bei der letzten Version gab es ein paar Stolpersteine, deswegen fühlt sich dieses Update nun wirklich Beta an:
Leider werden einige von euch ihr Gerät noch einmal koppeln müssen, bevor ihr die App wie gewohnt nutzen könnt. Danke an dieser Stelle für eure Geduld, dafür, dass ihr unsere App so intensiv testet und uns damit helft, das Produkt stetig zu verbessern. So erreichen die meisten kleineren Bugs niemals die große Tomorrow-Community. Ihr seid großartig!
Unter anderem wurde eine Sicherheitslücke gepatched, bei der es möglich war das Passwort in Klartext auszulesen ohne die dafür nötige Verifikation per FaceID/Fingerabdruck/Passwort.
Ihr habt Probleme oder Bugs entdeckt? Vergesst nicht diese mit Logs an den Support zu senden
Ui, wie kann sowas denn passieren? (Und hoffentlich werden Schritte unternommen, dass das nicht mehr passieren kann. Als Entwickler hätte ich jetzt intuitiv gesagt, dass das Passwort - gerade von einer Banking-App - niemals irgendwo im Klartext gespeichert, geloggt oder sonstwas werden sollte, damit sowas gar nicht erst passieren kann.)
Die Lücke betrifft aber nur die letzte Beta, nicht das letzte Release, oder?
Die Lücke wurde in allen Release‘s geschlossen, sowohl Beta als auch offiziell.
Es sei soviel gesagt, dass die Sicherheitslücke nie das Tomorrow Banking selbst betroffen hat und das Tomorrow Banking in keinster Art und Weise gefährdet oder beeinflusst wurde.
Betroffen war mehr der Umgang zwischen Passwort und der jeweiligen Absicherung auf den Endgeräten bei Nutzung von FaceID/PIN/Fingerabdruck.
Ich werde zu Sicherheitslücken und ihrem Umfang keine weiteren Auskünfte machen.
@tobias: Danke für die Info! Ich kann verstehen, dass Details zu Sicherheitslücken unter Verschluss bleiben (auch aus Sicherheitsgründen), aber die grundsätzliche Info und Transparenz darüber, dass und wann es eine Sicherheitslücke gab, möglichst in Kombination mit einer Entwarnung oder Handlungsanweisung finde ich schon wichtig. So wie ich das verstehe, konnten durch die Sicherheitslücke Dritte von außen das Passwort nicht auslesen und auch das Banking selbst war nicht kompromittiert und eine “Gefahr” hätte nur bei tatsächlichem Zugriff auf das Smartphone selbst bestanden?
Ich habe auch keine Ahnung von Code Aber daher finde ich Aussagen à la “Eine Passwortänderung ist nicht nötig” oder “Es wird empfohlen vorsorglich das Passwort zu ändern” immer hilfreich.
[…] Inzwischen hat das BSI auch die Informationen unter der Rubrik „Für Bürger“ angepasst. Die Behörde teilte mit, „eine grundlegende Empfehlung, Passwörter regelmäßig zu ändern, gibt das BSI nicht mehr, da die Erfahrung zeigt, dass die Nutzerinnen und Nutzer dann zu immer schwächer werdenden Passwörtern neigen“.
Das Problem ist dabei nicht der Wechsel des Passwort an sich, sondern der menschliche Faktor.
Mich verwundert da doch immer wieder das Vorgehen bei Firmen und deren monatlichen Passwort-Wechsel, die zu Hauf an den Bildschirmen hängen.
Das Problem ist halt, dass das eine zum anderen führt. Wenn man weiß, dass eine Empfehlung für häufige Passwortänderungen zu schlechteren Passwörtern führt, sollte man - anstatt alle umerziehen zu wollen - einfach seine Empfehlungen ändern
Hallo zusammen,
die Infos, die hier zum Ausdruck kamen sind nicht richtig und beruhen auf einem Missverständnis. Keinerlei Passwörter waren zu irgendeinem Zeitpunkt ohne Authentifizierung einsehbar. Die App erfüllt (selbstverständlich) alle Sicherheits-Standarts. Wenn Ihr irgendwelche individuellen Fragen habt, meldet Euch gern bei uns support@tomorrrow.one.
(Und hoffentlich werden Schritte unternommen, dass das nicht mehr passieren kann. Als Entwickler hätte ich jetzt intuitiv gesagt, dass das Passwort - gerade von einer Banking-App - niemals irgendwo im Klartext gespeichert, geloggt oder sonstwas werden sollte, damit sowas gar nicht erst passieren kann.)
Aber daher finde ich Aussagen à la “Eine Passwortänderung ist nicht nötig” oder “Es wird empfohlen vorsorglich das Passwort zu ändern” immer hilfreich.
