Root ist guut, da haben Banken unrecht (Re: Banken und Freie Software)

Bernhard E. Reiter bernhard at fsfe.org
Do Mär 14 08:33:34 UTC 2024 

Moin,

Am Donnerstag 22 Februar 2024 19:35:55 schrieb Florian Snow:
> Das zweite große Problem ist, wie Banken die Secrets an die Hardware
> binden: vollständig in Software. Dies macht es erforderlich, dass die
> Banking-Apps auf gerootete Telefone usw. prüfen, denn wenn ein Telefon
> gerootet ist, könnte das Secret theoretisch extrahiert werden.

wie in weiteren Situation auch.
Ein Defekt einer hoch priveligierten Komponente zum Beispiel
oder falsch vergebene Rechte könnten ebenfalls Schadsoftware erlauben.

In den Abschnitten
  2.1 Root ein generelles Sicherheitsrisiko? 
  2.2 Banking-Apps und Co.: Root-Erkennung
erklärt Mike Kuketz warum ein gerootetes Android besser ist
und die Banken - seiner Ansicht nach - das Kind mit dem Bade ausschütten.
https://www.kuketz-blog.de/magisk-bei-der-macht-von-root-take-back-control-teil3/

> Die Root-Checks erfolgen in der Regel durch die Verwendung von Bibliotheken
> in den Apps, die Sicherheit auch in bösartigen Umgebungen versprechen,
> z.B. auf einem von Malware befallenen Telefon.

Apps sind Software. Und Software kann sich nie ganz sicher sein, wirklich auf 
Hardware zu laufen. Auch Hardware-Krypto-Module können simuliert werden.

Ein zugeschraubtes Betriebssystem auf einem Mobiltelefon ist grundsätzlich gut 
für die Sicherheit, weil es Prüfungen erlaubt, ob wirklich nur die Software
läuft, welche ich laufen lassen möchte. Allerdings sollten es die Nutzenden 
(und manchmal die Eigentümer:innen) der Geräte sein, welche das bestimmen.
Dazu müssten sie in der Lage sein das Telefon auf- und zuzuschrauben.
Bei Sony und Google Pixel Geräten kann z.B. von Usern der Bootloader 
aufgesperrt und dann wieder zugesperrt werden.

Selber aufsperren ("rooten") ist also gut, wenn jemand damit 
verantwortwortungsvoll umgeht, erhält er sogar ein sichereres Mobiltelefon.
Banken sollten die Nutzung für Ihre (in der Regel proprietären) Apps erlauben.

Noch besser wäre eine Freie Software Standard App, mit der allgemeine Dinge, 
die viele Leute brauchen gehen.

Gruß
Bernhard
-- 
FSFE -- Founding Member     Support our work for Free Software: 
blogs.fsfe.org/bernhard     https://fsfe.org/donate | contribute
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 659 bytes
Beschreibung: This is a digitally signed message part.
URL         : <http://lists.fsfe.org/pipermail/fsfe-de/attachments/20240314/48ef6658/attachment.sig>

Mehr Informationen über die Mailingliste FSFE-de