Android am Labtop nutzen = Tomorrow app über Labtop nutzen, aber wie?

Ich würde gerne ein Konto bei „Tomorrow“ einrichten. Ein kompatibles smartphone habe ich nicht, und werde es auch in Zukunft vermutlich nicht haben.

Um dennoch das Konto/die app nutzen zu können, habe ich eine android version versucht die am labtop funktioniert. Jetzt kann ich zwar android am labtop nutzen, leider wird mir noch immer gesagt, dass mein Gerät nicht kompatibel sei.
Welche Voraussetzungen muss ich denn erfüllen um die Tomorrow banking app am labtop zu benutzen?
Gibt es dazu vllt. schon ein tutorial?

Ein leicht verständliches Tutorial, könnte vermutlich einigen helfen, die nach einer Lösung suchen die Tomorrow Bank über den Labtop/Computer zu benutzen.

Was? Android am Labtop?
Ja, das funktioniert sogar ganz gut.
Schau mal hier:
android-x86(dot]org/
oder hier:
blissos(dot)org/

(ich habe noch nicht die nötigen Berechtigungen um links im Forum zu posten, deswegen in dieser Form)

Hallo @green, offizielle Unterstützung gibt es nur für die Apps im Play Store und im App Store. Darüber hinaus kannst du nur hoffen, dass es hier schonmal jemand erfolgreich probiert hat.

Hallo @tinuthir,
Nur um sicher zu gehen dass kein Missverständnis vorliegt.

Ich möchte die app aus dem GooglePlayStore nutzen. Dafür möchte ich Android nutzen.
Probleme habe ich dabei, dass mein Android Gerät die App nicht installieren konnte. Den Grund kenne ich leider nicht.

Weil ich kein smartphone benutzen möchte, nutze ich einen Laptop. Auf diesem Laptop habe ich Android installiert, und „alles“ funktioniert wie gewohnt.

Da Tomorrow bisher noch keinen Desktop client entwickelt hat, könnte ein einfach verständliches Tutorial, wie die App denn am Laptop benutzt werden kann, diese Lücke vorläufig füllen. Für manche, wie z.B. mich, ist es eine Bedingung die software auch am Laptop benutzen zu können.

Vielleicht versuch ich es einfach nochmal. Hatte gehofft dass bereits Erfahrungswerte existieren von denen ich lernen könnte.

Die App nutzt Gerätebindung für regulatorische notwendige Nutzeridentifizierung. Hier wird das identifiziert Endgerät über den Umweg einer SMS, die an die SIM-Karte gebunden ist, als einer der beiden vom Gesetzgeber geforderten Faktoren für die starke Authentifizierung genutzt. Wenn die Gerätebindung abgeschlossen ist, wird das Gerät vom System als vertrauenswürdig eingestuft, die SMS dadurch ersetzt und für weitere Transaktionen (wie zum Beispiel die Freigabe von Onlinezahlungen mit der Visitkarte) werden Push-Nachrichten an das Gerät genutzt.

Aktuell gibt es bei der Solarisbank und Tomorrow keine alternativen TAN-Verfahren. Das Produkt ist konsequent als Mobile-Banking-Angebot konzipiert und umgesetzt. Log-ins über zweite Geräte sind technisch zwar möglich, sie lösen aber immer wieder die Gerätebindung auf.

Ich kann dir nicht sagen, aus welchem Grund bei dir konkret der Log-in über Android am PC scheitert. Und das Forum hier ist meines Erachtens auch der Ort, dass Nutzer:innen sich hier austauschen können. Aber zum jetzigen Zeitpunkt halte ich es für ausgeschlossen, dass Tomorrow ein offizielles How-to bereitstellen wird: Log-ins über PCs werden nicht offiziell unterstützt.

Danke für die Erklärung. Das Problem dass ich bei der Installation hatte war, dass ich die app erst gar nicht herunterladen konnte, weil sie mir im Playstore nicht angezeigt wurde. Als Grund dafür vermute ich, dass irgendetwas nicht kompatibel war und es mir deswegen gar nicht erst zur Installation Angebote wurde.
Wenn die Bedingung eine SIM-Karte ist, wäre das die Erklärung.

Bist du dir sicher das eine SIM-Karte benötigt wird, oder reicht eine mobile Nummer die SMS empfangen kann? Das kann ich nämlich auch ohne Probleme am Laptop mit Hilfe von SIP software.

Was ich sehr schade finde ist, dass TOTP (Time-based One-time Password, die bekannteste Anwendung ist vermutlich „google autheticator“) nicht stattdessen benutzt wird. Das ist nicht nur weitaus sicherer, es kann auch auf allen Geräten leicht verwendet werden.

SMS als Verifikation kann unter ungünstigen Umständen sehr leicht gehackt werden.

Für mehr infos dazu siehe: Easy SMS Hijacking - Schneier on Security

In welchem Land ist denn dein Google-Account verortet?

Betrug mit Bezug auf SIM-Karten ist ja kein neues Thema und kommt vor. Allerdings ist das aktuelle Identifizierungsverfahren davon abhängig. Es wird ja schon beim Video-Ident geprüft, ob du zum Zeitpunkt der Antragstellung im Besitz dieser SIM-Karte (oder Nummer) bist. Es ist nur 1 von 2 Faktoren, und wird einmalig zur Gerätebindung genutzt, dann nicht mehr. Dann wäre der Angriffsvektor die direkte Kommunikation des Bankservers mit dem (sicheren) Endgerät. Das größte Problem ist Phishing.

TOTP ist in den gängigen Verfahren für TANs night geeignet, denn es gibt keinen Rückkanal. Der Gesetzgeber schreibt vor, dass du im Moment der Freigabe einer Zahlung sehen können musst, was du konkret mit dieser spezifischen PIN freigeben wirst. Es gibt Anbieter, die TAN-Verfahren auf Basis von Zertifikaten/Schlüsseln realisieren, aber TOTP kann TANs aktuell nicht ersetzten, sie sind nicht an eine bestimmte Aktion gebunden. Banken könnten es höchstens zusätzlich einbinden, um den Log-in sicherer zu gestalten.

Ich nutzte einen proxy account. Wo dieser lokalisiert ist, weiß ich gar nicht. Grund dafür:
Ich mag google nicht, und versuche es zu meiden soweit es geht. Ich habe den GooglePlayStore deswegen nur indirekt benutzt, über AuroaStore (Aurora Store | F-Droid - Free and Open Source Android App Repository). Bei einer anderen Person hat es am smartphone geklappt, bei mir am Laptop leider nicht, deswegen dachte ich es liegt am Laptop.
Vielleicht liegt es aber auch einfach daran, dass der mir zugewiesene proxy account zufällig eine IP hatte aus einem Land das gesperrt ist.

Ah, ok, dann ist das mit dem SMS hijacking kein wirkliches Problem hier.

Ich glaube ich versuche es einfach nochmal, vllt. hatte ich beim letzten Versuch einfach Pech.

Wenn ich da jetzt nicht was falsch verstehe, kann das doch auch mit TOTP umgesetzt werden.

  • ich möchte eine Überweißung ausführen in Höhe X€
  • bitte bestätige, dass du diese Überweisung an Y in Höhe X ausführen möchtest. Zum bestätigen gebe bitte dein TOTP ein.

Nein, der TAN-Generator selbst (App, SMS, whatever) muss den Verwendungszweck nennen. Die TAN muss spezifisch für diesen Geschäftsvorfall sein. TOTPs sind konzeptbedingt immer nur abhängig vom Schlüssel und der Zeit, können darüber hinaus dann in deinem Beispiel für alles benutzt werden. Egal, ob du dich auf einem fremden Gerät einloggst, 10.000 Euro überweist, oder eine Kartenzahlung freigibst.

Doch, schon, für Überweisungen wird weiterhin SMS-TAN genutzt. Soweit ich weiß, wurde bislang nur SCA für Kartenzahlungen aufs In-App-Verfahren umgestellt, sowie die obligatorische starke Identifizierung beim Konten-Log-In. Und ebenfalls der Gerätewechsel.

Deine Begründung ist valide und nachvollziehbar, aber letztlich egal. Es kann sein, dass du technisch gesehen in einem Land bist, für das die Tomorrow-App nicht freigegeben ist. Probier mal einen Proxy aus der EU - da müsstest direkt mehr Erfolg haben.

das scheint eine Regelung zu sein, die nicht zu mehr VerbraucherInnenschutz, sondern zu mehr Profit für Tan-Generator-Hersteller führt. :frowning:

Ist es erlaubt TAN per email zu versenden? Dort könnte alles spezifische benannt werden.
Um vor fishing zu schützen könnte TOTPs zusätzlich benutzt werden. Email finde ich deutlich komfortabler in der Nutzung als SMS.

Ein üblicher Angriff auf Onlinebanking wäre ein Man-in-the-Middle-Angriff, wo du bei dir eine normale Überweisung über 10 Euro an den Kollegen siehst, du in Wahrheit aber eine Überweisung über 10.000 Euro an einen Betrüger ausführst. Hier wird die Kommunikation deiner Benutzeroberfläche mit dem Bankserver kompromittiert, und du hast selbst diese Überweisung dann z.B. mit einer TAN der iTAN-Liste freigegeben. Du siehst das eine, beim Bankserver kommt was anderes an.

Jetzt schreibt der Regulator vor, dass es Blanko-TANs wie iTANs nicht mehr geben darf. Du musst konkret bei der Freigabe mit einer geschäftsvorfallspezifischen TAN kontrollieren können, an wen welcher Betrag überweisen wird. Das erschwert einen Angriff, weil jetzt zwei unabhängige Kommunikationswege, die Datenübertragung für die Überweisung selbst und das Freigabeverfahren, kompromittiert werden müssen.

Vor allem im Rahmen des ausgedehnten Zugriffs für Drittanbieter (Zahlungsauslösedienste) bei Open Banking finde ich das wichtiger denn je.

TAN per Mail ist meines Erachtens nicht zulässig. SMS-TAN ist möglich, weil die Zustellung am kryptografischen Chip hängt. SIMs müssen aktiviert, der Besitz wird bei Kontoeröffnung oder beim Nummernwechsel (SIM-Karten-Wechsel) identifiziert. Ohne Besitz der spezifischen SIM-Karte kein SMS-Empfang.

SMS stellt aktuell die niedrigste Stufe der als sicher erachteten TAN-Verfahren dar. Es ist grade noch möglich, aber nicht zeitgemäß oder empfohlen. Die meisten Angriffe erfolgen aber nicht auf die Übertragung der TAN selbst. Typisch ist, dass Angreifer Ersatz-SIMs aktivieren und die TANs so umleiten, oder die bei der Bank hinterlegte Nummer austauschen, weil sie durch Phishing Zugriff auf die Kontoverwaltung erlangt haben und die Bank den Nummernwechsel nicht ausreichend gesichert hat.

Mail wäre vielleicht denkbar, wenn ein sichere, signierte Übertragung stattfände. Separate TOTPs zur Absicherung taugen nicht, weil sie den Übertragungsweg E-Mail nicht direkt schützen. Angriffe wie zuerst oben beschrieben wären denkbar. Du gibts mit dem richtigen Passwort (TOTP) eine falsche Überweisung frei.

1 Like

Das stimmt leider nicht. SMS zählt zu den unsichersten Verifizierungsmethoden.
Siehe z.B.:
„…you can forward the text messages from any phone to any other phone.“
https://www.schneier.com/blog/archives/2021/03/easy-sms-hijacking.html

Du hast den Link schon geteilt.

Wie ich sagte, die Sicherheit von SMS-TAN ist nicht doll. Es ist der Mindeststandard, unterste Latte. Und E-Mail unterbietet das halt locker.

Das Angriffsszenario wie im Link beschrieben findet halt effektiv nicht statt. Betrug, bei dem SMS-TAN involviert ist, ist ja nicht neu, das Verfahren gab es lange Zeit schon parallel zu iTAN, TAN-Generatoren usw. – In den 90ern hat man z.B. Handyrechnungen aus dem Briefkasten gefischt, dann bei der Kundenhotline eine Ersatz-PIN an eine andere Adresse liefern lassen, und so Zugriff auf die TANs bekommen. Dann haben Mobilfunkbetreiber diesen Bestellprozess etwas besser abgesichert. Dann waren’s Insider-Jobs. Mitarbeiter in Handyläden haben Ersatz-SIMs entwendet, und diese dann auf die Verträge von Kunden aufgeschalten.

Die letzten Vorfälle bei N26 erfolgten so, dass Angreifer über Phishing Zugriff auf die Kontosettings erlangt haben und hier einfach die registrierte Handynummer des Accountinhabers geändert haben. Sie haben so den eigentlichen Kontobesitzer ausgesperrt, und die eigene Handynummer als TAN-Medium installiert.

So, ich habe mich jetzt noch einmal ausführlich in den Fall eingelesen, über den der Vice-Reporter hier geschrieben hat.

Hier wurde keine technische Schwachstelle von SMS-Empfang ausgenutzt. Der Angreifer hat über ein gefälschtes Schreiben den Netzbetreiber, in diesem Fall T-Mobile in den USA, dazu gebracht, dass dieser die SMS quasi „auf Kundenwunsch“ an einen Webservice zur SMS-Kommunikation weiterleitet. Im Grunde, wie wenn man eine VoIP-Telefonnummer mit einem anderen VoIP-Client verknüpft und es dann woanders klingelt.

Die Schwachstelle hier ist, dass T-Mobile die Identität des Accountinhabers nicht geprüft hat. Das erinnert mehr an die SIM-Swapping-Vorfälle, die ich oben beschrieben habe, wo Angreifer Ersatz-SIMs an falsche Adressen haben schicken lassen.

Das ist natürlich schon eine krasse Schwachstelle. Auf der anderen Seite bin ich skeptisch, ob das so einfach übertragbar ist. Ich gehe mal davon aus, dass Netzbetreiber die Identität wie beim Ersatz-SIM-Versand besser prüfen. Ohne Mithilfe durch den Netzbetreiber hätte das nicht geklappt. Ich kenne keinen einzigen Bericht, dass jemand in unseren Breiten Opfer eines ähnlichen Nummerndiebstahls geworden wäre. Was freilich nichts heißt.

(Ich bin persönlich übrigens kein Fan von SMS-TAN, ich will es überhaupt nicht verteidigen.)

Ich habe es nun nochmal versucht die Tomorrow banking app zu installieren.
Ich habe 5 verschiedene proxy accounts versucht, leider ohne Erfolg. Vielleich hätte es beim 6. mal geklappt, vielleich aber auch erst beim 35. mal.
Es ist schade dass die App ohne Google/Apple account nicht zugänglich ist.

Gäbe es auf der webseite eine akp Datei, hätte ich nun die app und könnte ein Konto einrichten.
Oder noch besser, wenn die app in f-droid verfügbar wäre.