My Cupra App

Zitat von cprbrn

...
Beispielsweise liefert Google entsprechende Lösungen, damit man die Datenübertragung (App <-> Server) soweit absichern kann, dass eine Manipulation und nicht gewollte Zugriffe möglichst unterbunden werden.
Dies ist absolut sinnvoll und dient der Sicherheit aller. (Ja, auch der, die ein neues Smartphone haben!)...

Danke für diese Erklärung!

Ich würde das so sehen, dass es durchaus von der Größe der "kleinen Gruppe" abhängig sein sollte.

Zitat von cprbrn

Ich bin jetzt mal sehr direkt: Sorry, aber du hast absolut keine Ahnung,

Das ist nicht nur offensichtlich, sondern auch unbestritten! 😅

Und deshalb frage ich ja auch!

Zitat von cprbrn

enttäuschenderweise aber auch kein Vertrauen in die Menschen, die es deutlich besser wissen als Du.

Auch das stimmt. Und zwar aus einer gewissen laaaaangjährigen Erfahrung mit den Ergebnissen derer Arbeit heraus. (Das heisst ja nicht, dass ich diese Menschen nicht als Mensch achte und respektiere - meistens zumindest 😎 )

Zitat von cprbrn

Eine Software ist nie fertig und nie 100% sicher.

Und das ist tatsächlich quasi ein unabänderliches "Naturgesetz"?🤔 (Ehrliche Frage!)

Zitat von cprbrn

Außerdem gibt es auch nicht "DIE SOFTWARE", sondern jedes System der Welt basiert irgendwie auf anderen Systemen. Es kann also sein, dass es eine Sicherheitslücke in einer Komponente gibt, die man nutzt, selbst aber nicht entwickelt hat.

All dies ist NORMAL.

Okay, also System EAhv (Ein Anderer hat's verbockt.)

Das ist natürlich wirklich blöd, wenn man sich drauf verlassen hat (oder verlassen musste), dass die Basis/alle Komponenten okay sind.

Das Prinzip gibt es auch in der Finanzbranche, wenn mal wieder ein "jetzt aber wirklich fast beinahe sicheres" System Kundengeld vernichtet - oder besser gesagt einem anderen Besitzer zugeführt - hat.

War dann halt blöd, wenn der Fondsmanager geglaubt hat, dass zugrunde liegende Objekte/Index/andere Fonds okay sind. Pech für den Kunden, aber leider unvermeidbar 😉

Zitat von cprbrn

Dann geh doch mal tief in Dich und überlege, ob ALLE Fachkräfte in dem Bereich falsch liegen

... oder eine "unheilige Allianz" bezüglich der Akzeptanz oder Resignation von Unzulänglichkeit bilden. ("Software ist nie fertig und nie 100% sicher. (Und solange ich in diesen Tenor einstimme, ist es auch okay wenn MEINE Software nicht fertig und nicht sicher ist.) " )

Zitat von cprbrn

und Du als absoluter Laie recht hast.

Das ganz bestimmt NICHT!

Etwas nicht einfach so hinnehmen heißt nicht etwas besser zu wissen oder gar zu können.

Ich sehe und verstehe ja nicht die Tätigkeit selbst, sondern nur die Ergebnisse.

Und das erlaube ich mir halt in diesem Fall mit der MYCUPRA-App ziemlich sch... zu finden.

Wenn ich mit Blinddarm-Reizung ins Krankenhaus gehe und nach der Narkose wache ich mit einem fehlenden Arm auf, darf ich das ja auch erst mal "nicht in Ordnung" finden - obwohl ich von Medizin keinen blassen Schimmer habe.

Man stelle sich jetzt vor, die versammelte Ärzteschaft sagt dann "Ja, das ist halt so, da können Sie als Laie nicht mitreden. Hätten Sie eben in ein anderes Krankenhaus gehen müssen. " (Und ich dachte doch echt, die Tierklinik sei eine gute Wahl🤪)

Zitat von EschBorn

Tja…man muss Apple nicht mögen aber sie bieten sehr lange Support an. IOS27 wird noch für das iPhone 11 an welches 2019 rauskam. Das sind 7 Jahre + mindestens 1 Jahr bis iOS 28 rauskommt, also 8 Jahre. Wenn der Akku 6 Jahre hält, was bei guter Pflege kein Problem sein dürfte, lohnt sich ein Akku Wechsel. Zudem zerfällt das Handy ja nach 8 Jahren nicht zu Staub, denn Apple liefert weiter Sicherheitsupdates.

Ja, da sind sie weiter als Android - wobei das zumindest bei Samsung seit kurzem mit 7 Jahren etwas besser wurde als vorher.

Und das weiß ich auch erst seit jetzt, weil das bisher für mich gar keine Rolle gespielt hatte bzw. überhaupt nicht auf dem Schirm war. So wie bei geschätzt ca 90% meiner Bekannten. selbst bei denen, die zufällig ein iPhone haben. Die haben das wegen Kamera, "chic", "beste Freundin hat das auch" usw..

Und bei mir hat das nichts mit "nicht mögen" (der Marke an sich) zu tun, sondern dass mir irgendwann vor ca 10 Jahren mal auf den Keks gegangen ist, dass ich auf dem iPhone irgendwelchen Kram nicht so (einfach) machen konnte wie ich wollte, bei Samsung aber schon.

Prioritäten eben.

Zitat von EschBorn

Das Problem ist das Android ÖkoSystem mit ihren gefühlt 16.096 Herstellern und 83.654 Versionen und Derivaten.

Ja, das sehe ich auch so. Aber Samsung ist da eigentlich schon eine "Bank" und längst kein Exot mehr.

Zitat von EschBorn

Bei all dem ist aber zu bedenken dass es immer um wirtschaftliche Interessen sind.

Das ist mir natürlich auch klar

Zitat von Blueskin

Und das ist tatsächlich quasi ein unabänderliches "Naturgesetz"?🤔 (Ehrliche Frage!)

Ja, denn Software unterliegt (zum Glück) einer kontinuierlichen Weiterentwicklung. Man kann es aber auch auf greifbare Dinge anwenden.

Vor vielen Hundert Jahren war z.B. so ein Türschloss der heiße Scheiß:
Gemini_Generated_Image_kzf8h4kzf8h4kzf8.jpg

Irgendwann haben sich dann Menschen damit befasst, diese Schlösser zu knacken. Also haben wiederum andere Menschen noch sicherere Schlösser gebaut. Die wiederum geknackt worden sind.

Resultat? Heutzutage gibts irre mechanische Türschlösser, die mit der Urform im Mittelalter nur noch wenig zu tun haben.
Und selbst bei diesen geht es nicht um "unknackbar", sondern um "wie schwer ist es und wie lange dauert es, das Schloss zu knacken?"

Mehrere Generationen später würde der Schlossherr vermutlich so etwas einbauen lassen:
Gemini_Generated_Image_n63mspn63mspn63m.jpg

Mit Software ist es nicht viel anders. Man kann sie nur nicht anfassen. Und die Schlüssel sind nicht aus Metall, sondern bestehen aus Einsen und Nullen.

Zitat von Blueskin

Okay, also System EAhv (Ein Anderer hat's verbockt.)

Das ist natürlich wirklich blöd, wenn man sich drauf verlassen hat (oder verlassen musste), dass die Basis/alle Komponenten okay sind.

Das Prinzip gibt es auch in der Finanzbranche, wenn mal wieder ein "jetzt aber wirklich fast beinahe sicheres" System Kundengeld vernichtet - oder besser gesagt einem anderen Besitzer zugeführt - hat.

War dann halt blöd, wenn der Fondsmanager geglaubt hat, dass zugrunde liegende Objekte/Index/andere Fonds okay sind. Pech für den Kunden, aber leider unvermeidbar 😉

Auch das ist in vielen Fällen nicht anders.

Nehmen wir mal an, Du baust ein Haus. Alles ist toll und Du wohnst da total glücklich drin.

Plötzlich stehst Du morgens in der Küche und entdeckst einen fetten Riss in der Mauer. Der geht durchs gesamte Haus. Draußen sind sogar schon Steine aus der Fassade gefallen.

Was ist passiert? Tief unter Deinem Haus ist ein alter Bergbaustollen zusammengebrochen. Das Bergwerk hat schon vor vielen Jahren das Abbaugebiet aufgegeben und die Strecke sich selbst überlassen.

Wer ist jetzt Schuld? Das Bauunternehmen, welches Dein Haus gebaut hat? Das kann ja nichts dafür, dass plötzlich die Erde wackelt. Oder vielleicht doch, weil sie hätten wissen müssen, dass das Haus in einer Bergbauregion gebaut wird? Oder vielleicht Du selbst, weil Du es ebenfalls hättest wissen können?
Oder ist das Bergwerk schuld, weil sie sich nicht ausreichend um die Sicherung gekümmert haben?

Oder erwartest Du als Besitzer, dass das Bauunternehmen über Jahre das Fundament hätte ausbauen müssen, um der Situation entgegenzuwirken?

Das Bergwerk ist hier der Anbieter des Smartphones, der Bauunternehmer ist der App-Anbieter.

Zitat von Blueskin

Man stelle sich jetzt vor, die versammelte Ärzteschaft sagt dann "Ja, das ist halt so, da können Sie als Laie nicht mitreden. Hätten Sie eben in ein anderes Krankenhaus gehen müssen. " (Und ich dachte doch echt, die Tierklinik sei eine gute Wahl🤪)

Und genau deshalb finde ich es wichtig, dass man Dinge hinterfragt und umgekehrt eigenes Wissen weitergibt.
Ein "ich weiß es besser" trifft oft genauso auf Ablehnung wie ein "ihr habt doch alle keine Ahnung".

Zitat von cprbrn

Nein, das reicht nicht aus.

Doch das reicht aus. Ansonsten gibt es zusätzlich zu Chain oft Trust und Signaturen noch Diffy Hellman und SSL.

Die ganze Welt der vernetzten Computer funktioniert so. Alle Clouds.

Nur im Mobilfunkbereich glauben 2 Monopolisten, dass das nicht gut genug ist - für ihr Monopol und ihr Geschäftsmodell.

Zitat von cprbrn

Diese Lösung kommt sicher nicht aus dem Marketing.

Aus der IT Sicherheit schonmal nicht. Bleibt nur noch Googles koksende Marketingabteilung.

Zitat von cprbrn

Hier geht es auch darum, Verantwortung weiterzugeben bzw. diese Verantwortung gar nicht erst anzunehmen.

Ah, ein wahrhaftiger Compliance-Manager, der lieber Sicherheit auf dem Papier anstrebt, als sich mit der Realität auseinander zu setzten.

Der Makel einer ganzen Industrie: Ja es ist unsicher und dysfunktional, aber schau mal, wir haben da dieses schicke Zertifikat mit einer extra Portion Schlangenöl.

Sorry für den Sarkasmus, aber Fefe ist noch in Reha.

Zitat von cprbrn

Irgendwo ist halt mal Schluss.

Ja stimmt. Bei der Realitätsverweigerung und Buzzword Bingo auf unterster Manager Ebene machen Fachgespräche wirklich keinen Sinn.

Google Play Protect Zertifizierung verstößt gegen den Digital Markets Act, ist unsicher und nicht als Absicherung von Apps geeignet. Sehen sogar Banken so.

Du wirst vielleicht nie verstehen, dass Google hier das Problem ist und jeder der wie VW/Cupra aus purer Bequemlichkeit in deren Hintern steckt.

EOT.

Zitat von AuroraBlue

Die ganze Welt der vernetzten Computer funktioniert so. Alle Clouds.

Nicht korrekt. Gibt noch so Dinge wie VPN, IP-Whitelists etc.

Und was hat das App-Thema jetzt mit dem Mobilfunk zu tun?

Zitat von AuroraBlue

Du wirst nie verstehen, dass Google hier das Problem ist und jeder der wie VW/Cupra in deren Hintern steckt.

EOT.

Dann aber auch Apple, weil die bieten eine ähnliche Technologie an.

Nur dass Apple-Geräte hier aus bekannten Umständen deutlich seltener Probleme durch Inkompatibilitäten hat.

Zitat von AuroraBlue

Aus der IT Sicherheit schonmal nicht.

Aber ganz sicher kommt sie daher.

Härtung der API. Defense in Depth.

Statt sich nur auf eine Maßnahme zu verlassen, geht man das Thema gestaffelt an.

U.A schließt man die Anfragen aus, die gar nicht von den eigenen Anwendungen kommen. Dann gibts noch die Verifizierung, Rate-Limits, Verschlüsselungen etc.

Geht auch nicht nur um Sicherheit, sondern auch um Stabilität.

Google und Apple bieten Technologien an, um diese Schutzmaßnahmen umzusetzen.

Alte Systeme oder Geräte mit Fremdsoftware sind ausgeschlossen.

Bei den alten Systemen sind wir uns hoffentlich einig, dass diese ohne aktive Wartung ein Sicherheitsrisiko sind.

Und bei der Fremdsoftware werden keine zusätzlichen Ressourcen für alternative Sicherheitsmechanismen eingesetzt, da die von Google bereitgestellte Technik dort nicht funktioniert.

Ist schade, aber letztendlich auch eine wirtschaftliche Entscheidung.

Zitat von AuroraBlue

Ja stimmt. Bei der Realitätsverweigerung und Buzzword Bingo auf unterster Manager Ebene machen Fachgespräche wirklich keinen Sinn.

Ich bin Softwareentwickler und entwickle u.A. Systeme (unter macOS), die dann auf Linux Servern laufen. Auch mit Schnittstellen und so.

Für den einen ist es ein Buzzword-Bingo, für den anderen sind es Fachbegriffe.

Ich weiß, wie anstrengend Menschen sein können, die sich nur ultimativ auf ein System einschließen. Genau anstrengend finde ich aber die Menschen, die in ihrer Bubble aus eigenen Entwicklungen leben und nicht verstehen, warum Oma Erna auf ihrem Smartphone nicht einfach den Kernel selber patched und Opa lieber Windows 10 statt Gentoo benutzt.

Weiterhin bin ich auch kein Fan von den Softwareergebnissen, die man von Cupra so bekommt.

Die Änderung der Mindestanforderungen kreise ich ihnen nicht an.

Man hätte es aber deutlich vorher sinnvoll kommunizieren können. Am

Besten Monate vorher in der App.

Dann gibt’s auch keine blöden Überraschungen.

Was für ein Gedöns hier abgeht! Könnt Ihr dafür einen eigenen Faden aufmachen? Und falls es was Neues für uns 99% durchschnittlich begabte Normales gibt, gerne hier posten.

cprbrn, EschBorn , AuroraBlue :

Um zu ausufernde Zitate zu vermeiden : Herzlichen Dank für Eure ausführlichen Erläuterungen, von denen ich einen Teil sogar verstanden zu haben glaube

Ich lasse das jetzt erst mal sacken.

Wenn bzw. falls Cupra dann demnächst eine oder gar beide Kaltstellung(en) zurücknimmt, wird es bestimmt wieder lustig hier werden. (Und wenn nicht bestimmt auch... 😅)

Zitat von cprbrn

Und was hat das App-Thema jetzt mit dem Mobilfunk zu tun?

Auf den Mobilfunk Endgeräten laufen diese Apps? Sorry wenn das missverständlich war, dass ich von den Betriebssystemanbietern Apple und Google sprach.

Zitat von cprbrn

U.A schließt man die Anfragen aus, die gar nicht von den eigenen Anwendungen kommen.

Das ist prinzipiell unmöglich. Man kann nicht sicherstellen, mit welcher Software man redet, weil man das andere System nicht remote kontrollieren kann. Alles lässt sich imitieren.

Das wird beim Aushebeln der Play Protect Zertifizierung ausgenutzt, weil diese remote erfolgt. Google fragt seine eigenen Services auf dem Gerät an, bekommt eine gefälschte Antwort und bestätigt zu unrecht den Status, weil keine vollständige Attestation durchgeführt wird.

Mit jedem Update der GMS muss man das erneuern, was es dann doch etwas unpraktisch macht.

Aber die Play Protect Zertifizierung ist somit broken by design. Schlangenöl.

Ja, es gibt Methoden, wie man mit vertretbarem Risiko das Vorhandensein der eigenen App prüfen kann. Das hat aber Google nicht erfunden und es gibt viele Lösungen dafür, die nicht über deren proprietäre Schnittstellen laufen müssen.

Zitat von cprbrn

Google und Apple bieten Technologien an, um diese Schutzmaßnahmen umzusetzen.

Ja, aber die online Zertifizierungen gehören nicht dazu. Die sind technisch unzureichend und marktverzerrend.

Beim Jailbraking kenne ich mich aber nicht näher aus.

Zitat von cprbrn

Geräte mit Fremdsoftware sind ausgeschlossen.

Das hat dann aber keine technische oder prinzipiellen Sicherheitsgründe, sondern ist politisch. Man will sie ausschließen (Google) oder man nimmt es aus Ignoranz in Kauf (Cupra/VW).

Zitat von cprbrn

Und bei der Fremdsoftware werden keine zusätzlichen Ressourcen für alternative Sicherheitsmechanismen eingesetzt, da die von Google bereitgestellte Technik dort nicht funktioniert.

Hardware Attestation wird von Google als Teil von Android bereitgestellt und bedarf keiner zusätzlichen Ressourcen. Damit erfolgt auch dann direkt die Integritätsprüfung. Es funktioniert auch auf Fremdsystemen wegen des Google Rootzertifikat in jedem Smartphone und ist nahezu unknackbar. Ganz im Gegenteil zur Play Protect Zertifizierung, die knackbar ist und aus Gründen des Monopolerhalts datenschutzfreundliche Systeme ausschließt.

Ironischerweise basiert sie auf der Hardware Attestation, aber versagt in der Umsetzung.

GrapheneOS attestation compatibility guide

Guide on using remote attestation in a way that's compatible with GrapheneOS.

grapheneos.org

Wie schon erwähnt nutzen auch viele Banken diesen Mechanismus, auch wegen den rechtlichen Risiken der Protect Zertifizierung.

Es verstößt nunmal gegen den Digital Markets Act, seine Marktbeherrschung zur Unterdrückung des freien Wettbewerbs einzusetzen oder solche Praktiken mit Zwängen gegenüber Kunden zu unterstützen.

Und ja, auch Apple ist da problematisch mit ihrem Accountzwang und dem fehlenden Sideloading. Aber da tut sich was aufgrund der EU Vorgaben mit alternativen Stores. Da es aber nicht zu deren Kerngeschäft gehört, Leute auszuspionieren und die Daten meistbietend zu verhökern, traue ich denen deutlich mehr als Google.

Also wäre das der Notbehelf, wenn das tausendjährige Duopol kommen sollte.

Zitat von Born007

Was für ein Gedöns hier abgeht! Könnt Ihr dafür einen eigenen Faden aufmachen? Und falls es was Neues für uns 99% durchschnittlich begabte Normales gibt, gerne hier posten.

Oh. Sorry.

Ja ich werde mich etwas mehr zurückhalten.

Ist aber halt auch ein wichtiges und emotionales Thema. Da hängt auch die viel beschworene, europäische Souveränität dran, wer die Technik kontrolliert und wie.

Zitat von AuroraBlue

Es verstößt nunmal gegen den Digital Markets Act, seine Marktbeherrschung zur Unterdrückung des freien Wettbewerbs einzusetzen oder solche Praktiken mit Zwängen gegenüber Kunden zu unterstützen.

Da stimme ich komplett zu. Wobei man da meiner Meinung auch nochmal zwischen veralteten Systemen und „Fremdsystemen“ unterscheiden muss.

Hier gibts ja aktuell eigentlich zwei Baustellen.

Und ja, teilweise ist es dumm, dass es mehr ums Prinzip als um die Technik an sich geht. Beispielsweise bei Haftungsfragen oder rechtlichen Vorgaben. Aber das gehört nunmal leider dazu.

Und obwohl ich durchaus gerne bastle, bin ich absolut überzeugter und zufriedener Apple-User.

Jedes Gerät wurde bisher länger mit Updates versorgt, als ich es je besessen habe. Alles funktioniert.

Wenn’s im Umfeld Probleme mit dem Smartphone gab, dann war dort zu 90% hinten kein angeknabberter Apfel drauf.

Im beruflichen Kontext genau so. Welche Geräte Stressen? Irgendwelche Android-Krücken mit Browser-Engines aus dem 19 Jahrhundert.

Das ist ähnlich schlimm wie zu Zeiten des Internet-Explorers vor über 15 Jahren.

Ich möchte aber auch nich den klassischen Glaubenskrieg entfachen.

Bevor ich ein vom Hersteller verdrehtes Android mit integrierter Datenkrake nutzen würde, würde ich auch lieber eine andere Distribution installieren.

Und wenn sich mehr Hersteller (egal ob von Smartphone oder Auto) besser um die Softwarewartung kümmern würden, würden solche Diskussionen auch gar nicht erst entstehen.