Hardware attestation, cts, safetynet machbar mit Custom ROM?

Hi,

auch wenn die Antwort nach Betteridge eh „Nein“ sein wird, stelle ich die Frage mal hier rein, nachdem mir die https://xdaforums.com/ hierzu ein wenig zu unübersichtlich sind.

Ich hatte auf diversen älteren Handys schon Custom ROMs aufgespielt, mit xposed und magisk rumprobiert, aber irgendwie nie zum Ziel gekommen, dass auch die inzwischen mehr oder weniger „Secure Banking Apps“ auch auf Android Custom ROMs laufen.

Klar, ich kann auch für jede Bank einen Token Generator anschaffen, aber so richtig der Weisheit letzter Schluss kann es auch nicht sein, dass man Rechenpower ohne Ende im Phone hat, aber dann noch einen Rucksack an Geräten dazu mitschleppen muss, wenn man kein Firmen-OS von Googles Gnaden nutzt.

Da mein OnePlus Nord/AC2003/avicii spätestens im Juli aus den versprochenen 4 Jahren Sicherheitsupdates rauslaufen wird, meine Frage hier, gibt es irgendeine auch im Alltag nutzbare Möglichkeit eines Custom ROMs, wo Safety Net, cts, Play Protect (um mal alles in einen Topf zu werden), funktioniert, damit auch mehr oder weniger beliebige Playstore Apps funktionieren[1]?

Ich lasse mich gerne eines besseren belehren, aber mein stand jetzt ist, dass ich dann wohl auf ein FP5 wechseln werde und das OnePlus mit Custom ROM an meine Mutter weitergeben werde.

Grüße und ich hoffe, ich werde nicht gleich in meinem ersten Post zerrissen

[1] Ich höre noch immer mein Gelächter an der TK-Hotline, die mir erzählen wollten, dass ein Custom ROM Handy per se unsicherer sei als ein OS, das seit 3-5 Jahren aus dem Hersteller Support raus war.

Auch wenn du kein GrapheneOS nutzt, empfehle ich hierzu den Abschnitt aus dem Usage Guide zu lesen, der das ganz gut erklärt:
https://grapheneos.org/usage#banking-apps

Dort gibt es auch einen Link zu einer Bank-Kompatibilitätsauflistung. Wenn etwas nicht aufgelistet ist, einfach in der Community fragen. Ich hatte mit GrapheneOS noch keine Probleme bei deutschen Bank- und PushTAN-Apps.

Würde dir in dem Zuge auch vom Fairphone abraten und stattdessen zum Google Pixel. Die GrapheneOS-Entwickler haben zurecht schon mehrfach die schlechten Sicherheitsstandards von Fairphone kritisiert. Zudem war Fairphone in der Vergangenheit nicht ehrlich mit ihren Update-Versprechen (regelmäßig deutlich verzögerte Auslieferung von Sicherheitsupdates, fehlende Firmware und Treiber-Updates usw). Und GrapheneOS bietet Sicherheits- und Privacyfeatures, die es sonst nirgends gibt. Ab Google Pixel 8 gibt es 7 Jahre Updates, was auch in Punkto Nachhaltigkeit sehr gut ist.

Safetynet ist veraltet, Play Integrity API ist mittlerweile der Standard:

https://developer.android.com/google/play/integrity/overview

• dort solltest du selbst mit einem CustonROM keine Probleme haben root vor den BankingApps zu verstecken…

Zygisk und MagiskHide sind hier die Zauberwörter;)

Danke für den Hinweis, mal schauen was da geht, denn in der Liste der Banken fehlen dann noch so „Spezialisten“ wie Postbank bzw. Volksbanken. Falls gar nichts geht, müsste man dann allerdings mit einem „Voll-Google“ Handy bis 2030 weitermachen und hoffen, dass die nicht noch weiter frei drehen.

So ein 8 pro ist auf jeden Fall nicht wirklich günstig, aber mal schauen.

Die beiden VR Apps funktionieren problemlos.

Naja, wie auch immer der aktuelle Standard ist, letzte Versuche 2022/23 mit einem OnePlus 5T (Lineage, irgend ein anderes ROM und dann aus Verzweiflung noch AOSP Selbstbau) war auch mit Magisk/Zygisk/MagiskHide nicht wirklich Alltagstauglich.

Ich habe kein Problem mit 2-4 Wochen rumbasteln, aber wenn man dann bei jedem Update hier und da wieder neu mit Identifier Strings rumspielen muss, dann noch dieses oder jenes Modul reinpatchen muss, nervt es mich halt auch irgendwann

Es gibt zu dem Thema keine Standardlösung und wird auch niemals geben. Was heute funktioniert, kann morgen unmöglich sein. Sei es aufgrund von Änderungen durch Google oder der Apps selber.

Wenn die Bank sagt, irgendein „koscheres“ Android-Gerät, das seit Jahren kein Update mehr gesehen hat, ist für ihre App ok, aber ein brandneues Pixel mit up to date Graphene/Calyx/DivestOS nicht, dann finde ich ist das eben ein Risiko der Bank. Altes billiges Androidhandy kaufen, neu aufsetzen, Bank-App installieren und sonst keine weiteren Apps. Keine SIM drin, nicht zum Browsen benutzen. Das Risiko eines Hacks oder Malware dürfte in der Realität sehr gering sein. Wenn da trotzdem irgendwas gehackt wird, müsste doch eigentlich die Bank den Schaden ersetzen, weil sie ihre App nicht sicher genug gemacht hat bzw weil sie es ja ausdrücklich erlaubt hat, dass ihre App auf uralten unsicheren Android-Handys installierbar ist.

Banken haften in so einem Fall natürlich nicht.

Im Übrigen bekommen die meisten LineageOS-Geräte keine Vendor-Updates. Diese machen einen signifikanten Anteil der Sicherheitsupdates aus und kann von LineageOS nicht ersetzt werden. LineageOS ist zwar besser als gar keine Sicherheitsupdates mehr, aber deshalb noch lange nicht gut.

Wer haftet denn dann eigentlich dafür?

Zumal die Bank ja erstmal nachweisen müsste, dass der User fahrlässig gehandelt hat …

Na du als Nutzer. War doch schon immer so, wenn du Malware hattest oder gehackt wurdest, dass man mit den Konsequenzen leben muss. Wenn man es rechtzeitig merkt, kann man manche Transaktion vielleicht noch mithilfe der Bank rückgängig machen.

Warum? Für die Smartphone-Sicherheit von Kunden kann wohl schwer die Bank verantwortlich gemacht werden.

Das war jetzt eher auf den Fall bezogen, wenn sich die App für den 2. Faktor auf einem uralt Androiden installieren lässt und man sich durch den Playstore was einfängt weil eine alte Sicherheitslücke des Geräteherstellers nicht mehr geschlossen wurde, die Bank das Gerät aber als sicher für den App einstuft;)

Ist natürlich eher unwahrscheinlich der Fall, aber nehmen wir es einfach mal an:)

So, hier noch kurz als „Abschluss“ meinerseits für das Thema (und sorry für die gut 2 Wochen Leerlaufzeit, irgendwie war ich seit Ostern sehr mit Lesen/Einschätzen der „xz“ Problematik und weiteren beruflichen… Unwägbarkeiten beschäftigt).

Ja, mir ist klar, das das was heute klappt nicht 100% sicher in 3 Jahren immer noch funktionieren wird bzw. es etwas anderes gibt, was man nutzen könnte - sind halt großteils Hobbyprojekte bzw. arbeiten Freiwillige dran.

Ich denke, ich schaue mir GrapheneOS noch einmal genauer an, im schlimmsten Fall müsste ich halt entweder die „StockOS-Wanze“ auf dem Pixel laufen lassen oder halt ein ranziges €100-Elektroschrott Handy mit ORIGINAL ANDROID für die Banking Apps nutzen seufz.

Danke auf jeden Fall, allerdings weiß ich nicht, welche Antwort ich als „Antwort“ markieren sollte.