Tomorrow Beta iOS 2.9.0

Hallo ihr Beta-User da draußen,

bei der letzten Version gab es ein paar Stolpersteine, deswegen fĂŒhlt sich dieses Update nun wirklich Beta an:

Leider werden einige von euch ihr GerĂ€t noch einmal koppeln mĂŒssen, bevor ihr die App wie gewohnt nutzen könnt. Danke an dieser Stelle fĂŒr eure Geduld, dafĂŒr, dass ihr unsere App so intensiv testet und uns damit helft, das Produkt stetig zu verbessern. So erreichen die meisten kleineren Bugs niemals die große Tomorrow-Community. Ihr seid großartig!

Unter anderem wurde eine SicherheitslĂŒcke gepatched, bei der es möglich war das Passwort in Klartext auszulesen ohne die dafĂŒr nötige Verifikation per FaceID/Fingerabdruck/Passwort.

Ihr habt Probleme oder Bugs entdeckt? Vergesst nicht diese mit Logs an den Support zu senden :slight_smile:

Ui, wie kann sowas denn passieren? :grimacing: (Und hoffentlich werden Schritte unternommen, dass das nicht mehr passieren kann. Als Entwickler hÀtte ich jetzt intuitiv gesagt, dass das Passwort - gerade von einer Banking-App - niemals irgendwo im Klartext gespeichert, geloggt oder sonstwas werden sollte, damit sowas gar nicht erst passieren kann.)
Die LĂŒcke betrifft aber nur die letzte Beta, nicht das letzte Release, oder?

Die LĂŒcke wurde in allen Release‘s geschlossen, sowohl Beta als auch offiziell.

Es sei soviel gesagt, dass die SicherheitslĂŒcke nie das Tomorrow Banking selbst betroffen hat und das Tomorrow Banking in keinster Art und Weise gefĂ€hrdet oder beeinflusst wurde.
Betroffen war mehr der Umgang zwischen Passwort und der jeweiligen Absicherung auf den EndgerÀten bei Nutzung von FaceID/PIN/Fingerabdruck.

Ich werde zu SicherheitslĂŒcken und ihrem Umfang keine weiteren AuskĂŒnfte machen.

@tobias_grtnkrd: Danke fĂŒr die Info! Ich kann verstehen, dass Details zu SicherheitslĂŒcken unter Verschluss bleiben (auch aus SicherheitsgrĂŒnden), aber die grundsĂ€tzliche Info und Transparenz darĂŒber, dass und wann es eine SicherheitslĂŒcke gab, möglichst in Kombination mit einer Entwarnung oder Handlungsanweisung finde ich schon wichtig. So wie ich das verstehe, konnten durch die SicherheitslĂŒcke Dritte von außen das Passwort nicht auslesen und auch das Banking selbst war nicht kompromittiert und eine “Gefahr” hĂ€tte nur bei tatsĂ€chlichem Zugriff auf das Smartphone selbst bestanden?

So verstehe ich das auch. Ohne selber in irgendeiner Form Code zu verstehen natĂŒrlich :grin:

Ich habe auch keine Ahnung von Code :smiley: Aber daher finde ich Aussagen Ă  la “Eine PasswortĂ€nderung ist nicht nötig” oder “Es wird empfohlen vorsorglich das Passwort zu Ă€ndern” immer hilfreich.

Eine PasswortÀnderung ist insoweit nicht nötig.

Eine allgemeine PasswortÀnderung bei solch sensiblen Sachen, wie Onlinr-Banking et cetera. empfehle ich allerdings immer zwischendurch.

1 Like

Das deckt sich nicht mit der aktuellen (brandneuen) Empfehlung des BSI. Klick mich fĂŒr weitere Details :slight_smile:

Da mag ich doch gerne zitieren:

[
] Inzwischen hat das BSI auch die Informationen unter der Rubrik “FĂŒr BĂŒrger” angepasst. Die Behörde teilte mit, “eine grundlegende Empfehlung, Passwörter regelmĂ€ĂŸig zu Ă€ndern, gibt das BSI nicht mehr, da die Erfahrung zeigt, dass die Nutzerinnen und Nutzer dann zu immer schwĂ€cher werdenden Passwörtern neigen”.

Das Problem ist dabei nicht der Wechsel des Passwort an sich, sondern der menschliche Faktor.
Mich verwundert da doch immer wieder das Vorgehen bei Firmen und deren monatlichen Passwort-Wechsel, die zu Hauf an den Bildschirmen hÀngen.

Das Problem ist halt, dass das eine zum anderen fĂŒhrt. Wenn man weiß, dass eine Empfehlung fĂŒr hĂ€ufige PasswortĂ€nderungen zu schlechteren Passwörtern fĂŒhrt, sollte man - anstatt alle umerziehen zu wollen - einfach seine Empfehlungen Ă€ndern :wink:

So erstelle ich inzwischen meine Passwörter, und zwar ausnahmslos.

Hallo zusammen,
die Infos, die hier zum Ausdruck kamen sind nicht richtig und beruhen auf einem MissverstĂ€ndnis. Keinerlei Passwörter waren zu irgendeinem Zeitpunkt ohne Authentifizierung einsehbar. Die App erfĂŒllt (selbstverstĂ€ndlich) alle Sicherheits-Standarts. Wenn Ihr irgendwelche individuellen Fragen habt, meldet Euch gern bei uns support@tomorrrow.one.

4 Like