Auf Poststelle mit Scanbild bezahlen

  • Kann man Rechnungen welche ein ScanBild haben auf der Poststelle bezahlen? Rsp. können die dort gescannt werden? Momentan habe ich wegen Sicherheitsbedenken noch keine Bezahlapp auf dem Handy...

    Dank und Gruss

  • ...Momentan habe ich wegen Sicherheitsbedenken noch keine Bezahlapp auf dem Handy...

    Aus dem Bauch raus, Halbwissen oder Expertensicht?

    Ein billiges 2t Handy ohne SIM nur für die Bezahlapp via WIFI gibt mehr Sicherheit.

    Aber...die grösste Schwachstelle bleibt der Benutzer.
    Wer nicht grad eine super exponierte Persönlichkeit ist und die minimalsten Sicherheitrichtlinien beachtet, ist mit der App sicherer als mit dem Gang zur Post.

    Für einen belegbaren Fall von Betrug via Bank Bezahlapp OHNE Verschulden des Benutzers und ohne Rückvergütung der Bank spendiere ich eine Töfftour mit Benzin und Essen.

    „Die wahre Kunst der Fahrzeug-Beherrschung erkennt man im instabilen Fahrzustand!“

    Walter Röhrl

  • Hier teile ich durchaus die Sicherheitsbedenken. Banking-Apps gehören eigentlich nicht auf unsichere Geräte wie Mobiltelefone. Gründe:

    • Die Geräte sind selten aktuell. Wer nicht dieser Meinung ist soll mal prüfen ob sein Gerät das Juni 2022 Android Security-Update schon bekommen hat. Vermutlich ist es die absolute Minderheit. Die Meisten Telefone laufen ja nicht mal mit Android 12 sondern mit sehr alten Versionen.
      Android 11 hat mit 35% die höchste Marktverbreitung. Android 12 taucht in den Statistiken noch nicht mal auf (z.B. hier). Alles vor Android 10 bekommt noch nicht einmal mehr Security-Updates und > 30% laufen noch mit Android 9 und älter.
      Am PC setzt kaum mehr jemand Windows XP mit Internet Explorer ein.

      Bei Apple sieht es etwas besser aus da die Geräte etwas länger unterstützt sind und Updates bekommen. Sobald Apple aber das Interesse am Support für ein Gerät verliert kann man auch kein alternatives OS installieren und muss wohl ein neues kaufen.
    • In den meisten Bank-Szenarien wird das Handy als zweiter Sicherheits-Faktor verwendet.
      Faktor 1: Benutzername und Passwort (Wissen)
      Faktor 2: SMS/MobileID/Authenticator-App (Besitz)
      Alle Faktoren auf einem einzelnen Gerät zusammenzuführen und Benutzername, Passwort und zweiter Faktor auf einem einzelnen Gerät zu verarbeiten erhöht das Risiko massiv. Ein Angreifer müsste also nicht sowohl Kontrolle über den PC und das Handy erhalten sondern nur über ein einzelnes Gerät. Eine sehr wichtige Security-Komponente wird also unterlaufen.
      Alternativ kann man natürlich auch unabhängige Geräte als weiterer Faktor einsetzen (z.B. Kartenlsese-Geräte oder die klassischen Strichlisten). Aber das sehe ich in der Praxis selten. Es soll ja auch möglichst einfach sein.
      Aber bei Security gilt immer: Einfach/bequem oder Sicher, beides geht nicht.

    Für die QR-Codes hat nach meiner Kenntnis aktuell nur Postfinance wirklich kapiert wie man eine einfache Lösung baut. Deren Web-E-Banking ist das einzige welches die Webcam einbindet damit man einfach am PC/Laptop den QR-Code in die Kamera halten kann. Die anderen haben noch nicht begriffen, dass moderne Web-Applikationen durchaus auch Webcams verwenden können. Beispielsweise muss man bei Raiffeisen deren dämliche App herunterladen, dann beim e-Banking einloggen, über einen Einmal-Code dann die App an die E-Benking Session koppeln damit man dann mit der Handy-Kamera die QR-Codes scannen kann. Das ist zwar immer noch recht sicher da das Handy nie direkt mit dem e-Banking einloggen muss sondern nur als Scanner verwendet wird aber die Kopplung der App ist immer recht mühsam. Die lokale Kamera des e-Banking Geräts kann das Web-Interface nicht benutzen.
    Dazu kommen noch lustige Sachen wie, dass deren App sich gar nicht nutzen lässt wenn das Gerät "gerootet" ist. Selbst wenn es das gar nicht ist. Am Gerät meiner Eltern läuft LineageOS weil der Hersteller vor langer Zeit aufgehört hat neue Android-Updates zu liefern (siehe Problematik oben). Somit läuft deren Gerät aktuell mit einem Top-Aktuellen Android mit wöchentlichen Security-Updates und ist also relativ sicher. Nicht einmal Root-Zugriff ist aktiviert. Einige Bank-Apps starten aber nicht einmal weil sie ein "gerootetes" Gerät erkannt haben. Ich wäre also gezwungen eine uraltes (aber offizielles offizielles) Android 8 zu installieren mit allen Sicherheitslücken. Das würde die App dann akzeptieren und als "sicher" bezeichnen. Na dann gute Nacht..


    Fazit: Ich mache auch kein Banking mit meinem Handy und verwende es diesbezüglich nur als zweiten Faktor für die MobileID Authentication - und MobileID hängt auch nicht von der Sicherheit des Gerätes ab da MobileID auf der Crypto-SIM läuft und nicht als App. Auch Android hat keinen Zugriff auf den Private-Key auf der SIM-Karte. Somit ist es für diesen Faktor ziemlich egal wie (un)sicher das Telefon ist.

    The Sky isn't the limit!

    Ich bin gerade etwas neben der Spur. Macht Spass!

    • Die Geräte sind selten aktuell. Wer nicht dieser Meinung ist soll mal prüfen ob sein Gerät das Juni 2022 Android Security-Update schon bekommen hat. Vermutlich ist es die absolute Minderheit. Die Meisten Telefone laufen ja nicht mal mit Android 12 sondern mit sehr alten Versionen.
      Android 11 hat mit 35% die höchste Marktverbreitung. Android 12 taucht in den Statistiken noch nicht mal auf (z.B. hier). Alles vor Android 10 bekommt noch nicht einmal mehr Security-Updates und > 30% laufen noch mit Android 9 und älter.
      Am PC setzt kaum mehr jemand Windows XP mit Internet Explorer ein.

      Bei Apple sieht es etwas besser aus da die Geräte etwas länger unterstützt sind und Updates bekommen. Sobald Apple aber das Interesse am Support für ein Gerät verliert kann man auch kein alternatives OS installieren und muss wohl ein neues kaufen.

    Hierzu muss jedoch bedacht werden, dass viele "sicherheitsrelevante" Apps auf älteren Betriebssystemen gar nicht mehr laufen, da sie gewisse Versionen des Betriebssystems voraussetzen.

    Zudem würde ich behaupten, dass die meisten Smartphones bezüglich Updates wesentlich auf dem besseren Stand sind wie ein Computer. Auf jedem Smartphone werden

    diverse Updates automatisch im Hintergrund heruntergeladen und wenn ein Update ansteht, erscheint ein Pop-Up und die User installieren dies. Ich habe schon Computer gesehen,

    welche von "Experten" gewartet wurden... einmal auf Einstellungen > Auf Updates Prüfen --> da wollte die Liste gar nicht mehr aufhören.

    Und auch viele Computer laufen noch auf älteren Betriebssystemen. Vor allem war Windows XP bis zur Einstellung des Supports noch sehr beliebt!
    Ich mag mich noch gut erinnern, dass bei meinem damaligen Arbeitsgeber (Sicherheitsrelevanter Bereich im Gesundheitswesen) die Computer erst wenige Wochen

    vor dem endgültigen Aus von XP auf ein neueres Betriebssystem geupdatet wurden.

    Ebenfalls bietet eine App den Vorteil, dass du gegen Phishing etc. besser gesichert bist. Die Bank übergibt dir eine App, welche im Hintergrund automatisch

    auf die richtigen Server etc. zugreift. Am Computer hast du das Risiko, dass du von einem Virus auf eine fremde Website umgeleitet wirst, welche diene

    Daten abgreift.


    Ich möchte mich hier nicht für oder gegen mobiles Banking aussprechen. Schlussendlich muss dies jeder selber entscheiden.

    Allerdings muss man auch bedenken, dass, wenn es zu Betrug kommt, meist der Benutzer die Schwachstelle ist. Und da nützt auch

    das beste Sicherheitssystem mit 10-fach Authentifizierung nichts! Ob du einem Betrüger das Geld via Smartphon, E-Banking oder am Schalter

    überweist, ist dann eigentlich egal. Da sehe ich die grösste Chance noch beim Bankschalter, da dich da der Berater evtl. noch fragt,

    wenn du einen grösseren Betrag abhebst, was du denn genau mit dem Geld vorhast.

    "Irgend so ein Standardspruch" - Irgend Wer

  • Zudem würde ich behaupten, dass die meisten Smartphones bezüglich Updates wesentlich auf dem besseren Stand sind wie ein Computer. Auf jedem Smartphone werden

    diverse Updates automatisch im Hintergrund heruntergeladen und wenn ein Update ansteht, erscheint ein Pop-Up und die User installieren dies. Ich habe schon Computer gesehen,

    Da muss ich jetzt wirklich direkt wiedersprechen. Ausser du bist mit deinen Kenntnissen irgendwo bei Windows 95 hängen geblieben. Jedes aktuelle und noch im Support befindliche OS aktualisiert sich selbst. Bei Microsoft ist das jeweils der zweite Dienstag im Monat (Patch-Day) und spätestens am Mittwoch sind die Updates dann drauf. Einzige Ausnahme sind h äufig Geräte die gar nicht lange genug laufen um die Updates einzuspielen.

    Wenn man manuell nach Updates sucht findet m an häufig OPTIONALE Updates, die sind aber nicht sicherheitsrelevant oder es handelt sich um Funktionsupdates (z.B. neue Windows Releases mit neuen Funktionen). Das heisst aber nicht, dass die installierte Version nicht mehr unterstützt oder gar anfällig wäre.

    Bei Apple ist das ähnlich.

    Das einzige was man wirklich bemängeln kann ist, dass auf dem wichtigsten Desktop-Betriebssystem bislang eine zentrale Paketverwaltung fehlt. Microsoft Updates schliessen nur Windows und einige Microsoft-Produkte ein. Updates für alle anderen Anwendungen müssen diese selber mitbringen. Das ist aber heute auch nur noch ein kleines Problem da die wichtigsten Anwendungen (wie Browser) heute alle eine Auto-Update Funktion haben.

    Und ja, ich mache sehr viel Privat-PC-Support und der Zustand ist eigentlich immer gleich:

    • Betriebssystem auf aktuellem Patch-Lelvel
    • Ausstehende OPTIONALE Updates (nichts sicherheitsrelevantes)
    • Browser, PDF-Reader etc. auf aktuellem Stand (Auto-Update)

    WinGET existiert auch, aber ist noch nicht so weit verbreitet.

    Für e-Banking ist in der Regel nur ein aktuelles OS und ein sicherer und aktueller Browser relevant und das ist ohne Benutzer-Interaktion heute meist der Fall.

    Ausserdem wie gesagt ist die Sicherheit auch davon abhängig, dass man eben auch mehrere Faktoren zum Login verwendet denn man sollte selbst bei aktuellstem Patch-Stand nicht davon ausgehen, dass keine Sicherheitsprobleme existieren. Ausserdem sitzt der wichtigste Sicherheitsfaktor eben vor dem PC (wir sagen dazu PEBKAC, Problem Existsx Between Keyboard and Chair).

    Auf Smartphones passiert in der Regel auch das gleiche. Geht man in den Play store werden bei den meisten Leuten bei einer manuellen Suche nach Updates auch gerne mal 20-30 Updates angezeigt die noch nicht installiert wurden (App-Updates). Die Updates in den Systemeinstellungen für das Betriebssystem prüft in der Regel auch niemand und dort stehen ja meistens auch höchstens alle 3-6 Monate mal Updates an (obwohl Android Security-Updates ebenfalls monatlich von Google freigegeben werden).

    Windows XP hab' ich schon lange nirgendwo mehr gesehen und wenn doch, dann sind das entweder nicht vernetzte Geräte oder die Betreiber sollten genau wissen was sie tun. Ist ja nicht so, dass neuere Varianten nicht schon Jahre (Jahrzehnte) existieren. Die Einstellung des Supports kommt auch überhaupt nicht überraschend. Jeder kann nachlesen, dass im Oktober 2025 der Support für Windows 10 auslaufen wird. Hingegen kann ich nirgends finden wann das letzte Sicherheits-Update für mein Handy geplant ist. Irgendwann kommen einfach keine mehr.

    Ausserdem sind die Support-Zeiträume im Desktop-Bereich deutlich länger. Ich hab' Kunden mit Windows 10 Systemen im Einsatz die damals mit Windows 7 gliefert wurden und rund 12 Jahre alt sind. Alles auf top aktueller Hardware. Bei Handies ist es schon schwierig ein Modell zu finden bei dem man nach 2 Jahren überhaupt noch irgend ein OS-Update bekommt - geschweige denn eine neue OS-Version. Desktop Support-Zeiträume von 5-10 Jahren sind also normal. Mobil eher so 12-18 Monate.

    benfalls bietet eine App den Vorteil, dass du gegen Phishing etc. besser gesichert bist. Die Bank übergibt dir eine App, welche im Hintergrund automatisch

    auf die richtigen Server etc. zugreift. Am Computer hast du das Risiko, dass du von einem Virus auf eine fremde Website umgeleitet wirst, welche diene

    Daten abgreift.

    Auch hier muss ich klar wiedersprechen. Es ist nicht schwer auf einem Handy mit unsicherem OS die Datenkommunikation zwischen App und Server mitzulesen oder gar zu manipulieren. Bisher kenne ich keine Banking-App die das sinnvoll verhindern könnte. Sie zeigen mir ja nicht einmal die Zertifikats-Fingerprints an um die prüfen zu können. Im Browser kann ich jederzeit das SSL-Zertifikat prüfen. Ausserdem muss ich mich nicht darauf verlassen, dass die Bank "es schon richtig machen wird". Wer in der Security arbeitet sollte sich ein Grundprinzip merken: Security und Encryption implementiert man NIEMALS selber denn dabei macht man immer Fehler. Du kannst mit Garantie davon ausgehen, dass die Security im Browser viel besser getestet ist als die einer Bank-App einer kleinen Bank die das möglichst schnell hin gerotzt hat.

    Und ja, die meisten Banking-Apps prüfen nur ob das Zertifikat "vertrauenswürdig" ist. Erhält man Zugriff auf das OS (danke fehlender Updates z.B.) ist es nicht schwer ein Trusted CA Zertifikat einzuschleusen für einen MITM-Proxy und schon beschwert sich die Banking-App nicht mehr über die unsichere Verbindung mit gefälschtem Zertifikat.

    Das Problem liegt aber teilweise auch bei den Banken. Vor etwa 2 Jahren hatte ich mal so eine Diskussion mit der Aargauer Kantonalbank. Deren e-Banking Zertikat war für einen falschen Host ausgestellt. Jeder Browser hat da natürlich eine Sicherheitswarnung ausgegeben. Ein Anruf beim Support ergab nur die Antwort "Ah ja, das wissen wir. Sie müssen einfach auf 'Ignorieren und trotzdem verbinden' klicken". Einen grösseren WTF-Moment hatte ich noch äusserst selten. Nicht nur, dass die Bank offenbar unfähig war ein richtiges Zertifikat zu installieren sondern sie haben auch noch ihre Kunden die das bemerkten dazu "erzogen" solche Sicherheitswarnungen einfach zu ignorieren. Das ist dann schon sehr fahrlässig. Gerade wenn viele Banken in ihren AGBs dann die Haftung für Schäden durch Fahrlässigkeit ausschliessen. Möchte mal sehen wie sie reagieren wenn bei einem Kunden dann das Konto leer geräumt wird nachdem man sich bei einer Phishing-Webseite angemeldet hat. Da kam zwar ebenfalls die Meldung, dass das Zertifikat ungültig wäre aber die Bank hat ja gesagt das wäre "OK so".

    Also klar kann jeder selber entscheiden ob man einer undurchsichtigen Mobile-App auf dem Handy vertraut alles "magisch" besser zu machen als ein millionenfach getestetes Produkt und noch dazu auf einer notorisch unsicheren Platform aber man muss sich dann halt auch nicht wundern...

    The Sky isn't the limit!

    Ich bin gerade etwas neben der Spur. Macht Spass!

  • Nur rasch als Einwurf, es gibt Banken, bspw die Raifeissenbank oder aber die VP Bank, wo du das Handy rein als Belegleser verwendest und nicht für das E-Banking. Also du bist am PC, und hast eine Zahlung zu erfassen. Dann wählst du dort - nach dem es einmal eingerichtet wurde - aus, dass du das Handy als Belegleser verwenden willst, öffnest am Handy die zugehörge App (Raiffeisen eine eigene, VPB die für das 2FA) und scannst die Belege. Es übermittelt dann die relevanten Daten an die Zahlmaske des E-Bankings, welches du am PC ja offen hast.

  • ...Momentan habe ich wegen Sicherheitsbedenken noch keine Bezahlapp auf dem Handy...

    Aus dem Bauch raus, Halbwissen oder Expertensicht?

    Ein billiges 2t Handy ohne SIM nur für die Bezahlapp via WIFI gibt mehr Sicherheit.

    Aber...die grösste Schwachstelle bleibt der Benutzer.
    Wer nicht grad eine super exponierte Persönlichkeit ist und die minimalsten Sicherheitrichtlinien beachtet, ist mit der App sicherer als mit dem Gang zur Post.

    Für einen belegbaren Fall von Betrug via Bank Bezahlapp OHNE Verschulden des Benutzers und ohne Rückvergütung der Bank spendiere ich eine Töfftour mit Benzin und Essen.

    Darf man da mit N26 mitspielen und muss man selber betroffen sein oder reicht ein PoC? Und wie lange ist das Tourversprechen gültig, sprich bis wann muss ich es einlösen? - Muss der PoC ein eigener sein, oder darf ich dir einfach C&P einen geben?

  • Am Gerät meiner Eltern läuft LineageOS weil der Hersteller vor langer Zeit aufgehört hat neue Android-Updates zu liefern (siehe Problematik oben). Somit läuft deren Gerät aktuell mit einem Top-Aktuellen Android mit wöchentlichen Security-Updates und ist also relativ sicher. Nicht einmal Root-Zugriff ist aktiviert. Einige Bank-Apps starten aber nicht einmal weil sie ein "gerootetes" Gerät erkannt haben.

    Wurde der Bootloader denn auch wieder gesperrt?
    Mit gesperrtem Bootloader sollte es kein Problem geben.
    Ich verwende ROMs ohne GPS und GSF (respektive nur bei Bedarf (E-Sim einrichten) in Sandbox) und hab solche Probleme nicht.

  • Hat das verwendete ROM einen AVB hinterlegt?
    Und OEM Unlock und Dev Options wurde auch deaktiviert?

    Jep, aber nützt halt nix wenn der App-Entwickler mit einer Whitelist arbeitet. Einzige Option wäre das Gerät wirklich zu rooten um diese Einschränkungen der App zu umgehen, was irgendwie nicht der Sinn der Sache ist.

    The Sky isn't the limit!

    Ich bin gerade etwas neben der Spur. Macht Spass!

  • Hat das verwendete ROM einen AVB hinterlegt?
    Und OEM Unlock und Dev Options wurde auch deaktiviert?

    Jep, aber nützt halt nix wenn der App-Entwickler mit einer Whitelist arbeitet. Einzige Option wäre das Gerät wirklich zu rooten um diese Einschränkungen der App zu umgehen, was irgendwie nicht der Sinn der Sache ist.

    Den AVB zu verfälschen und den originalen zu verwenden ist halt auch wieder in der gleichen Schiene... Komisch... muss malschauen, wie das bei meinem Rom gemacht ist, da tut so vieles, N26, RB, NEON, Revolut, VPB, PF, Lindt, UBS, SGKB. - Oder vielleicht tun die auch einfach nicht schwanger und haben eingesehen, dass es sinnhafter ist...