Im letzten Jahr hatte ich eine Kreditkarte bei der Sparkasse beantragt — Mastercard war das einzige was im Angebot war, aber gut.
Also beantragt und direkt nach Erhalt einmal benutzt. Schon der zweite Versuch ging in die Hose, da aufgrund von Vorschriften eine Form von MFA1 zum Einsatz kommen müsse. Ich möge doch bitte die S-ID-Check App der Sparkasse auf meinem Androidgerät installieren. Gesagt getan. Aber huch, die App verweigerte den Dienst, denn mein Androidgerät ist aus Privatsphäre- und Sicherheitsgründen2 gerootet. Also schnell angefragt bei der Sparkassenberaterin. Ja, es gäbe da noch die Option auf die Nutzung von FIDO2. Ah, super … für mich der erste praktische Anwendungsfall privat, also schnell vom empfohlenen Sparkassen-Shop ein Feitian ePass Fido2 A4B bestellt.
Das war nach ein paar Tagen auch da. Jetzt wurde es schon erstmals bizarr. Bei meiner Sparkasse auf der Webseite gab es keinerlei Dokumentation zum Vorgehen, bei irgendeiner Sparkasse aus Friesland dann hingegen schon. Also hin zu www.online-zahlen-mit-fido.de und Registrierung gestartet.
Und das war es dann, was man als Linuxnutzer zu sehen bekam:
Das Freche daran: mein Browser unterstützt sehr wohl die Nutzung von FIDO2 von Linux aus3 und die Beschränkung ist wohl ganz einfach eine künstlich geschaffene der PLUSCARD Service-Gesellschaft für Kreditkarten-Processing mbH, bei der man die Registrierung vornehmen soll.
Auf Anfrage kam folgende erhellende Antwort:
Die wichtigste Information zuerst. Der FIDO Token ist in unserem Haus nur mit Windows 10 und macOS (Big Sur) und höher kompatibel.
Alle anderen Betriebssysteme sind von diesem Bezahlverfahren leider ausgeschlossen.
Leider steht da nicht: “Windows 10 und macOS (Big Sur) und besser“, sonst hätte man ja noch diskutieren können 😉
Zu Ihrer zweiten Frage, warum die App nicht auf einem gerooteten Handy genutzt werden kann.
Die Installation der App S-ID-Check kann generell nicht auf gerooteten Geräten durchgeführt werden. Grund hierfür sind die Vorgaben der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). Diese besagen, dass verschiedene Sicherheitsvorkehrungen zu treffen sind, wenn der Einkauf als auch die Legitimation der Zahlung über das gleiche Gerät erfolgen.
Die Annahme ich wolle auf dem gleichen Endgerät auf dem ich diese S-ID-App einsetze auch Käufe vornehmen ist zumindest eine gewagte. Wäre mir bis dahin nicht in den Sinn gekommen, aber ist jenes Szenario was verhindert werden muß.
Und weiter:
In diesem Fall muss verhindert werden, dass das Original-Betriebssystem verändert wurde. Dies hat den Ausschluss von gerooteten Geräten zur Folge. Auch bei vergleichbaren Apps am Markt, mit welchen Zahlungen ausgelöst werden können oder auch bei Online-Banking Apps ist diese Konfiguration zu beobachten. Ein Rooting wird in der Regel immer ausgeschlossen.
Das stimmt wohl, auch bei meiner isländischen Bank habe ich bei deren App das Problem. Fazit scheint mir: Rooten == generell böse und unsicher.
Es stellte sich übrigens auch heraus, daß die FAQ der Firma in der Tat die Nutzung von FIDO4. Der Wortlaut aus der FAQ (bis zum Tag der Veröffentlichung dieses Beitrags):
FIDO ist mit Windows (ab Windows 10) und macOS (ab Big Sur) nutzbar.
Habe dann einen alternativen Wortlaut vorgeschlagen 😉:
Nutzen Sie ein anderes Betriebssystem als Windows (ab Windows 10) oder macOS (ab Big Sur), verweigern wir Ihnen die Registrierung und Aktivierung Ihres FIDO2-Tokens, sowie dessen Nutzung.
Ebenfalls hatte ich noch geschrieben:
Lassen Sie mich gern wissen, sobald auch Ihre Firma die “Betriebssystem-Apartheid” abgeschafft hat, die ich aufgrund des Plattform-Charakters bei browserbasierten Technologien seit Jahren für Geschichte hielt.
Die Kreditkarte wurde dann nach einmaliger Nutzung seitens der Sparkasse rückabgewickelt. Nächster Versuch wird eventuell dieses Jahr eine Visa-Karte, da die offenbar als Ersatz für die maestro-Karten ab diesem Jahr ausgegeben werden sollen.
Ist schon ein starkes Stück, daß man aufgrund der Nutzung eines bestimmten Betriebssystems einfach ausgeschlossen wird.
// Oliver
- Multi-Faktor-Authentifizierung [↩]
- Ja, Sicherheitsgründe, denn ohne Rooten kann man diverse fragwürdige Konstrukte die einem mitgeliefert werden nicht deaktivieren; ADB reicht einfach nicht für alles. [↩]
- Es gibt auch diverse Webseiten auf denen man das direkt aus dem Browser heraus prüfen kann. [↩]
- Gemeint ist dort immer FIDO2, obwohl die mißverständliche Nutzung von “FIDO” auch dazu führen könnte zu meinen es sei von FIDO U2F die Rede … [↩]
Naja, ein Linux-Desktop-System ist ja auch immer irgendwie “gerootet”, sprich man hat root Rechte (“Windows – reboot! / Linux – be root!”) und kann Dank open source jede beliebige Manipulation am System vornehmen, was man bei gerooteten Android-Systemen eben auch könnte, da es sich ja im Grunde auch um ein Linux-System handelt.
In sofern zumindest in gewisser Weise konsequent “freie” Betriebsysteme auszuschließen, wenngleich immer noch ärgerlich und kundenbevormundend.
Ich hatte SuperSU vor einigen Jahren genutzt,um Root vor Bankprogrammen zu verstecken. Wie der Stand aktuell ist, kann ich aber nicht sagen. Beim darauffolgenden Handy habe ich auf Root verzichtet.
Hehe, die Rechte man kann doch auch auf Windows erlangen. Und wie man sich auf diversen Ebenen in den Browser einklinkt auch ganz ohne Rootrechte, ist auch landläufig bekannt. Offenbar ist es aber bequemer sich auf den Standpunkt zurückzuziehen daß Root automatisch böse bzw. unsicher sei und den Rest zu ignorieren.
Prinzipiell kann Magisk das eigentlich auch mit dem Verstecken, ist wohl aber nicht in allen Fällen zuverlässig. Und da man auf meinem Samsung-Handy ja Knox “triggern” muß um überhaupt rooten zu können, vermute ich einmal daß es mit der Nichtverfügbarkeit von Knox zu tun hat (die leider auch bedingt, daß die Nutzung eines Arbeitsprofils nicht mit den Standardapps funktioniert; für mich der größere Verlust im Vergleicht zu den Bankingapps ). Auf einem nichtgerooteten Tablet benutze ich das Arbeitsprofil (meinetwegen könnte es auch ein dutzend verschiedene voneinander getrennte geben) um diverse datenhungrige Apps abgetrennt vom Hauptsystem zu betreiben. Das Rooten beim Handy hatte gewisse Gründe und leider ließ ADB allein nicht zu was ich tun wollte. Also blieb nur dieser Schritt. Ansonsten vermeide ich es auch wenn es sich machen läßt. Schon allein weil OTA-Updates um Längen bequemer sind als manuelles Herunterladen der 7 GiB Update-Pakete, Behandlung mit Magisk und dann flashen per ODIN.