Ein europäisches Konsortium arbeitet an Unified Attestation als Open Source-Alternative zu Googles Play Integrity für Android. Das ist für Banking-Apps ein Thema, wenn diese auf Custom-ROMs laufen, wo kein Google Play Integrity vorhanden ist.
Es ist hier im Blog bereits öfters diskutiert worden: Wird auf einem Android-Gerät ein Custom-ROM (LineageOS etc.) installiert, machen Banking-Apps Probleme. Banking- und Identitäts-Apps für Android verwenden zur Geräteüberprüfung die Play Integrity API von Google. Dass soll helfen, Betrug zu bekämpfen, sensible Daten zu schützen und eine Geräte-Compliance durchzusetzen. Damit ist Google der "Gate-Keeper" für Zahlungsvorgänge oder eine Identitätsprüfung.
Dies will ein ein europäisches Konsortium um den europäischen Smartphone-Hersteller Volla, das Unternehmen hinter /e/OS, Murena, und das Team hinter iodé OS ändern. Sie schlagen die Open-Source-Alternative Unified Attestation vor. heise beleuchtet in diesem Artikel das Projekt.
MVP: 2013 – 2016
GrapheneOS scheint laut Golem deshalb auszuflippen: https://www.golem.de/news/banking-apps-und-custom-roms-grapheneos-wirft-volla-murena-und-iode-taeuschung-vor-2603-206314.html.
Sind Geräte von Volla, Murena, Iodé und SHIFT wirklich so schlecht und unsicher?
Keep Android Open (https://keepandroidopen.org/)
ist bei vielen Custom ROMs ja auch unten durch, obwohl es auf den ersten Blick vernünftig klingt.
Danke für deinen Bericht, Günni.
Ob es GrapheneOS mittelfristig überhaupt noch gibt? Die "Altersverifizierung" mit danach folgender obligatorischer digitaler ID wird das Projekt wohl brechen.
Naja, ein Unternehmen wie Volla, dass meinen Webbrowser vollbläht mit einem halbnackten, kleinen Mädchen als Videostream, da kriege ich schon Zuckungen aus zwei Gründen. Was soll so etwas, was hat das mit dem eigentlichen Anliegen zu tun, warum wird meine CPU-Leistung geraubt für so einen Kram…
GOS flippt nicht aus, sondern hat klare Kriterien und Kritiken, z.B. laut golem:
„Volla, Murena und Iodé verkaufen Produkte mit miserabler Sicherheit", erklärten die Entwickler von GrapheneOS. „Sie versäumen es, wichtige Patches und Schutzmaßnahmen bereitzustellen, und täuschen die Nutzer mit falschen Angaben zu Datenschutz und Sicherheit. Dazu gehört auch die Angabe eines falschen Android-Sicherheitspatch-Levels, obwohl Patches fehlen."
und
"Zur Lösung des Problems hat GrapheneOS folgenden Vorschlag: „Wenn Banken und Regierungen darauf bestehen, Geräte auf ihre Sicherheit zu überprüfen, sollten sie konkrete Standards definieren. Es sollte möglich sein, dass jedes noch so kleine Projekt kostenlos zertifiziert werden kann, und die Standards sollten fair durchgesetzt werden, damit Mainstream-Geräte ohne aktuelle Patches nicht zugelassen werden."
Standards sind wichtiger, genau das ist!
PS: Krass: ajax.googleapis.com, font.googleapis.com, fonts.gstatic.com; Volla krieg das noch nicht mal hin, eine googlefreie Website volla.online zu bauen und stellen sich als Retter gegen die Google-Dominanz da; für wie blöde halten die einen?
Sorry, das ist eine Verars…:
kein CSP, kein SRI hat die Website und andere Mängel, laxe Cookies: https://webbkoll.5july.net/de/results?url=http%3A%2F%2Fvolla.online%2F
sehr schwache Mailserver-Konfig, kein DMARC, kein MTA-STS, TLS-RPT, keine Applikation Security, STS, CSP etc: https://www.hardenize.com/report/volla.online/1774043338
Und die wollen was bitte? Sicherheit herstellen und eine Alternativ zu google sein?
Score D, 58 von 100:
z.B. „Your SPF record does not end with an „all" mechanism (-all, ~all, or ?all), which means there is no explicit policy for handling emails from servers not listed in your SPF record. Without a terminating directive, receiving mail servers may interpret your SPF policy inconsistently, potentially allowing unauthorized senders to spoof your domain."
https://dnsaudit.io/scan/volla.online?fresh=true
-> volla.online. 300 IN TXT „v=spf1 redirect=_spf.strato.com"