Sicherheitsproblem bei Schnelleinstellungen  

  RSS

BlauesFahrrad
(@blauesfahrrad)
Beigetreten: vor 3 Monaten 
Beiträge: 5
28.12.2018 00:35  

Hallo, mir ist folgendes aufgefallen:
Obwohl mein HTC U11 (ev. auch andere Modelle) mit Fingerabdruckscanner gesichert ist, ist es möglich im Sperrbildschirm auf die Schnelleinstellungen zuzugreifen und sicherheitsrelevante Einstellungen zu verändern wie z.B: Flugmodus / Mobile Daten / WLAN & NFC

Erstere sind z.B. wichtig für die Ortung bei Verlust.
NFC ist in Verbindung mit Mobile Payment problematisch. Bei Verlust, Mehrfachzahlungen zu je 25€ möglich.

Bei meinem Huawei und Samsung ist der Zugriff auf diese Einstellungen nur nach vorheriger Entsperrung möglich.

Was kann man machen, damit der Zugriff auf die Schnelleinstellungen aus dem Sperrbildschirm nicht möglich ist? Es gibt ohnehin keinen zeitlichen Vorteil.


AntwortenZitat
ElDiablo
(@eldiablo)
Trusted Member
Beigetreten: vor 5 Monaten 
Beiträge: 83
28.12.2018 06:46  

Wer ist denn auf die hirnrissige Idee gekommen da Zugriff auf die Schnelleinstellungen zu geben? 😨

Die Frage ist jetzt wie problematisch das ganze wirklich ist.

Mobile Paiment ist doch nur bei entsperrtem Gerät möglich oder?

Ich hab mal in einem Bericht gesehen dass Diebe als aller erstes die SIM Karte entfernen um das Orten zu verhindern. Macht für die natürlich Sinn weil es das einfachste ist bei so vielen Handy Herstellern.

Aber im Prinzip gebe ich dir Recht dass die Schnelleinstellung ebenfalls gesperrt gehört. 


AntwortenZitat
SmartphoneGuru
(@smartphoneguru)
HTC Hero
Beigetreten: vor 5 Monaten 
Beiträge: 555
28.12.2018 07:26  

Guten Morgen @blauesfahrrad ,

 

dass man von überall, und immer auf die Quick Settings zugreifen kann, ist dem Grunde nach zunächst einmal so durch Google - als Android Entwickler - gewollt gewesen, auch wenn sie es inzwischen selbst wieder geändert haben. Daher spricht man auch von Quick Settings, die es einem ermöglichen, schnell - und vor allen Dingen von überall - auf Basis-Features, wie etwa auch die Taschenlampe, zugreifen zu können.

Dass man bei Samsung und Huawei erst nach entsperren darauf kommt, ist zwar vermeintlich sicherer, wurde aber von den OEM selber in das System integriert, während sich HTC für den Google Weg entschieden hat. Ich bin an dieser Stelle zwiegespalten, da es für mich ein abwägen zwischen vermeintlich mehr Sicherheit, aber weniger Komfort bedeutet.

Einstellungen zu verändern, wie Flugmodus / Mobile Daten / WLAN & NFC ist aus meiner Sicht nur dann sicherheitsrelevant, wenn man Apps benutzt, die eine Sicherheitslücke haben, denn in der Tat muss ich @eldiablo hier Recht geben, denn KEINE App sollte Mobile Payments frei geben, ohne Bestätigung in der App, und so lange das Gerät gesperrt ist.

Vielleicht sollte HTC darüber nachdenken dieses Feature so zu gestalten, wie etwa bei der Viper ROM, einer beliebten HTC Custom ROM, will sagen: der User kann in den Einstellungen entscheiden, ob er vom Sperrbildschirm auf die Quick Settings zugreifen will, oder nicht. So kann jeder selbst entscheiden, ob er mehr Sicherheit, oder mehr Komfort haben möchte.

 

Beste Grüße 

Sascha 

Dieser Post wurde am vor 3 Monaten  3 times von SmartphoneGuru bearbeitet

PHONE: HTC U12+ (imedugl) - Android 8.0.0 - HTC Sense 10 - 1.53.401.5
WATCH: Fossil Sport - Android 8.1.0 - Wear OS 2.6
TABLET: Huawei MediaPad M5 10.8 Pro - Android 9 - EMUI 9.0 - 9.0.1.131(C432) BETA
------------------------------------------------------------------------------------------------
† Desire, Sensation, One X, One (m7), One M8, One M9, 10, U11, U Play | HTC Flyer, Huawei MediaPad M2 10.1 Premium | Motorola Moto 360 (2nd Gen.) †


AntwortenZitat
Wilfried Snieders
(@wsnieders)
Beigetreten: vor 3 Monaten 
Beiträge: 25
28.12.2018 12:07  

Man kann natürlich hingehen, und die ganzen "sicherheitsrelevanten" Kacheln aus den Quick-Settings entfernen... aber wenn man dann etwas aktivieren/deaktivieren möchte, muss man halt den weiteren Weg über das Einstellungsmenü gehen.

Meine HTC-Timeline:
2010-2014 HTC Desire HD
2014-2017 HTC One M8
seit 2017 HTC U11


AntwortenZitat
BlauesFahrrad
(@blauesfahrrad)
Beigetreten: vor 3 Monaten 
Beiträge: 5
28.12.2018 21:24  

Danke für eure Antworten.
Ich werde erst einmal NFC aus den Quick-Settings entfernen wie @wsnieders geschrieben hat, das führt die Quick-Settings dann ad absurdum.

Ich weiß nicht wie es bei Apple ist, aber bei Android muss das Handy bei Zahlungen bis 25€ nicht entsperrt werden (leider!) nur das Display muss an sein, also Power Button oder Menü Butten mit dem falschen Finger drücken reicht. Anschließend kann der Dieb mehrfach! bis 25€ Zahlungen tätigen. Einziger Schutz NFC immer nach der Zahlung ausschalten...und aus den Quick-Settings entfernen 😉

@smartphoneguru
Ich sehe keinen Komfort-Gewinn durch den Zugriff auf die Quick-Settings aus dem Sperrbildschirm.
Man drückt doch in beiden Fällen die Menü-Taste (Fingerabdruckscanner) und anschließend wischt man die Settings runter. Wenn einer ein PW eintippen oder ein lustiges Entsperrmuster wischen muss ist das was anderes, aber wer macht das denn noch?
Ich habe Android 8.0.0 installiert mit dem kommenden Android 9 wäre das Problem dann gelöst?


AntwortenZitat
SmartphoneGuru
(@smartphoneguru)
HTC Hero
Beigetreten: vor 5 Monaten 
Beiträge: 555
29.12.2018 08:38  

Das mit den NFC Zahlungen war mir so nicht bekannt. Welche App nutzt Du da, die das so zulässt, wenn ich fragen darf. Interessiert mich persönlich, da sie auf mein Gerät dann nicht drauf kommt, denn so was können, und müssen, die Entwickler innerhalb der App konfigurieren - Fakt. Und die Postbank App, die ich nutze lässt eben auch NFC Zahlungen nur dann zu, wenn das Gerät entsperrt, und die Zahlung zusätzlich per Fingerprint (oder PIN) bestätigt worden ist - wie es bei Banking Apps meiner Meinung nach auch sein sollte. 

Persönlich nutze ich häufiger den Double Tab zum Wecken des Gerätes und greife auf diverse Quick Settings zu, wie Flugmodus, WLAN und Bluetooth, ohne das Gerät zu entsperren. Da ist halt jeder im Nitzungsverhalten anders, weshalb ich die Möglichkeit es selbst entscheiden zu können am Richtigstellung finde.

Bei Apple kann man übrigens auch bei gesperrten Gerät auf alle Quick Settings zugreifen. Wenn es die gleiche App bei Apple gibt, müsste man einmal ausprobieren, ob es dort auch bei gesperrtem Bildschirm geht, und der Entwickler dort also die gleiche Lücke offen gelassen hat. Für Apple Pay muss das Gerät, meines Wissens nach, ebenfalls entsperrt sein, um Zahlungen zu tätigen. 

Dieser Post wurde am vor 3 Monaten  5 times von SmartphoneGuru bearbeitet

PHONE: HTC U12+ (imedugl) - Android 8.0.0 - HTC Sense 10 - 1.53.401.5
WATCH: Fossil Sport - Android 8.1.0 - Wear OS 2.6
TABLET: Huawei MediaPad M5 10.8 Pro - Android 9 - EMUI 9.0 - 9.0.1.131(C432) BETA
------------------------------------------------------------------------------------------------
† Desire, Sensation, One X, One (m7), One M8, One M9, 10, U11, U Play | HTC Flyer, Huawei MediaPad M2 10.1 Premium | Motorola Moto 360 (2nd Gen.) †


AntwortenZitat
Tcheik
(@tcheik)
Beigetreten: vor 4 Monaten 
Beiträge: 40
29.12.2018 22:04  

Ich habe mich nicht viel Gedanken darüber gemacht, aber bei NFC mobil Zahlungen benutze ich die App vom Deutsche-Bank die lässt nur Zahlungen wenn das Handy entsperrt ist.

Bei den anderen Einstellungen die einzige wo man sich Gedanken machen muss ist die GPS Taste die kann man entfernen die andern macht meiner Meinung eher wenig Probleme wegen Sicherheit wenn das Handy geklaut ist wird es sowieso nicht im WLAN verbunden sein und wahrscheinlich nicht im mobil Netz weil die Karte entfernt ist.

Beim Iphone ist wie @SmartphoneGuru erwähnt hat kann man auch auf die schnell Einstellungen zugreifen ich habe einen Iphone SE als Firmen Handy bekommen da kann man auch auf WLAN, mobile Netz, Bluetooth und Flugmodus zugreifen plus paar andere Kleinigkeiten wie Taschenrechner, Taschenlampe usw. 

Gruß
Chakib

Aktuell: HTC U12+ TranslucentBlue


SmartphoneGuru zugestimmt
AntwortenZitat
BlauesFahrrad
(@blauesfahrrad)
Beigetreten: vor 3 Monaten 
Beiträge: 5
30.12.2018 12:27  

@smartphoneguru
Die App die ich benutze heißt Google Pay. Und es ist kein bug sondern ein feature!
Genau genommen ein comfort-feature, welches genau so absurd ist, wie das bei den Quick Settings.

Weitere Infos bei google: Google Pay braucht unter 25 Euro keine Entsperrung (Quelle: Golem.de)

Ich hoffe, dass mit dem update auf Android 9 das Quick Settings Problem gelöst wird!? Und vielleicht kommt sogar google noch zur Vernunft.


AntwortenZitat
SmartphoneGuru
(@smartphoneguru)
HTC Hero
Beigetreten: vor 5 Monaten 
Beiträge: 555
30.12.2018 13:01  
Veröffentlicht von: BlauesFahrrad

Die App die ich benutze heißt Google Pay. Und es ist kein bug sondern ein feature!
Genau genommen ein comfort-feature, welches genau so absurd ist, wie das bei den Quick Settings.

Weitere Infos bei google: Google Pay braucht unter 25 Euro keine Entsperrung (Quelle: Golem.de)

Nun ja, dann sage ich mal so: Google scheint von IT-Sicherheits- und Datenschutzpolitik noch nicht viel gehört zu haben, oder schert sich - wie so oft - einen feuchten Kerricht darum.

Mal schauen, wie HTC mit den Quick Settings umgeht.

Aber man sollte hier meines erachtens weder einzig Deiner (kein Zugriff vom Lockscreen), noch meiner persönlichen Vorliebe (voller Zugriff vom Lockscreen) gerecht werden, sondern an ALLE Nutzergruppen denken, und eben dies konfigurierbar machen - wie im Beipiel viele Custom ROMs. Man merkt wohl, dass ich kein Freund von Apple typischen entweder/oder Lösungen bin, sondern eben das bevorzuge, wofür Android steht: die indivisduelle Wahl durch den Nutzer.

Vielleicht ein CR so auf lange Sicht!?

@fabnapp is it possible in the Quick Settings to accommodate all user groups, and to add the following CR (Change Request) to the list for developers: Make the quick setting configurable by the user, if you can access it from the lockscreen or not. A kind of switch under Settings > Security, with QS access from the lockscreen possible: yes/no.

Dieser Post wurde am vor 3 Monaten  von SmartphoneGuru bearbeitet

PHONE: HTC U12+ (imedugl) - Android 8.0.0 - HTC Sense 10 - 1.53.401.5
WATCH: Fossil Sport - Android 8.1.0 - Wear OS 2.6
TABLET: Huawei MediaPad M5 10.8 Pro - Android 9 - EMUI 9.0 - 9.0.1.131(C432) BETA
------------------------------------------------------------------------------------------------
† Desire, Sensation, One X, One (m7), One M8, One M9, 10, U11, U Play | HTC Flyer, Huawei MediaPad M2 10.1 Premium | Motorola Moto 360 (2nd Gen.) †


Tamriko und Tcheik zugestimmt
AntwortenZitat
Share: