133
Leider ist das genau die Art von halber Sicherheit die ich von der Verwaltung gewohnt bin.
Basics falsch machen, aber Hauptsache BSI Zertifikat.
Wird eine persönliche Identifikation über den Online-Ausweis angefordert [...] öffnen entsprechende Dienste-Anbieter die AusweisApp mit einem so genannten Deeplink.
Dieser Deeplink beginnt mit den Zeichen (“eid://”) und öffnet üblicherweise die offizielle AusweisApp von Governikus. Ist diese jedoch nicht installiert, können andere Anwendungen entsprechende Links für sich beanspruchen und ihrerseits starten.
lol das ist so bescheuert dass ich nicht anders als lachen kann
...das Bundesamt für Sicherheit in der Informationstechnik (BSI) [...] sieht die Verantwortung für die Sicherheit der Endgeräte jedoch primär bei den Nutzern.
Ja ne ist klar. Ihr seid bestimmt die selben die ihre Apps auf Android 7 laufen lassen aber ein Android 13 ohne SafetyNet als unsicher einstuft
wütendes schielen auf Banking apps
Sag das nicht so laut. Bin ganz froh das meine Banking-App ohne Murren auf Graphene läuft.
Soll heißen ich kann jede app die so einen deeplink sendet mit einer fakeApp überlisten und muss nicht einmal einen Ausweis haben.
Die Taktik kenne ich doch schon von meiner Bank!
Ich finde das schon beachtlich: Die erste Reaktion des BSI ist ein schnödes Schulterzucken.
Das ist der normale Modus Operandi der BSI. Solange die technische Richtlinie erfüllt ist, ist alles tiptop, egal was passiert.
Ich hatte mich ja schon einmal über die Benutzung der online Funktion aufgeregt.
Interessant fand ich auch den Rücksetzbrief selbst. Etwa ne halbe Seite Erklärung worauf ich alles bei dem Rubbelfeld beachten muss, dass es nicht beschädigt sein darf oder andere Anzeichen von Dritteinwirkung haben darf und was ich tun soll wenn doch. Danach folgt die Anleitung: Feld frei rubbeln und Code in App eingeben ODER mit dem Handy den offenen QR Code direkt neben dem Rubbelfeld einlesen...
Gegenfrage: Was soll das BSI denn tun, wenn Endanwender sich gefakte Apps installieren und dort ihre Zugangsdaten eingeben?
Aus dem Artikel: "Der unter Laborbedingungen demonstrierte Angriff ist nur möglich, da sich der Online-Personalausweis beim Starten der AusweisApp auf eine technische Lösung verlässt, von der sowohl Google als auch Apple grundsätzlich abraten. Wird eine persönliche Identifikation über den Online-Ausweis angefordert – etwa beim Abruf des Punktstandes in Flensburg – öffnen entsprechende Dienste-Anbieter die AusweisApp mit einem so genannten Deeplink."
Hier ist durchaus Optimierungspotential.
auf eine technische Lösung verlässt, von der sowohl Google als auch Apple grundsätzlich abraten
Gerade dazu ist aber leider keine Quelle verlinkt. Google promotet selbst die Verwendung von Deeplinks auf ihrer Ads-Plattform und in der Doku von Android steht auch nicht drin, dass man dieses Feature nicht nutzen sollte.
Ich trage Verantwortung und habe keinen lol
Die "Lücke" die hier beschrieben wird, nutze ich als Feature, damit sich angeklickte YT Links in NewPipe statt Youtube öffnen, lol.
Solange das nur die guten Haker machen, ist doch alles in Ordnung. Oder hat sich schon ein böser Haker gemeldet, der das im Verborgenen gemacht und ausgenutzt hat?
this post was submitted on 16 Feb 2024
133 points (97.8% liked)
ich_iel
9097 readers
1 users here now
Die offizielle Zweigstelle von ich_iel im Fediversum.
Alle Pfosten müssen den Titel 'ich_iel' haben, der Unterstrich darf durch ein beliebiges Symbol oder Bildschriftzeichen ersetzt werden. Ihr dürft euch frei entfalten!
📱 Empfohlene Schlaufon-Applikationen für Lassmich
Befreundete Kommunen:
Regeln:
1. Seid nett zueinander
Diskriminierung anderer Benutzer, Beleidigungen und Provokationen sind verboten.
2. Pfosten müssen den Titel 'ich_iel' oder 'ich iel' haben
Nur Pfosten mit dem Titel 'ich_iel' oder 'ich iel' sind zugelassen. Alle anderen werden automatisch entfernt.
Unterstrich oder Abstand dürfen durch ein beliebiges Textsymbol oder bis zu drei beliebige Emojis ersetzt werden.
3. Keine Hochwähl-Maimais oder (Eigen)werbung
Alle Pfosten, die um Hochwählis bitten oder Werbung beinhalten werden entfernt. Hiermit ist auch Eigenwerbung gemeint, z.b. für andere Gemeinschaften.
4. Keine Bildschirmschüsse von Unterhaltungen
Alle Pfosten, die Bildschirmschüsse von Unterhaltungen, wie beispielsweise aus WasistApplikaton oder Zwietracht zeigen, sind nicht erlaubt. Hierzu zählen auch Unterhaltungen mit KIs.
5. Keine kantigen Beiträge oder Meta-Beiträge
ich_iel ist kein kantiges Maimai-Brett. Meta-Beiträge, insbesondere über gelöschte oder gesperrte Beiträge, sind nicht erlaubt.
6. Keine Überfälle
Wer einen Überfall auf eine andere Gemeinschaft plant, muss diesen zuerst mit den Mods abklären. Brigadieren ist strengstens verboten.
7. Keine Ü40-Maimais
Maimais, die es bereits in die WasistApplikation-Familienplauderei geschafft haben oder von Rüdiger beim letzten Stammtisch herumgezeigt wurden, sind besser auf /c/ichbin40undlustig aufgehoben.
8. ich_iel ist eine humoristische Plattform
Alle Pfosten auf ich_iel müssen humorvoll gestaltet sein. Humor ist subjektiv, aber ein Pfosten muss zumindest einen humoristischen Anspruch haben. Die Atmosphäre auf ich_iel soll humorvoll und locker gehalten werden.
9. Keine Polemik, keine Köderbeiträge, keine Falschmeldungen
Beiträge, die wegen Polemik negativ auffallen, sind nicht gestattet. Desweiteren sind Pfosten nicht gestattet, die primär Empörung, Aufregung, Wut o.Ä. über ein (insbesonders, aber nicht nur) politisches Thema hervorrufen sollen. Die Verbreitung von Falschmeldungen ist bei uns nicht erlaubt.
Bitte beachtet auch die Regeln von Feddit.de
founded 1 year ago
MODERATORS