Das Gute ist: Das funktioniert auch sobald Wero und deine Banking app auf deinem Linux Phone laufen.
Was ist denn gut daran? Paypal kann man seit 20+ Jahren im Browser auf jedem Gerät verwenden, auch auf meinem Ubuntu Touch smartphone.
Bei wero könnte ich jetzt versuchen, rechtlich grau das apk meiner banking app aus dem google play store zu laden (was google eigentlich ohne play store nicht offiziell erlaubt), und ich könnte versuchen, ob es mit waydroid läuft. Darauf habe ich aber keinen Bock, solange es keine standardisierte android runtime gibt, die apps targeten, und zudem die meisten banking apps auch noch aktiv Beschränkungen haben wie dass der user keine root rechte haben darf.
Früher haben Banken noch ein bisschen vorausschauend gehandelt. Da hat man mit HBCI und FinTS komplett offen dokumentierte Protokolle gemacht, die jeder in open source apps implementieren kann. Wero hätte z.B. einfach eine offene Erweiterung von HBCI/FinTS für Echtzeitüberweisungen im Laden sein können, aber nein, sowas macht man heute nicht mehr, alles muss eine proprietäre App sein.
Ich glaube nicht daran, dass in absehbarer Zeit Banking Apps offiziell auf Smartphones ohne Sicherheitstheater laufen. So wie ich das verstanden habe, ist das ganze Problem nämlich, dass für klassische Überweisungen eine “sichere” TAN zwingend vorausgesetzt wird. Dann haben sich die Leute aber gedacht, dass es unpraktisch ist, einen TAN Generator mit sich herumzutragen und bei jedem Bezahlen seine Karte einzustecken, einen Code zu fotografieren und dann die TAN einzugeben, wenn man stattdessen gleich mit der Karte zahlen könnte. Also “musste” man so tun, als ob google und apple attestieren können, dass ein Smartphone “sicher” ist, damit man damit TANs generieren kann. Macht ja nichts, wenn das Smartphone voller nach Hause telefonierender chinesischer crapware ist und seit 8 Jahren keine Sicherheitsupdates mehr bekommen hat, hauptsache Google Play Attestation tut so, als sei das Smartphone sicher. Also klar gibt es einige Banking apps, die auch auf AOSP roms ohne google play laufen, aber ich würde wetten, dass das komplett inoffiziell ist und die Banken nur zu faul sind, die "Sicherheits"features auch richtig zu implementieren.
Der Vollständigkeit halber habe ich noch ChatGPT gefragt und das hat mir tatsächlich eine Ausnahme ausgespuckt: Ein Entwickler bei der Triodos Bank (eine sogenannte “ethische Bank”) hat sich tatsächlich darum gekümmert, dass deren App auf Graphene OS läuft: https://github.com/PrivSec-dev/banking-apps-compat-report/issues/133#issuecomment-3087638715. Die gibt es zwar auch in Deutschland, war bei mir aber nicht in der engeren Auswahl, weil Utopia berichtet, dass sie sich aus dem deutschen Markt zurückzieht.
Wie auch sonst?
GNU Taler macht übrigens ganz praktisch vor, wie sonst es gehen kann. Zwar empfehlen auch die für Ubuntu Touch waydroid, aber ich denke, die firefox extension wird auch funktionieren. Ich bin deshalb auch zu der Bank gewechselt, die Taler unterstützen will und jetzt schon finanziell unterstützt.
Was ist denn gut daran? Paypal kann man seit 20+ Jahren im Browser auf jedem Gerät verwenden, auch auf meinem Ubuntu Touch smartphone.
Bei wero könnte ich jetzt versuchen, rechtlich grau das apk meiner banking app aus dem google play store zu laden (was google eigentlich ohne play store nicht offiziell erlaubt), und ich könnte versuchen, ob es mit waydroid läuft. Darauf habe ich aber keinen Bock, solange es keine standardisierte android runtime gibt, die apps targeten, und zudem die meisten banking apps auch noch aktiv Beschränkungen haben wie dass der user keine root rechte haben darf.
Früher haben Banken noch ein bisschen vorausschauend gehandelt. Da hat man mit HBCI und FinTS komplett offen dokumentierte Protokolle gemacht, die jeder in open source apps implementieren kann. Wero hätte z.B. einfach eine offene Erweiterung von HBCI/FinTS für Echtzeitüberweisungen im Laden sein können, aber nein, sowas macht man heute nicht mehr, alles muss eine proprietäre App sein.
Ich glaube nicht daran, dass in absehbarer Zeit Banking Apps offiziell auf Smartphones ohne Sicherheitstheater laufen. So wie ich das verstanden habe, ist das ganze Problem nämlich, dass für klassische Überweisungen eine “sichere” TAN zwingend vorausgesetzt wird. Dann haben sich die Leute aber gedacht, dass es unpraktisch ist, einen TAN Generator mit sich herumzutragen und bei jedem Bezahlen seine Karte einzustecken, einen Code zu fotografieren und dann die TAN einzugeben, wenn man stattdessen gleich mit der Karte zahlen könnte. Also “musste” man so tun, als ob google und apple attestieren können, dass ein Smartphone “sicher” ist, damit man damit TANs generieren kann. Macht ja nichts, wenn das Smartphone voller nach Hause telefonierender chinesischer crapware ist und seit 8 Jahren keine Sicherheitsupdates mehr bekommen hat, hauptsache Google Play Attestation tut so, als sei das Smartphone sicher. Also klar gibt es einige Banking apps, die auch auf AOSP roms ohne google play laufen, aber ich würde wetten, dass das komplett inoffiziell ist und die Banken nur zu faul sind, die "Sicherheits"features auch richtig zu implementieren.
Der Vollständigkeit halber habe ich noch ChatGPT gefragt und das hat mir tatsächlich eine Ausnahme ausgespuckt: Ein Entwickler bei der Triodos Bank (eine sogenannte “ethische Bank”) hat sich tatsächlich darum gekümmert, dass deren App auf Graphene OS läuft: https://github.com/PrivSec-dev/banking-apps-compat-report/issues/133#issuecomment-3087638715. Die gibt es zwar auch in Deutschland, war bei mir aber nicht in der engeren Auswahl, weil Utopia berichtet, dass sie sich aus dem deutschen Markt zurückzieht.
GNU Taler macht übrigens ganz praktisch vor, wie sonst es gehen kann. Zwar empfehlen auch die für Ubuntu Touch waydroid, aber ich denke, die firefox extension wird auch funktionieren. Ich bin deshalb auch zu der Bank gewechselt, die Taler unterstützen will und jetzt schon finanziell unterstützt.