Touch ID Deaktivieren in Tomorrow App

guido · 11. Juli 2021 um 19:27

Liebe Community,

mich beschäftigt weiterhin die Sicherheit der Tomorrow App unter iOS mit Touch ID. Ein letzter ähnlicher Thread dazu, ging vor ein paar Wochen leider ins Leere (siehe hier (Link))

Daher ein neuer Thread mit anderer Ausrichtung.

Aktuelle Situation:

Daumen-Fingerabdrücke sind auf der Oberfläche von Handys vielzählig vorhanden, lassen sich von dort kopieren und damit Touch ID cracken (gezeigt durch den Chaos Computer Club; kurz zu sehen in diesem Video (Link))
Auch wenn das Kopieren eines Fingerabdrucks Expertise benötigt, sehe ich den Schutz meines Online-Banking durch Touch ID, inklusive Zugriff auf Überweisungstätigkeit und damit auf den vollen Kontobetrag, nicht ausreichend gegeben (auch die SMS-TAN hilft hier dann nicht)
Apple hat für alle Modelle mit Face ID in den Systemeinstellungen die Möglichkeit integriert, Face ID für einzelne Apps zu deaktivieren (das sieht dann so aus (Link))
Für Touch ID existiert system-seitig keine Konfiguration für einzelne Apps. Nur das völlige Deaktivieren von Touch ID ist system-seitig möglich. (Btw: Diese Situation ändert sich voraussichtlich auch nicht in iOS 15 - jedenfalls ist es nicht in der Beta implementiert oder irgendwo erwähnt)

Daher möchte ich mich mit diesem Beitrag dafür einsetzen, dass die Tomorrow App in ihren Einstellungen das Deaktivieren von Touch ID für die Tomorrow App integriert. Dies ist auch von anderen Banking-Anbietern so implementiert (siehe im alten Thread (Link)).

Um das noch zu untermauern: Die beschriebene (wie ich finde sicherheitskritische) Situation wird für viele Tomorrow Kunden mit iPhone zutreffen. Der Marktanteil „alter“ iPhone Modelle mit Touch ID lag 2020 noch bei 54% (Prozentwerte aus Grafik hier addiert (Link)). Zusätzlich ist aus Gründen ökologischer Nachhaltigkeit der Support für „alte“ Modelle meines Erachtens unumgänglich.

Leider bin ich aktuell gezwungen, Touch ID für die Tomorrow App zu nutzen, solang ich Touch ID systemweit aktiviert habe. Ich bitte dies zu ändern, da ich es als unumgängliche Tatsache ansehe, dass Fingerabdrücke nicht die ausreichende Sicherheit für Online Banking gewährleisten.

Schonmal danke für eure Rückmeldungen und viele Grüße,

Guido

guido · 11. Juli 2021 um 19:36

Eine Ergänzung:
Der Link zum Beispiel anderer Banking-Anbieter war zu Face ID (hatte ich übersehen). Daher hier zwei neue Beispiele, DKB und apobank.

EngelGames · 11. Juli 2021 um 20:04

Also ich kann nicht für iOS sprechen, aber in Android lässt sich der biometrische Login in den Einstellungen deaktivieren. Würde mich eigentlich wundern wenn das in iOS nicht möglich ist.

anon71426032 · 12. Juli 2021 um 05:24

Geht bei iOS in der Tomorrow App tatsächlich nicht.

Man sollte aber theoretische Angriffe und wirklich praktizierte unterscheiden.

LKDWU · 12. Juli 2021 um 06:13

Du kannst in den iOS-Einstellungen nach unten zu den Apps scrollen und dort unter »Tomorrow« FaceID deaktivieren. Dann darf die App FaceID nicht mehr verwenden. Somit ist FaceID für die App deaktiviert und Tomorrow fragt nur noch nach dem Code.

anon71426032 · 12. Juli 2021 um 06:30

Tatsächlich. Man lernt nie aus.

Frnk · 12. Juli 2021 um 06:48

Wie in dem anderen Thread erläutert, geht das aber leider nicht bei Touch-ID.