Sicherheit von Apps im Store

  • Antworten:21
Moritz L. 14
Moritz L.
  • Forum-Beiträge: 434

11.01.2010, 21:42:46 via Website

Soviel zum Thema Virenscanner sind für Android überflüssig...

Ich bin gespannt, wie Google das angesichts von Chrome OS mit Online-Programmen und Apps hinbekommen will. Halte ich für recht problematisch.

— geändert am 11.01.2010, 21:42:57

Antworten
18
Gelöschter Account
  • Forum-Beiträge: 602

11.01.2010, 21:49:59 via Website

Ich glaube nicht, dass ein Virenscanner hier irgendwas gefunden hätte. Wenn einfach nur Logindaten an einen Server gesendet werden, ist das für einen Virenscanner kaum rauszubekommen. Das Programm hat sich ja nicht, wie ein Virus, in das System gehackt oder sich irgendwie im Hintergrund verbreitet.

Antworten
Markus Gu 33
Markus Gu
  • Forum-Beiträge: 2.644

11.01.2010, 21:55:37 via Website

Moritz L.
Soviel zum Thema Virenscanner sind für Android überflüssig...

sind ganz sicher überflüssig.

was ist wenn man software am pc installiert? erkennt der virenscanner sowas?? nein aber sicher nicht - und am android hat man zumindest noch die berechtigungen, die man sieht.

wenn eine app aber internet nutzt, dann kann das vieles heißen, muss aber nicht böswillig sein.

swordiApps Blog - Website

Antworten
Moritz L. 14
Moritz L.
  • Forum-Beiträge: 434

11.01.2010, 22:05:04 via Website

Markus G.
und am android hat man zumindest noch die berechtigungen, die man sieht.

wenn eine app aber internet nutzt, dann kann das vieles heißen, muss aber nicht böswillig sein.

Damit entkräftigst du deine eigene Aussage selbst. Eine Banking-App muss eben aufs Internet zugreifen... ist doch logisch. Und ja, selbstverständlich erkennt ein Virenscanner virenbehaftete Software/Dateien - dafür ist er da.

Ich sage nicht, dass ein Virenscanner hier geholfen hätte. Aber die Meinung, die hier irgendwo neulich verbreitet wurde, der Android-Markt sei für Hacker noch nicht wirklich interessant, ist wohl damit obsolet. Vorsicht ist in jedem Fall geboten.

— geändert am 11.01.2010, 22:08:11

Antworten
11
Fabian B.
  • Forum-Beiträge: 7

11.01.2010, 22:24:28 via Website

Sowas ist sicher ziemlich Ärgerlich, wird sich aber auf Dauer nicht ganz vermeiden lassen.

Ein Programm zum Online-Banking braucht nun einmal Zugriff aufs Internet, auch wenn es nicht böswillig ist.

Und Anwendungen einer Prüfung zu unterziehen so wie Apple das macht wird das auch nicht ganz verhindern können.
Ohne Quellcode ist eine Überprüfung kaum möglich da die bösartige Phishing / Malware Funktion ja einfach mit einem Timer / Trigger versehen werden könnte damit sie während der Überprüfung nicht auffällt.
Und selbst wenn der Quellcode vorliegt ist es sehr aufwendig das Programm zu überprüfen.
Es gibt wunderbare Möglichkeiten als Programmierer sein Programm so unkonventionell und schwer durchschaubar zu schreiben das es schwierig wird bösartige Funktionen in dem Programm zu finden.

Kann man kurz zusammenfassen mit: kostet viel und funktioniert letztendlich nicht wirklich
Und das Virenscanner dagegen viel ausrichten können glaube ich auch noch nicht, ein Virenscanner der als Android Programm in ner VM läuft hätte ja nicht mehr Rechte wie das potentielle Schadprogramm, könnte also da mal garnichts erkennen und ausrichten.

Ist halt so wie auf dem Desktop PC auch, jeder muss selber genau überlegen was er aus welchen Quellen installiert.

Antworten
18
Gelöschter Account
  • Forum-Beiträge: 602

11.01.2010, 22:32:08 via Website

Fabian Berstecher
Ist halt so wie auf dem Desktop PC auch, jeder muss selber genau überlegen was er aus welchen Quellen installiert.

Aus dem Grund gucke ich (je nach Maß der geforderten Berechtigungen), welcher Programmierer dahinter steckt. Bei größeren Firmen kommt natürlich auch etwas mehr Vertrauen auf, als bei Privatpersonen.
Das ist zwar keine 100%ige Versicherung (die gibt es wohl nicht) - aber besser als blind installieren.

Antworten
Markus Gu 33
Markus Gu
  • Forum-Beiträge: 2.644

11.01.2010, 22:35:35 via Website

Moritz L.
Markus G.
und am android hat man zumindest noch die berechtigungen, die man sieht.

wenn eine app aber internet nutzt, dann kann das vieles heißen, muss aber nicht böswillig sein.

Damit entkräftigst du deine eigene Aussage selbst. Eine Banking-App muss eben aufs Internet zugreifen... ist doch logisch. Und ja, selbstverständlich erkennt ein Virenscanner virenbehaftete Software/Dateien - dafür ist er da.

was entkräftige ich meine aussage?

ich sagte, dass eine app nunmal internet zugang benötigt und kein user dahinter etwas böses vermuten muss ( außer bei apps, die ohne inet auch funktioneren, da kann man sich mal gedanken machen - aber schon alleine wenn man werbung darin hat muss man internet zulassen )

ein anti virus programm arbeitet so, dass er bestimmte - BEKANNTE - viren findet. ein programm findet nicht viren einfach so - bestimmte merkmale müssen bekannt sein und jede app wird auf diese merkmale überprüft. nichts weiter. und das auslesen von bankdaten wird schwer zu checken sein, ohne dass es dabei bestimmte merkmale gibt, welche der antiviren software herstellen prüfen lassen kann.

klingt kompliziert - ist es auch ;)

swordiApps Blog - Website

Antworten
Ben A. 18
Ben A.
  • Forum-Beiträge: 788

11.01.2010, 22:36:12 via Website

Naja....ich denke das Virenscanner schon wichtig werden könnten, aber erst dann wenn es auch Viren gibt, die es zu entlarven gilt ;)

Den Prüfprozess wie bei Apple finde ich sehr mühsam...und dann bei jedem Update die komplette App nochmal prüfen?
Ich würde in dem Fall eine Art "Gütesiegel" vorziehen, wo einfach bestimmte Apps (meiste downloads oder was auch immer) einer Prüfung von Google unterzogen werden...

Antworten
Jack-In-Da-Box 26
Jack-In-Da-Box
  • Forum-Beiträge: 1.569

11.01.2010, 22:43:28 via Website

Ich habe irgendwo gelesen (finde den Link nicht mehr), dass diese Software quasi die Anmeldung auf diversen Bank-Webseiten
vereinfachen sollte. Anders gesagt: Der Nutzer hat seine Daten in diese App eingetragen und diese hat nichts weiter gemacht,
als die entsprechende Webseite aufzurufen (Mal abgesehen davon, die Daten auch an fragwürdige Server zu übertragen).

Dagegen hilft KEIN Virenscanner oder ähnliches. Wer so blöd ist seine Zugangsdaten einer Software eines Drittanbieters
anzuvertrauen, darf sich nicht wundern, wenn damit Missbrauch getrieben wird!

[edit] Rechtschreibfehler korrigiert [/edit]

— geändert am 11.01.2010, 22:44:52

AndroidPIT-Regeln || AndroidPIT-UserMap

Antworten
Markus Gu 33
Markus Gu
  • Forum-Beiträge: 2.644

12.01.2010, 09:25:47 via Website

Jack- In-Da-Box
Ich habe irgendwo gelesen (finde den Link nicht mehr), dass diese Software quasi die Anmeldung auf diversen Bank-Webseiten
vereinfachen sollte. Anders gesagt: Der Nutzer hat seine Daten in diese App eingetragen und diese hat nichts weiter gemacht,
als die entsprechende Webseite aufzurufen (Mal abgesehen davon, die Daten auch an fragwürdige Server zu übertragen).

Dagegen hilft KEIN Virenscanner oder ähnliches. Wer so blöd ist seine Zugangsdaten einer Software eines Drittanbieters
anzuvertrauen, darf sich nicht wundern, wenn damit Missbrauch getrieben wird!

[edit] Rechtschreibfehler korrigiert [/edit]

hehe wenn das wirklich so ist, na dann hiflt die beste software nicht dagegen ;) es ist erschreckend wie blöd sich manche menschen verhalten und hinterher regen sie sich dann auf.

ein wenig mitdenken würde vielen menschen glaub ich gar nicht mal so sehr schaden, wie sie vermuten :)

swordiApps Blog - Website

Antworten
Jack-In-Da-Box 26
Jack-In-Da-Box
  • Forum-Beiträge: 1.569

12.01.2010, 13:05:51 via Website

lol... wie recht du hast :P

— geändert am 12.01.2010, 13:06:01

AndroidPIT-Regeln || AndroidPIT-UserMap

Antworten
Jack-In-Da-Box 26
Jack-In-Da-Box
  • Forum-Beiträge: 1.569

13.01.2010, 11:12:41 via Website

Hersteller der App ist "Star Finanz GmbH", die diese App im Auftrag der Sparkassen hergestellt hat.
(Im übrigen auch die PC-Anwendung "Star Money" herstellt und vertreibt)

Ich denke, dass die Sparkassen sehr genau darauf achten, was der Hersteller in ihrem Namen
produziert. Schliesslich haben die Sparkassen einen Namen zu verlieren, da man diese
Anwendung auch offiziell bei den Sparkassen beziehen kann.

Und nicht zuletzt ist Star Finanz schon sehr lange im Geschäft, sodas auch die es sich nicht
erlauben können unfung damit zu machen.

AndroidPIT-Regeln || AndroidPIT-UserMap

Antworten
Markus Gu 33
Markus Gu
  • Forum-Beiträge: 2.644

13.01.2010, 11:14:29 via Website

können überweisungen wirklich so dringend sein, dass man sie nicht zuhause machen kann? ob ich um 13:00 uhr überweise oder um 16 uhr - das geld kommt sowieso nicht früher an.

und ganz ehrlich, warum sollte ich sowas überhaupt am händy machen. ist ja nicht grade komfortabel.

und nochmal ehrlicher ( und wie schon gesagt ) - beim umgang mit apps am händy ( auch am pc ) einfach mal ein wenig nachdenken, dann kann man 99% der fehler schonmal nicht machen.

nur leider sind user oft viel zu naiv und nehmen viele risiken in kauf, für nur ein paar % mehr komfort

swordiApps Blog - Website

Antworten
Jack-In-Da-Box 26
Jack-In-Da-Box
  • Forum-Beiträge: 1.569

13.01.2010, 11:29:07 via Website

Da muss ich Dir Recht geben... Ich nutze die S-Banking-App auch hauptsächlich nach dem Prinzip:
Wieviel ist auf welchem Konto und welche EC-Karte muss ich dann nutzen, um Geld zu "ziehen"
oder zum Bezahlen. Überweisungen habe ich bisher damit noch nicht getätigt. Dazu müsste ich
diverse TAN-Listen oder Sm@rt-TAN-Geräte mit mir rumschleppen - unpraktisch.

AndroidPIT-Regeln || AndroidPIT-UserMap

Antworten
31
Gelöschter Account
  • Mod
  • Forum-Beiträge: 3.188

13.01.2010, 11:34:59 via Website

können überweisungen wirklich so dringend sein, dass man sie nicht zuhause machen kann? ob ich um 13:00 uhr überweise oder um 16 uhr - das geld kommt sowieso nicht früher an.

Das verstehe ich auch nicht ganz. Überweisungen werden doch eh erst zum Tageswechsel ausgeführt wenn ich nicht irre. Ausserdem braucht man da ja auch noch eine TAN aus einer Liste, die man mitschleppen müsste. Oder will jemand noch wahnsinniger sein und seine TANs auf dem Handy abspeichern ??

Wenns um die Abfrage des Kontostands oder der Umsätze geht, warum nicht über die Website der Banken und Sparkassen gehen, wenns den unbedingt sein muss ?

EDIT: Hat sich mit Jack überschnitten ...

— geändert am 13.01.2010, 11:35:51

Antworten
Markus Gu 33
Markus Gu
  • Forum-Beiträge: 2.644

13.01.2010, 11:57:53 via Website

Jack- In-Da-Box
Da muss ich Dir Recht geben... Ich nutze die S-Banking-App auch hauptsächlich nach dem Prinzip:
Wieviel ist auf welchem Konto und welche EC-Karte muss ich dann nutzen, um Geld zu "ziehen"
oder zum Bezahlen. Überweisungen habe ich bisher damit noch nicht getätigt. Dazu müsste ich
diverse TAN-Listen oder Sm@rt-TAN-Geräte mit mir rumschleppen - unpraktisch.

aber auch zum abfragen muss sich wohl einloggen. ist ja auch das gleiche.

ich habe leider das problem nicht, dass ich soviel geld habe, dass ich es mir nicht einen tag lang ungefähr merken kann :) hatte noch nie unterwegs das bedürfnis nachzusehen ob ich noch genung geld hab. das weiß ich auch so immer. vor allem da ich sowieso zu 99% bar zahle und geld bei mir habe :)

swordiApps Blog - Website

Antworten
31
Gelöschter Account
  • Mod
  • Forum-Beiträge: 3.188

13.01.2010, 12:07:42 via Website

Ist die Frage ob eine App eine andere App wie einen Browser einfach abhören kann. Zudem müsste ja für jede Bank rausgefiltert werden wo und wie die Zugangsdaten eingegeben werden.
Da ist eine eigene App, wie die die da aufgetaucht ist, natürlich einfacher ...

Antworten
Jack-In-Da-Box 26
Jack-In-Da-Box
  • Forum-Beiträge: 1.569

13.01.2010, 12:12:48 via Website

Im Falle der S-Banking-App baut die eine https-Verbindung auf. Wenn eine fremde App DAS abfangen kann,
kann sie das auch, wenn du das gleiche im Browser machst - denke ich.

AndroidPIT-Regeln || AndroidPIT-UserMap

Antworten
Markus Gu 33
Markus Gu
  • Forum-Beiträge: 2.644

13.01.2010, 12:14:16 via Website

ja is klar

es gibt auch apps, die vertrauenswürdig sind. ist ja auch gut so - nur trotzdem lieber vorsicht als nachsicht.

swordiApps Blog - Website

Antworten
Jack-In-Da-Box 26
Jack-In-Da-Box
  • Forum-Beiträge: 1.569

13.01.2010, 12:25:05 via Website

Auch da stimme ich Dir zu... Es ist immer ne Abwägung, die man zu treffen hat...
Irgendwie so: "Man kann auch über die Strasse gehen und vom Auto erfasst werden".
Letztenendes muss das jeder mit sich selbst ausmachen, welche Risiken man eingeht.

Im Falle der App, von der bei Heise berichtet wurde, kann ich aber für MICH sagen, dass
ich niemals meine Daten einem "Droid09" anvertraut hätte oder sonst wem...

"Star Finanz" dagegen kenne ich schon lange Jahre und habe gute Erfahrungen mit denen
gemacht. Und Überweisungen tätige ich nicht mit deren App weil ich denen nicht traue,
sondern es aus meiner Sicht nicht praktikabel ist, TAN-Listen oder Sm@rt-TAN-Geräte
zusätzlich mit mir rum zu tragen. Da hätte ich zu viel Angst, dass ich das irgendwo, irgendwie
verliere. Sowas hat Zeit, bis ich wieder zuhause bin.

Und da nutze ich dann entweder den Browser oder "Star Money", da man da noch zusätzliche
und nützliche Zusatzfunktionen hat. Z.B. Kategorien - ganz ähnlich wie in deiner App - mit
grafischer Auswertung etc pp...

AndroidPIT-Regeln || AndroidPIT-UserMap

Antworten