AusweisApp auf eine technische Lösung verlässt, von der sowohl Google als auch Apple grundsätzlich abraten. Wird eine persönliche Identifikation über den Online-Ausweis angefordert – etwa beim Abruf des Punktstandes in Flensburg – öffnen entsprechende Dienste-Anbieter die AusweisApp mit einem so genannten Deeplink.”
Hier ist durchaus Optimierungspotential.
auf eine technische Lösung verlässt, von der sowohl Google als auch Apple grundsätzlich abraten
Gerade dazu ist aber leider keine Quelle verlinkt. Google promotet selbst die Verwendung von Deeplinks auf ihrer Ads-Plattform und in der Doku von Android steht auch nicht drin, dass man dieses Feature nicht nutzen sollte.
Ich hatte mich ja schon einmal über die Benutzung der online Funktion aufgeregt.
Interessant fand ich auch den Rücksetzbrief selbst. Etwa ne halbe Seite Erklärung worauf ich alles bei dem Rubbelfeld beachten muss, dass es nicht beschädigt sein darf oder andere Anzeichen von Dritteinwirkung haben darf und was ich tun soll wenn doch. Danach folgt die Anleitung: Feld frei rubbeln und Code in App eingeben ODER mit dem Handy den offenen QR Code direkt neben dem Rubbelfeld einlesen…
Ich trage Verantwortung und habe keinen lol
Die “Lücke” die hier beschrieben wird, nutze ich als Feature, damit sich angeklickte YT Links in NewPipe statt Youtube öffnen, lol.
deleted by creator
@rimjob_rainer
Auf F-Droid gibt’s da ne APP für…
@CodeSalat
Solange das nur die guten Haker machen, ist doch alles in Ordnung. Oder hat sich schon ein böser Haker gemeldet, der das im Verborgenen gemacht und ausgenutzt hat?
So muss das sein!