dave-ïnïtïv
K. Olbe@fehlfarbe Klingt so...
haagch@fehlfarbe @david_zwei Steht sogar explizit hier: https://support.fairtiq.com/hc/de/articles/208291845--Anforderungen-f%C3%BCr-die-Verwendung-von-FAIRTIQ
Außerdem: "Auf Android verwendet FAIRTIQ die Standortdienste von Google. Daher sind aktuelle Huawei-Telefone, wie das P40 und das Mate 30, leider nicht mit FAIRTIQ kompatibel."
Den Zwang zu bestimmten Betriebssystemen und besonders proprietärer Software und Datenschutzbedingungen von Firmen außerhalb der EU dürfte die EU langsam gerne mal verbieten.
André@haagch @fehlfarbe @david_zwei Das Problem ist, dass die Anbieter der Produkte verplfichtet sind, sicherzustellen, dass die Daten in einer vertrauenswürdigen Umgebung laufen.
Das kommt entweder aus der Google Attestation oder der Apple Attestation - daher sind gerootetes Handy oder alternative Betriebssysteme hier raus.
Die EU müsste also eine alternative Attestierung von Hardware bis hoch in die App definieren, sonst sind wir weiterhin auf Google/Apple angewiesen.
@asltf @haagch @david_zwei ein altes Android, das seit Jahren nicht gepatcht wurde, weils keine Updates mehr gibt, wirkt für mich nicht besonders vertrauenswürdig.
Aber vermutlich war die Gesetzgebung da mal wieder gut gemeint, geht aber an der Realität vorbei. Und ich hätte sogar Angst daran was zu ändern, weil am Ende noch entschieden wird, dass ich mein Konto nicht mehr über die Sparkassen Webseite über den (UNSICHEREN!!!) Browser bedienen darf 🙈
@fehlfarbe @haagch @david_zwei Das ist das obskure daran.
Für die alten OS gibt es meistens ja bekannte Schwachstellen.
Aber, wenn die Play Integrity Services jetzt bei veralteten Geräten ohen aktiove Updates quasi auch die Attestation verweigern würden, wäre das Geschrei (geplante Obsoleszenz) noch lauter.
Ich würde hoffen, die EU erkennt das Potential hier und nimmt einfach mal Geld in die Hand, dass alle Hersteller alternative integrity Services einbauen müssen (wie die Vorgabe mit USB-C)
@fehlfarbe @haagch @david_zwei OTOH werden dann aber auch wieder andere sagen, dass es pribzipiell vom Regen in die Traufe wäre, weil man ja dem Staat(enbund EU) auch nicht vertrauen möchte
@asltf @fehlfarbe @david_zwei Das Problem ist die Einbildung, dass man sichere vom Benutzer kontrollierte Umgebungen haben kann, das ist nur eine Wette, dass die Leute keine Lust haben, ständig zu reverse engineeren.
Fahrkarten sollten andersherum funktionieren, mit im ÖPNV fest installierten QR/NFC Scannern.
In Brüssel z.B. kann man ohne Fahrkarte direkt mit diversen Bankkarten in jedem Bus/Tram/Metro direkt an einem Kartenleser zahlen (wenn es denn funktioniert).
@haagch @fehlfarbe @david_zwei
Nein, es nicht nur Katz und MAus Spiel gegen reverse engineering.
Bei vielen Dingen ist vor allem die Attestierung wichtig, dass die Schlüssel sicher in Hardware stecken und damit nicht aus dem Gerät auf ein anderes Übertragen werden können.
Aber um der Attestierung der Hardware zu vertrauen, muss man auch dem Environment vertrauen, in dem die Attestierung erfolge - das also auch nicht nur ein MITM ist.
@haagch @fehlfarbe @david_zwei
"In Brüssel z.B. kann man ohne Fahrkarte direkt mit diversen Bankkarten in jedem Bus/Tram/Metro direkt an einem Kartenleser zahlen (wenn es denn funktioniert)."
Und diese Karten sind sichere Betriebsumgebungen, EAL4 oder höher Zertzifiziert - genau das was man mit dem TEE und der Attestation auch versucht nachzubilden - weswegen du von deinem OS teilweise ausgeschlossen wirst
@asltf @fehlfarbe @david_zwei Info über Datenextraktion aus diversen secure enclave Implementierungen findet man im Internet schon, aber eigentlich sollte der Punkt sein, dass das System gar nicht erst darauf ausgelegt sein sollte, dass man Smartphones als irgendwie sicher betrachtet, sondern dass z.B. QR Codes direkt übers Internet verteilt und validiert werden.
Und wie hoch ist der Schaden, bei temporärem Internetausfall einen betrügenden (registrierten!) Account erst retroaktiv zu erkennen?
Und wie hoch ist der Schaden, bei temporärem Internetausfall einen betrügenden (registrierten!) Account erst retroaktiv zu erkennen?