[o1] Joyrider am 08.01. 17:32
+3
-2
Nect... super. Das ist die Bude deren App ständig den Inhalt der Zwischenablage abgreift, ungefragt. Zumindest unter iOS, aber vermutlich bei Android ganz genauso. Auf mehrfache Anfrage warum das passiert und was sie mit den so gewonnenen Daten machen, gab es nie eine Antwort. Auch lässt die App nicht zu, dass ein Teil der Perso-Nummer abgedeckt wird (was nach PAuswG mein Recht ist, da die vollständige Nummer nicht relevant ist) Für mich bedeutet das, dass ich um jede Firma, die mit Nect zusammenarbeitet, einen Bogen mache.
Edit: dicke-Finger-Fehler korrigiert.
Edit: dicke-Finger-Fehler korrigiert.
@Joyrider: Woher weißt du, dass eine App im Hintergrund auf irgendwas zugreift? Hast du da so eine Art Live-Systemmonitor mitlaufen oder was?
@Joyrider: Nur weil die App die Berechtigung für etwas anfordert, weil sie das für bestimmte Aktionen einmalig braucht, heißt das noch lange nicht, dass sie es permanent einfach so tut. Einer Videochat-App musst du auch die Berechtigung erteilen, die Kamera und das Mikrofon zu benutzen, denkst du deswegen auch sie filmt dich permanent heimlich?
Die App benutzt halt die Zwischenablage, weil sie für irgendeines ihrer Features aus Convenience-Gründen vermutlich einen Bestätigungscode etc. kopiert. Für Leute, die dann misstrauisch sind, weil sie denken die App könnte das auch zur Überwachung missbrauchen, gibt es z.B. seit Android 11 bei den Berechtigungen ja auch die Möglichkeit, für solche Zugriffe nur "einmalig zulassen" anzuklicken. Des Weiteren erfolgt bei datenschutzrelevanten Zugriffen im Hintergrund (wenn der Nutzer also gerade nicht aktiv mit der App interagiert) auf Standort, Kamera/Mikrofon und Zwischenablage ebenfalls seit Android 11 (oder sogar schon seit 10, weiß ich grad nicht) umgehend eine Benachrichtigung des Nutzers. Ich denke mal, dass iOS ähnliche Datenschutzvorkehrungen zum Schutz der Nutzer hat.
Nur: Alle Apps in ihren Features stark zu kastrieren, nur weil sie für das ein oder andere Feature Berechtigungen anfragen müssen, die THEORETISCH auch zweckentfremdet werden KÖNNTEN, ist definitiv auch keine Lösung. Dann musst du eben auf die alternativ angebotenen Authentifizierungsmethoden ausweichen.
Die App benutzt halt die Zwischenablage, weil sie für irgendeines ihrer Features aus Convenience-Gründen vermutlich einen Bestätigungscode etc. kopiert. Für Leute, die dann misstrauisch sind, weil sie denken die App könnte das auch zur Überwachung missbrauchen, gibt es z.B. seit Android 11 bei den Berechtigungen ja auch die Möglichkeit, für solche Zugriffe nur "einmalig zulassen" anzuklicken. Des Weiteren erfolgt bei datenschutzrelevanten Zugriffen im Hintergrund (wenn der Nutzer also gerade nicht aktiv mit der App interagiert) auf Standort, Kamera/Mikrofon und Zwischenablage ebenfalls seit Android 11 (oder sogar schon seit 10, weiß ich grad nicht) umgehend eine Benachrichtigung des Nutzers. Ich denke mal, dass iOS ähnliche Datenschutzvorkehrungen zum Schutz der Nutzer hat.
Nur: Alle Apps in ihren Features stark zu kastrieren, nur weil sie für das ein oder andere Feature Berechtigungen anfragen müssen, die THEORETISCH auch zweckentfremdet werden KÖNNTEN, ist definitiv auch keine Lösung. Dann musst du eben auf die alternativ angebotenen Authentifizierungsmethoden ausweichen.
@mh0001: die App fordert keine Berechtigung dafür an (die Zwischenablage ist bei iOS auch nicht extra geregelt), sie tut es. Immer und immer wieder, sobald du die App startest oder aus dem Hintergrund holst. Einen Code muss sie sich von dort auch nicht holen, da die App über einen Link gestartet wird, welcher bereits das passende Token enthält.
[re:3] Revier-Engel am 08.01. 18:43
@Joyrider: Und Experten warnen immer davor den Perso zu fotografieren und irgendwie ins Netz zu stellen. Toll, daß man hier nun dazu aufgefordert wird. Danke, NEIN!
@Revier-Engel: Als könnten die lohngedumpten indischen Video-Ident-Callcenter-Sklaven as nicht auch tun.
@Revier-Engel: ist halt erstmal sehr bequem per App. An sich besser als deswegen zur gelben Pest (Postfiliale) zu dackeln. Ich habe bisher drei verschiedene Ident-Apps "kennengelernt" und bei keiner konnte ich meine Rechte nach PAuswG wahrnehmen. Wobei das auch zur Post keinen Unterschied macht... mit denen kann man sich auch totdiskutieren wenn es um die Kopie des Persos geht.
[o2] Boombastic am 08.01. 17:55
Wieso bietet die T-Com App NUR Video-IDENT an?
Mit dem E-Perso wäre die Authentifizierung erheblich einfacher für den Kunden. Die Post hats doch mit der POSTIDENT App auch hinbekommen.
Mit dem E-Perso wäre die Authentifizierung erheblich einfacher für den Kunden. Die Post hats doch mit der POSTIDENT App auch hinbekommen.
Ich habe schon eine App mit der ich mich identifizieren kann. Sie heißt Ausweis-App, ihr Source Code ist öffentlich verfügbar, ich kann sie auf dem Desktop, Laptop, Android Smartphone oder iOS nutzen, wie ich möchte, ich kann immer sehen, welche Daten ich bereitstelle (im Gegensatz dazu, meinen Perso vor eine Kamera zu halten, wodurch undifferenziert alle Daten geteilt werden). Und praktisch jeder hat einen Personalausweis mit dem dafür nötigen Chip. Und ich sehe im Video, dass ich auch noch eine Stimmprobe hinterlassen darf. Da kann ich nur danke, aber nein danke zu sagen.
@dpazra: Schweigst du den Verkäufer in irgendeinem Laden auch immer an, um ja keine Stimmprobe zu hinterlassen? Könnte ja sein, dass der ein Aufnahmegerät neben der Kasse liegen hat oder heimlich mit seinem Handy aufzeichnet.
Du sollst die eingeblendeten Wörter nur deshalb vorlesen, damit sichergestellt wird, dass nicht irgendwer anders mit deinem geklauten Ausweis einen kurzen Videoschnipsel von dir als Selfievideo hochlädt um sich unter falscher Identität zu verifizieren. Durch das Vorlesen jedes Mal anderer Begriffe wird sichergestellt, dass die Person, die sich da in der Kamera zeigt, auch wirklich gerade vorm Handy sitzt und den Ausweis selber präsentiert hat. Etwas, das sogar bei der Nutzung der eID-Funktion des Ausweises als zusätzlicher Faktor sinnvoll wäre. Denn da wäre ja auch das Szenario zumindest denkbar, dass jemand den Ausweis klaut und die PIN errät. Müsste man nach dem Eingeben der PIN nochmal kurz was in die Kamera sagen und winken, wäre dieses Szenario ausgeschlossen.
Aber zu versuchen, eine möglichst zuverlässige und eindeutige Authentifizierung, bei der es ja gerade Sinn der Sache ist, genug Informationen über die Person zusammenzutragen, um ihre Identität eindeutig identifizieren zu können, durchzuführen, und dabei gleichzeitig möglichst anonym zu bleiben und keine Daten über sich preiszugeben - auf diese Idee können auch nur Datenschutzfanatiker kommen. Wasch mich, aber mach mich nicht nass!
Du sollst die eingeblendeten Wörter nur deshalb vorlesen, damit sichergestellt wird, dass nicht irgendwer anders mit deinem geklauten Ausweis einen kurzen Videoschnipsel von dir als Selfievideo hochlädt um sich unter falscher Identität zu verifizieren. Durch das Vorlesen jedes Mal anderer Begriffe wird sichergestellt, dass die Person, die sich da in der Kamera zeigt, auch wirklich gerade vorm Handy sitzt und den Ausweis selber präsentiert hat. Etwas, das sogar bei der Nutzung der eID-Funktion des Ausweises als zusätzlicher Faktor sinnvoll wäre. Denn da wäre ja auch das Szenario zumindest denkbar, dass jemand den Ausweis klaut und die PIN errät. Müsste man nach dem Eingeben der PIN nochmal kurz was in die Kamera sagen und winken, wäre dieses Szenario ausgeschlossen.
Aber zu versuchen, eine möglichst zuverlässige und eindeutige Authentifizierung, bei der es ja gerade Sinn der Sache ist, genug Informationen über die Person zusammenzutragen, um ihre Identität eindeutig identifizieren zu können, durchzuführen, und dabei gleichzeitig möglichst anonym zu bleiben und keine Daten über sich preiszugeben - auf diese Idee können auch nur Datenschutzfanatiker kommen. Wasch mich, aber mach mich nicht nass!
@mh0001: Ne, ich schweige den Verkäufer nicht an. Ich weiß auch, dass er Aufnahmen, z.B. von seinen Überwachungskameras, nur wenige Tage speichern darf. Bei Nect sehe ich, dass die Selfieaufnahme übermittelt wird, auf irgendwelchen gehosteten Services verarbeitet wird, und laut Datenschutzbestimmungen die verarbeiteten Daten jahrelang gespeichert werden dürfen, je nach Bestimmungen von Geldwäschegesetzen und was da noch alles aufgeführt wird. Ob das die Aufnahmen einschließt ist unklar.
Der Punkt ist, es wäre nicht nötig. Es gibt ein Ausweissystem und das ist dadurch dagegen geschützt, dass jemand die Karte findet, dass derjenige eine 6-stellige PIN eingeben müsste für die er genau 3 Versuche hat. Abgesehen davon, kann man die Ausweisfunktion bei Verlust mit einem einzigen Anruf bei einer 24/7-verfügbaren Hotline sperren lassen.
Das System des ePerso ist datensparsam, weil es nicht den vollen Ausweis übermitteln muss, sondern die Felder beschränkt werden können, transparenter, weil es mit Free Software Clients genutzt werden kann, und es funktioniert ohne Biometrie sondern mit einem PIN, den man ändern kann und einem Hardware-Merkmal (Ausweischip), den man sperren lassen kann.
Alles Dinge, die dem Nutzer mehr Kontrolle und mehr Sicherheit geben. Eine PIN kann man ändern, einen Chip kann man austauschen. Ein Dienst, der massenhaft biometrische Daten erhebt und verarbeitet, kann im Fall einer Datenpanne, im großen Umfang Merkmale exponieren, die man nie wieder ändern kann.
Der Punkt ist, es wäre nicht nötig. Es gibt ein Ausweissystem und das ist dadurch dagegen geschützt, dass jemand die Karte findet, dass derjenige eine 6-stellige PIN eingeben müsste für die er genau 3 Versuche hat. Abgesehen davon, kann man die Ausweisfunktion bei Verlust mit einem einzigen Anruf bei einer 24/7-verfügbaren Hotline sperren lassen.
Das System des ePerso ist datensparsam, weil es nicht den vollen Ausweis übermitteln muss, sondern die Felder beschränkt werden können, transparenter, weil es mit Free Software Clients genutzt werden kann, und es funktioniert ohne Biometrie sondern mit einem PIN, den man ändern kann und einem Hardware-Merkmal (Ausweischip), den man sperren lassen kann.
Alles Dinge, die dem Nutzer mehr Kontrolle und mehr Sicherheit geben. Eine PIN kann man ändern, einen Chip kann man austauschen. Ein Dienst, der massenhaft biometrische Daten erhebt und verarbeitet, kann im Fall einer Datenpanne, im großen Umfang Merkmale exponieren, die man nie wieder ändern kann.
[o4] Norbertwilde am 08.01. 23:26
Ich finde es auch blödsinnig, mich bei jedem Dienstanbieter mit anderen Identifizierungsmethoden ausweisen zu müssen, obwohl es schon jahrelang den elektronischen deutschen Personalausweis gibt. Das Video-Identverfahren der Telekom hatte schon in der ersten Version nicht immer funktioniert, und ob es mit der jetztigen besser ist, muss sich erst noch herausstellen.