dave-ïnïtïv
K. Olbe@fehlfarbe Klingt so...
@fehlfarbe Mit /e/OS und Fairphone geht die App übrigens.
@david_zwei ich hab ein vanilla Android ohne Google Services bzw. stattdessen mit microG. Ich denke, daran stört er sich. Ich kann natürlich auch wieder die uralte Original Firmware aufspielen. Dann geht die App vermutlich 🤡
mithos@fehlfarbe @david_zwei Ich frage mich, ob mein altes, ausgemustertes Samsung S9+ von 2018 dafür reichen würde. Es hat allerdings keine Telefonnummer und Netz nur via Tethering.
Edit: So als "Burner Phone" für unwichtige Dinge wie Banking und Fahrkarten.
@mithos @david_zwei muss man dann halt immer zwei Telefone mitschleppen und eines Tages kommt dann vielleicht ein App Update, das mindestens Android11 braucht oder so.
Was mich bei der Fahrkartenproblematik am meisten stört ist ja, dass ich stets 'nen vollen Akku und 'ne Internetverbindung brauche, sonst bin ich bei 'ner Kontrolle Schwarzfahrer. Dazu kommen noch Bugs in der App und deren Backend für die ich am Ende nix kann.
Mit 'nem Fahrschein aus Papier oder meinetwegen 'ner Plastikkarte muss der Verkehrsbetrieb halt seinen Scheiß in Ordnung und funktionsfähig halten und ist damit in der Verantwortung. Wenn dann Kontrollgerät oder das Backend dahinter kaputt sind oder das Ding keinen Empfang oder Akku hat, isses nicht mein Problem.
Schneckbert 🐌@fehlfarbe @david_zwei können sie drum bitten, verständnis hab ich trotzdem keins für.
haagch@fehlfarbe @david_zwei Steht sogar explizit hier: https://support.fairtiq.com/hc/de/articles/208291845--Anforderungen-f%C3%BCr-die-Verwendung-von-FAIRTIQ
Außerdem: "Auf Android verwendet FAIRTIQ die Standortdienste von Google. Daher sind aktuelle Huawei-Telefone, wie das P40 und das Mate 30, leider nicht mit FAIRTIQ kompatibel."
Den Zwang zu bestimmten Betriebssystemen und besonders proprietärer Software und Datenschutzbedingungen von Firmen außerhalb der EU dürfte die EU langsam gerne mal verbieten.
@haagch @david_zwei ist ja am Ende dasselbe Problem mit Banking Apps. Auf meinem Rechner kann ich das alles einfach per Browser machen, egal welches OS ich installiert habe. Aber bei ner Smartphone App brauche ich unbedingt OS XY mit der Schnüffelsoftware der Hersteller, weils sonst zU uNsIcHeR ist 🤡
@fehlfarbe @david_zwei Ich selbst verwende jetzt das Deutschlandticket mit der Stuttgarter NFC Polygocard, obwohl es sich für mich nicht wirklich lohnt.
Aber immerhin habe ich damit keinen Stress mit Tickets mehr.
Für Leute, die aufs Geld schauen müssen (aber nicht mit ÖPNV pendeln) kann das aber nicht die Lösung sein.
@haagch @fehlfarbe (Ich fahre nur max. 2x/jährl. mit ÖPNV. Und ich habe ein Trauma, weil ich des Schwarzfahrens bezichtigt wurde, weil mein Handy ausgeschaltet war.)
André@haagch @fehlfarbe @david_zwei Das Problem ist, dass die Anbieter der Produkte verplfichtet sind, sicherzustellen, dass die Daten in einer vertrauenswürdigen Umgebung laufen.
Das kommt entweder aus der Google Attestation oder der Apple Attestation - daher sind gerootetes Handy oder alternative Betriebssysteme hier raus.
Die EU müsste also eine alternative Attestierung von Hardware bis hoch in die App definieren, sonst sind wir weiterhin auf Google/Apple angewiesen.
@asltf @haagch @david_zwei ein altes Android, das seit Jahren nicht gepatcht wurde, weils keine Updates mehr gibt, wirkt für mich nicht besonders vertrauenswürdig.
Aber vermutlich war die Gesetzgebung da mal wieder gut gemeint, geht aber an der Realität vorbei. Und ich hätte sogar Angst daran was zu ändern, weil am Ende noch entschieden wird, dass ich mein Konto nicht mehr über die Sparkassen Webseite über den (UNSICHEREN!!!) Browser bedienen darf 🙈
@fehlfarbe @haagch @david_zwei Das ist das obskure daran.
Für die alten OS gibt es meistens ja bekannte Schwachstellen.
Aber, wenn die Play Integrity Services jetzt bei veralteten Geräten ohen aktiove Updates quasi auch die Attestation verweigern würden, wäre das Geschrei (geplante Obsoleszenz) noch lauter.
Ich würde hoffen, die EU erkennt das Potential hier und nimmt einfach mal Geld in die Hand, dass alle Hersteller alternative integrity Services einbauen müssen (wie die Vorgabe mit USB-C)
@fehlfarbe @haagch @david_zwei OTOH werden dann aber auch wieder andere sagen, dass es pribzipiell vom Regen in die Traufe wäre, weil man ja dem Staat(enbund EU) auch nicht vertrauen möchte
@asltf @fehlfarbe @david_zwei Das Problem ist die Einbildung, dass man sichere vom Benutzer kontrollierte Umgebungen haben kann, das ist nur eine Wette, dass die Leute keine Lust haben, ständig zu reverse engineeren.
Fahrkarten sollten andersherum funktionieren, mit im ÖPNV fest installierten QR/NFC Scannern.
In Brüssel z.B. kann man ohne Fahrkarte direkt mit diversen Bankkarten in jedem Bus/Tram/Metro direkt an einem Kartenleser zahlen (wenn es denn funktioniert).
@haagch @fehlfarbe @david_zwei
Nein, es nicht nur Katz und MAus Spiel gegen reverse engineering.
Bei vielen Dingen ist vor allem die Attestierung wichtig, dass die Schlüssel sicher in Hardware stecken und damit nicht aus dem Gerät auf ein anderes Übertragen werden können.
Aber um der Attestierung der Hardware zu vertrauen, muss man auch dem Environment vertrauen, in dem die Attestierung erfolge - das also auch nicht nur ein MITM ist.
@haagch @fehlfarbe @david_zwei
"In Brüssel z.B. kann man ohne Fahrkarte direkt mit diversen Bankkarten in jedem Bus/Tram/Metro direkt an einem Kartenleser zahlen (wenn es denn funktioniert)."
Und diese Karten sind sichere Betriebsumgebungen, EAL4 oder höher Zertzifiziert - genau das was man mit dem TEE und der Attestation auch versucht nachzubilden - weswegen du von deinem OS teilweise ausgeschlossen wirst
@asltf @fehlfarbe @david_zwei Info über Datenextraktion aus diversen secure enclave Implementierungen findet man im Internet schon, aber eigentlich sollte der Punkt sein, dass das System gar nicht erst darauf ausgelegt sein sollte, dass man Smartphones als irgendwie sicher betrachtet, sondern dass z.B. QR Codes direkt übers Internet verteilt und validiert werden.
Und wie hoch ist der Schaden, bei temporärem Internetausfall einen betrügenden (registrierten!) Account erst retroaktiv zu erkennen?
Und wie hoch ist der Schaden, bei temporärem Internetausfall einen betrügenden (registrierten!) Account erst retroaktiv zu erkennen?