Guten Tag, um mich bei meiner Bank mit dem Desktop-PC einzuloggen muss ich Mitglied-Nr. und ein Passwort eingeben, zusätzlich verlangt es eine Autorisierung mit der Mobile-ID übers Smartphone(bei mir Iphone). Nun aber habe ich nicht schlecht gestaunt, als nach der Anforderung der Mobil-ID des Desktop-PC's sich bei meinem Iphone das Display eingeschaltet hat und mich nach der Mobil-ID gefragt hat, das, obschon ich Mobile Daten, Wlan und bluetooth ausgeschaltet habe. Das bedeutet, dass das Iphone trotz ausgeschalteter Kommunikation Verbindung zum Internet hat, beunruhigend... Ich habe eine Prepaid-SIMKarte, also müsste es mir eigentlich etwas für Daten von meinem Guthaben abziehen, macht es aber nicht.- Weiss jemand wie das funktioniert?
Zitat: spionage Wenn du keine handfesten Beweise hast, solltest du vielleicht darauf verzichten so wilde Behauptungen in die Welt zu setzen. Offenbar fehlt dir ja das technische Verständnis und willst dann wissen, dass es Spionage ist?
Das war eine Typ0-SMS. Die oeffnet sich automagisch. Eine typische Dummfon/Schlaufon/Eifon-Messageapp kann die nicht O.O.B. erzeugen. Deswegen sieht mann sowas eher selten. Lustig wirds, wenn man wieder ein Apfelexploit exisitiert, wo bereits eine simple "Zeichenkette" solches "Hightech" bestenfalls nur abstuerzen laesst. Da nuetzt der Hinweil "Nicht oeffnen" naemlich gleich gar nicht.
1. Wäre das keine spionage. 2. Was hätte ein solches vorgehen für einen sinn für eine bank?
Cartman schrieb: > Das war eine Typ0-SMS. Die oeffnet sich automagisch. Solche SMS wird in D m.W. vorwiegend von der BKA-Bank genutzt, Tendenz deutlich zunehmend, und öffnet sich keineswegs automagisch. Ganz im Gegenteil. ;-)
:
Bearbeitet durch User
Beitrag #6893618 wurde vom Autor gelöscht.
Ist das eine Schweizer Spezialität? Bei der Suche lande ich jedenfalls überwiegend dort. https://www.onlinepc.ch/software/sicherheit/chiptan-pushtan-co-bedeutet-1734020.html?page=3_mobile-id-und-welche-verfahren-nutzen-schweizer-banken
Hilf das weiter: https://blog.richpollock.com/2014/06/class-0-sms-messages/ https://en.wikipedia.org/wiki/GSM_03.40#Protocol_Identifier
wenn man eine Banking App drauf hat wird die sicherlich so konfiguriert sein, dass Sie auch auf SMS horcht. Probier es mal mit dem Flugmodus. Wenn du aber sichergehen willst, dann wirfst du ein Überweisungsformular bei der Bank ein. Aber das kostet dann wahrscheinlich 1 €.
@ Cartman, @Fpgakuechle K. : Danke für den Hinweis, werde mich tiefer informieren diesbezüglich. Der Titel "Spionage" ist unglücklich gewählt, meiner Bank unterstelle ich nichts dergleichen. Mit Spionage meinte ich eher, dass der Datenübertragungsweg vorbei an Wlan, Bluetooth und mobilen Daten gehen kann. Könnte mir vorstellen, dass Pegasus so seinen Weg ins Smartphone findet. SMS und Telephonie haben einen eigenen Kanal, 4G löst dies mit fallback zu 2G od. 3G.
herba schrieb: > 4G löst dies mit fallback zu 2G od. 3G. Anfangs ja, aber heute sollte VoLTE schon ziemlich verfügbar sein, und hoffentlich auch SMS.
Thomas O. schrieb: > wenn man eine Banking App drauf hat wird die sicherlich so konfiguriert > sein, dass Sie auch auf SMS horcht. Probier es mal mit dem Flugmodus. Banking APP habe ich keine auf dem Handy, das Handy managt nur die mobile ID. Wie soeben erwähnt, die Bank ist nicht das Problem, nur der Übertragungsweg. Auf SMS horchen, vielleicht - aber den PIN muss ja das Smartphone zurück an den PC bzw. an die Bank schicken, dies bei ausgeschalteter Kommunikation.
(prx) A. K. schrieb: > herba schrieb: >> 4G löst dies mit fallback zu 2G od. 3G. > > Anfangs ja, aber heute sollte VoLTE schon ziemlich verfügbar sein, und > hoffentlich auch SMS. Ja, VoLTE ist auf meinem Netz verfügbar, offensichtlich läuft darüber auch ein kleiner Datenverkehr.
herba schrieb: > Banking APP habe ich keine auf dem Handy Wenn ich den Schweizer Text richtig verstehe, dann ist die App auf der SIM drauf.
herba schrieb: > a, VoLTE ist auf meinem Netz verfügbar, offensichtlich läuft darüber > auch ein kleiner Datenverkehr. LTE ist IP-Datenverkehr und VoLTE eine Art Voice over IP.
:
Bearbeitet durch User
(prx) A. K. schrieb: > herba schrieb: >> Banking APP habe ich keine auf dem Handy > > Wenn ich den Schweizer Text richtig verstehe, dann ist die App auf der > SIM drauf. Eine App auf der SIM? Hat eine SIM ein Betriebssystem?
Aus obigem Schweizer Link: "Auf der Mobile-ID-fähigen SIM-Karte ist eine kleine Anwendung integriert. Diese Anwendung kann verschlüsselte Nachrichten in Form sogenannter stiller SMS empfangen, entschlüsseln, verschlüsseln und versenden." Wie das zusammenspielt weiss ich nicht. Die Anwendung muss auch nicht zwangsläufig auf der SIM selbst laufen.
:
Bearbeitet durch User
(prx) A. K. schrieb: > Aus obigem Schweizer Link: "Auf der Mobile-ID-fähigen SIM-Karte ist eine > kleine Anwendung integriert. Diese Anwendung kann verschlüsselte > Nachrichten in Form sogenannter stiller SMS empfangen, entschlüsseln, > verschlüsseln und versenden." > > Die muss dazu nicht auf der SIM selbst laufen. OK, werde das mal studieren, danke.
herba schrieb: > Eine App auf der SIM? Hat eine SIM ein Betriebssystem? Stichwort: SIM-Toolkit, Java-Applet, SIM-Access-Profile. Auf jeder Chip-Karte können Anwendungen installiert werden. Auf dem elektronischen Personalausweis z.B. ist eine kleine Anwendung installiert.
:
Bearbeitet durch User
meckerziege schrieb: > 2. Was hätte ein solches vorgehen für einen sinn für eine bank? Die Frage die sich der TO auch stellt, besonders wenn er sich NICHT eingeloggt hat. herba schrieb: > Könnte mir vorstellen, > dass Pegasus so seinen Weg ins Smartphone findet. Manchmal kommt in Serien vor das der Gute das Handy des bösen einschalten soll. Und dann als Antwort gibt : "Geht nicht er hat den Akku rausgenommen" Und nun frag dich mal wieso die Akkus eingeklebt sind. ;) Aber man kann ja (NOCH) die Sim-Karte entfernen. Bloss wieso sind dann die E-Sim so im kommen bei den Herstellern. Und nein ich habe kein Alu-Hut. ;) Aber meine Aussage gilt : Man kann sich nicht gegen Spionage wehren, nur sich aussuchen wer ein Ausspioniert. ;)
Schlaumaier schrieb: > Und nein ich habe kein Alu-Hut. ;) Wozu auch, wenn sich darunter offensichtlich nichts schützenswertes befindet. Gegen dein Paranoiasmartphone hilft übrigens ne Keksdose.
herba schrieb: > Eine App auf der SIM? Hat eine SIM ein Betriebssystem? Guter Überblick (in englisch): https://media.ccc.de/v/36c3-10737-sim_card_technology_from_a-z
> und öffnet sich keineswegs automagisch
Zumindest fuer mein Dummfon habe ich einen Logger der alle
eingehenden SMSen als Raw-Dump in ein Log schreibt.
Und damit dann weiter nichts tut...
Gegen weiteres Unbill kann ich mit dem FTA auch den
Servicekanal selbst einstellen und die Automatik ausschalten.
Paranoiker koennten ausserdem kontrollieren ob die eingebuchte
Zelle plausibel ist.
Auch in Deutsch unter https://cdn.media.ccc.de/congress/2019/h264-hd/ File: 36c3-10737-deu-SIM_card_technology_from_A-Z.mp4 downloadbar. Markus
:
Bearbeitet durch User
Angehängte Dateien:
-
MobileID.PNG
91 KB
(prx) A. K. schrieb: > Aus obigem Schweizer Link: "Auf der Mobile-ID-fähigen SIM-Karte ist eine > kleine Anwendung integriert. Diese Anwendung kann verschlüsselte > Nachrichten in Form sogenannter stiller SMS empfangen, entschlüsseln, > verschlüsseln und versenden." > > Wie das zusammenspielt weiss ich nicht. Die Anwendung muss auch nicht > zwangsläufig auf der SIM selbst laufen. Nach kurzer Suche scheint Mobile-ID ein speziell schweizerisches System zu sein, das der Swisscom gehört, und alle schweizer Provider mit einbezieht, die dann entsprechende Sim-Funktionalitäten bereitstellen. Der Kunde, bspw. die Bank, macht dann einen Vertrag mit Swisscom, und schickt bei einem Login-/Transaktionsversuch des Bankkunden eine Anfrage an den Swisscom-Server, der veranlasst die Identifizierung über die SIM-Karte mittels stiller SMS, die veranlasst eine Rücknachricht mit den Daten, die gehen zum Swisscom-Server, über den dann der Bankserver wiederum die erfolgte Legitimation erfährt. Da die Provider mit im Boot stecken, fallen für die ausgehenden Daten keine SMS-Kosten an, bzw. es wird dem Handykunden ggü. nichts protokolliert. So hab ich es zumindest verstanden. Wenn das alles auf Providerebene passiert und das ordentlich durchdacht ist, kann zumindest kein Dritter einfach eine ID-Abfrage per stiller SMS an die Handynummer absetzen um an die ID zu gelangen.
Peyer schrieb: > Der Kunde, bspw. die Bank, macht dann einen Vertrag mit Swisscom, und > schickt bei einem Login-/Transaktionsversuch des Bankkunden eine Anfrage > an den Swisscom-Server, der veranlasst die Identifizierung über die > SIM-Karte mittels stiller SMS, die veranlasst eine Rücknachricht mit den > Daten, die gehen zum Swisscom-Server, über den dann der Bankserver > wiederum die erfolgte Legitimation erfährt. Da die Provider mit im Boot > stecken, fallen für die ausgehenden Daten keine SMS-Kosten an, bzw. es > wird dem Handykunden ggü. nichts protokolliert. > > So hab ich es zumindest verstanden. > > Wenn das alles auf Providerebene passiert und das ordentlich durchdacht > ist, kann zumindest kein Dritter einfach eine ID-Abfrage per stiller SMS > an die Handynummer absetzen um an die ID zu gelangen. Vielen Dank für die Ausführungen.
Wer braucht schon die Schweizer. Verimi bietet einen ähnlichen Dienst in Deutschland an.
> die Identifizierung über die SIM-Karte mittels stiller SMS
Stille SMS kann im Prinzip jeder senden. Wenn die Sicherheit des
Verfahrens nur darauf baut, ist es potentiell unsicher.
Oder der Kunde erst im Nachgang erfaehrt, dass eine Transaktion
stattgefunden hat,
Ich habe ueberhaupt nichts dagegen, eine per normaler SMS zugesandte
TAN irgendwo wieder selber einzutippen.
Weil damit autorisiere ich das ganze erst.
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.