Digitaliseringsstyrelsen efter kritik: Derfor virker NemID-app ikke på rootede telefoner

Når man har rootet en telefon er det meget let at skjule overfor en app at telefonen er rootet. At Nets ikke har forstået det kommer dog ikke synderligt bag på mig.

Hvad forventer du af et firma hvis sikkerhedsmodel altid har været "security by obscurity". (Java kode, forklædt som .gif filer).

Hvorfor blev der ikke spurgt mere ind til:

1. Det er uendeligt let at lave en nemid-klon app i Google App store og få folk til at downloade den. Da man skal bruge ikke bare en men hele to papkort-koder har svindleren mange muligheder for at logge ind på ens konto og overføre penge til højre og venstre (man kan fiske både brugernavn, kode og to nøgler uden at brugeren opdager det, og hvis man siger "noget gik galt" kan man fiske endnu flere nøgler hos de fleste, for hvem har ikke oplevet problemer med nemid?). Bare registrer firmanavnet nemid e.l. hos Google og så får du flere downloads end e-ndernettet (eller hvad det var de kaldte sig).

2. Når man har rootet en telefon er det meget let at skjule overfor en app at telefonen er rootet. At Nets ikke har forstået det kommer dog ikke synderligt bag på mig. De har mere travlt med at gå op i ligegyldige standarder (som de kan vaske deres hænder med) end at lave sikkerhedsmæssige ordentlige systemer. Det er rent held, at de ikke er blevet hacket endnu (bortset fra insider-hackeren fra Se&Hør; hvilket så også kun beviser hvor ringe deres reelle sikkerhed er)..

Stort set INGEN bruger tastselv og stort set INGEN har brugt det siden 2012.
Skal jeg finde statistikken?

Ja tak, gerne.

Lyder jo på dig som om at det kun er mig og så dem i min omgangskreds som bruger det, der er brugere og alle andre bruger NemID.

For min skyld kan de godt fjerne det, bare de så i stedet sender mig tingene på snail mail.

Hvad er sikkerhedslaget mellem dig og dit nøglekort værd hvis jeg lige snupper et billede af nøglekortet?</p>
<p>Du er hverken værre eller bedre stillet med en app på din telefon end med et nøglekort. App'en er bare lidt lettere at bruge.

Du kan ikke sidde i Ukraine og tage et billede af mit NemID kort som ligger i en skuffe, men du kan hacke dig ind på min mobil som er forbundet til nettet 24/7

Ser du forskellen.

De samme folk som for få måneder siden sagde "Du må ikke tage et billede af dit nøglekort da det kompromitterer sikkerheden i systemet" siger nu "hey, her er en app som du installerer på din telefon og så kan du få alle de NemID koder du har brug for".

Kan du ikke se det paradoksale ?

Stort set INGEN bruger tastselv og stort set INGEN har brugt det siden 2012. Skal jeg finde statistikken?

Når jeg bruger nøgle app'en kan jeg ikke se, hvilket site som loginanmodningen kommer fra. Teksten er blot: "Godkend følgende? Handling hos NemLog-in"Jamen er det på Borger.dk, sygehuset, biblioteket?? Eller man-in-the-middle?!?

Som den hjælpsomme borger, som jeg anser migselv for at være, ville jeg naturligvis give denne observation videre til Nem-Id. Men desværre - ingen e-mail. Jamen så chat da? Desværre KUN efter at have opgivet et nøglekortsnummer. Så med kun en nøgleapp - eller helt uden nøglekort - ingen support.

Ufortrødent ringer jeg så til supporten. Telefonkøen registrerer mit opkaldsnummer og giver mig valget imellem at

1. blive ringet op
2. angive et andet tlfnr
3. vente.

Mit tlf.nr bliver oplæst ciffer for ciffer af TO forskellige stemmer på skift. Vælger 3 og bliver anmodet om at indtaste min tlf.nr MANUELT.

Sjældent godt underholdt kom jeg igennem til den stakkels supporter, der ikke viste noget om - noget, men som tog imod mine observationer.

Sidder tilbage med fornemmelsen af at dette system er lidt løst i koderne. Det ER trods alt et sikkerhedssystem.

Nå - jeg må ind og lave GDPR på kontaktlisterne til at alle de personer, som jeg har fornavn og telefonnr. på.

Hvis din telefon bliver hacket, hvad er sikkerhedslaget mellem dig og telefonen så værd ?

Hvad er sikkerhedslaget mellem dig og dit nøglekort værd hvis jeg lige snupper et billede af nøglekortet?

Du er hverken værre eller bedre stillet med en app på din telefon end med et nøglekort. App'en er bare lidt lettere at bruge.

Og så er der lige den lille juridiske krølle, at der faktisk ikke er lovgrundlag til at at stille krav om at N-omvendt tretal-mID kun må være den eneste adgangskanal - dette er eksplicit udtrykt af både Helge Sander og Charlotte Sahl-Madsen.</p>
<p>Embedsmandsværket har så selv efterfølgende lavet en række fortolkninger, men de er reelt ikke i overensstemmelse med selv lovgivningen, heller ikke fsva. brug som digital signatur.

Desværre er der bare rigtigt mange offentlige instanser som er totalt ligeglade.

Har oplevet en kommune hvor jeg måtte vride armen HELT om på dem, før de accepterede at jeg gerne ville skrive mit barn op til folkeskolen uden NemID.

For min skyld må SKAT gerne lukke ned for adgang til skat.dk for folk der ikke har NemID, bare de så i stedet begynder at sende mig mine skattepapirer og selvangivelse i papirformat.

Digi-sludder-seringsstyrelsen ...

forklarer, at visse telefoner »opfører sig« som om de er rootede.

En rootet telefon opfører sig ikke anderledes en en ikke rootet. Det er deres metode til at snage i androids opsætningen der fejler.

• og det burte de da også helt afholde sig fra.

Jeg har læst - og fundet kilden til informationen igen and CyanogenMod har en switch hvor man skifte imellem rooted eller ikke rooted.

Nu er CyanogenMod jo en gammel sag fra fortiden, så Lineage OS har muligvis den samme funktion.

CyanogenMod includes a simple toggle on its settings screen that allows you to enable or disable root access. Upgrading to a new version of CyanogenMod or your custom ROM won’t unroot your device if the ROM comes with an integrated way to enable root.

Fra: https://www.howtogeek.com/115297/how-to-root-your-android-why-you-might-want-to/

Det er noget der kunne være interessant at kigge på.

Ellers har Linux kernen jo 7 namespaces per process, som man kan bruge til at overbevise den app om at mobilen ikke er rooted.

http://man7.org/linux/man-pages/man7/namespaces.7.html

Mig bekendt er det LDC der kan bruges til at lave fifleri med de namespaces et Linux program er underlagt.

I værste tilfælde kan man hijacke Android API kald via brug af LDD_PELOAD miljøvariablen.

https://stackoverflow.com/questions/426230/what-is-the-ld-preload-trick

Brug af LDD_PRELAOD er set blevet brugt i malware ude i det fri: Beskyttelsen mod den er set uid og set gid bit, hvorved miljø variablen ignoreres for den lib*.so fil.

Hvad sikkerhed angår så er LDD_PRELOAD er en væsentlig angrebsvektor for malware. Det kunne så også være en faktor der gør at det måske er en rigtig dårlig ide at roote en Android Mobil.

Super du fandt ud af det

Virkelig? Det kender jeg ingen, der gør.

I det hele taget så må man lade Skat, at tastselv koden er ganske velfungerende, og når Skat holder fast ved den, så er det givetvis dels fordi det er en ret sikker løsning, dels at der nok er en hel del mere end to der benytter den.

Og så er der lige den lille juridiske krølle, at der faktisk ikke er lovgrundlag til at at stille krav om at N-omvendt tretal-mID kun må være den eneste adgangskanal - dette er eksplicit udtrykt af både Helge Sander og Charlotte Sahl-Madsen.

Embedsmandsværket har så selv efterfølgende lavet en række fortolkninger, men de er reelt ikke i overensstemmelse med selv lovgivningen, heller ikke fsva. brug som digital signatur.

Total useriøst at lade en underleverandør stå som udbyder af en offentlig app. Hvis SKAT kan, så kan vel NemID også ... ?

De fleste af dem jeg kender bruger alligevel tastselv kode løsningen på SKAT's hjemmeside da den stadigvæk er meget nemmere end PapID.

Mener også e-nettet er et problem. Hvor ikke betale de 650kr/år, og få en digitaliseringsstyrelsen signatur på ?

Ah, det hjalp at skjule Magisk Manager.

Andreas kan du måske hjælpe mig?

Jeg har OnePlus 5, LineageOS 15.1 og Magisk.

Jeg har sat flueben ved NemID appen i Magisk Hide, appen virker stadigvæk ikke.

Jeg har ikke problemer med andre apps som jeg skjuler root for.

Jeg kan fint bruge den nye app på min telefon som er rooted.

OnePlus 3T, LinageOS 14.1 SultanXDA, MagiskSU + MagiskHide.

De fleste der er tekniske nok til at roote deres telefoner, burde være tekniske nok til at omgå root detection...

Jeg kan heller ikke bruge hverken nemid eller e-dankort på min ikke-rootede tlf. Til gengæld virker mobilepay, så det er fint nok - til de andre to ting har man jo plast-/papkort...

Hvorfor er det HVER gang NemID rører ved noget så fucker det op?

De er jo ligeglade, de har jo et statsgaranteret monopol på det her, så de skal ikke ud og "kæmpe" om kunderne, kunderne er jo tvunget til truget og må æde det hakkelse som de får serveret.

Og de få gange du bruger skat, og skal indberette er ikke mange.

De fleste af dem jeg kender bruger alligevel tastselv kode løsningen på SKAT's hjemmeside da den stadigvæk er meget nemmere end PapID.

SKAT har da netop heller ikke fjernet tastselv login af den samme årsag. Altså at rigtigt mange stadigvæk bruger tastselv login.

Endnu et bevis på at folk undgår nemid hvis det er muligt.

Et system som folk undgår når de kan, er i mine øjne ikke et succesfuldt system.

Det er sgu rimeligt sikkert

Hvis dit fingeraftryk eller dets hash ikke er gemt på telefonen. Så får den bare lavet et, første gang du åbner den. Hvis de også sender dette "hjem" og gemmer det. Så kan du ikke i resten af dit liv, bruge den finger som sikkerhed nogen steder.

Det er inkompetance på et højt plan. Mine enheder fra Samsung (tablet) og Sony (tlf) er ikke rootet og det virker stadig ikke. Det er dårlig undskyldning for dårlig udvikling! Hvorfor er det HVER gang NemID rører ved noget så fucker det op?

Jeg kan fint bruge nemid appen på min rootede telefon med linageos 15.1 (Oreo)

Måske fordi LineageOS kan installeres uden at du er root på telefonen? (det er en option).

Afhængig af hvad der menes med "rooted", altså om det også omfatter unlock af bootloader, hvilken man kan opfatte som en sikkerhedsrisiko. Eller man kan opfatte det som en sikkerhedsforbedring, fordi det giver dig mulighed for at fjerne producentens malware, uønskede applikationer (og Google spyware), og få Android opdateringer til telefonen efter at producenten er holdt op med at levere dem.

Du skal da stadigvæk logge ind på mobilen samt logge ind på NemID

Derefter som i mit tilfælde bruge fingeraftryk både til mobil og NemID appen

Det er sgu rimeligt sikkert

Jeg har læst at folk benytter magisk hide appen

og via settings og hide magisk manager, så virker appen på en rootet mobil.

Jeg har dog ikke prøvet det selv.

Jeg kan fint bruge nemid appen på min rootede telefon med linageos 15.1 (Oreo)

Når de ikke mener, at de kan garanti sikkerheden på en rooted telefonen. Så kan jeg heller ikke se, at de kan det på ikke rootet telefon.

Så jeg leves med papkortet og bruger dem mindst muligt. Banker er jo blevet nemmere at have med at gøre, de kræver kun ID når du laver "handler" EBooks kan tilgås med thunderbird og add on.

Og de få gange du bruger skat, og skal indberette er ikke mange.

Lad dog dem, som tør bruge NI uden 2 faktor om det.

Nytteværdien er vel heller ikke så høj, for dem om ikke lever sit liv gennem en smartphone.

Hvad siger de til telefoner fra ZTE, Archos og Prestigio, eller kan det ikke gøre på telefoner som ikke er certificeret af Google ?

https://www.version2.dk/comment/377145#

Jeg har (selvfølgelig) root/admin adgang i både Windows og Linux på mine maskiner. Hvornår blokere de dem? Der er trods alt en langt større risiko for malware der stjæler ens oplysninger i Windows end på telefoner.

Har jeg overset noget, eller findes appen også til Windows og Linux?

Ellers er de vel allerede 'blokerede'. Nøglekortet (som jeg i hvert fald benytter i Linux og Windows) virker stadig på rootede enheder. De er ikke stillet værre end Windows/Linux som jeg ser det.

Så røg den eneste reelle tilbageværende sikkerhed i nemid. Uden to-faktor splittet fra anvendelsen, så giver kode-appen ikke den store værdi.

Forslår de skifter navn til Teflonstyrelsen.

Jeg har (selvfølgelig) root/admin adgang i både Windows og Linux på mine maskiner. Hvornår blokere de dem? Der er trods alt en langt større risiko for malware der stjæler ens oplysninger i Windows end på telefoner.