Google schließt kritische Lücke in Android-Banking-Apps

Googles „Identity Check“ erzwingt jetzt biometrische Anmeldung für Finanz-Apps. Das neue Update schließt eine Hintertür, die Dieben mit dem Geräte-PIN Zugriff auf Bankkonten ermöglichte.

Die erweiterte Sperre greift tief in Drittanbieter-Apps ein. Sie deaktiviert die PIN-Eingabe als Fallback, sobald das Smartphone einen unsicheren Ort erkennt. Der Zugriff auf Banking-Apps und Passwort-Manager ist dann nur noch per Fingerabdruck oder Gesichtsscan möglich.

So funktioniert der neue Diebstahlschutz

Die Technik reagiert auf eine verbreitete Methode: „Shoulder Surfing“. Dabei spähen Kriminelle in der Öffentlichkeit den Entsperr-Code ihres Opfers aus. Bisher konnten sie mit diesem Code oft auch in geschützte Apps gelangen, wenn diese biometrische Logins anboten.

Das hat sich geändert. Die aktualisierte „Identity Check“-Funktion analysiert den Standort und das Nutzerverhalten. Verlässt das Gerät einen als vertrauenswürdig hinterlegten Ort – wie die eigene Wohnung –, wird die PIN-Option für alle Apps blockiert, die die Android Biometric Prompt API nutzen.

Passend zum Thema Diebstahlschutz: Phishing, CEO‑Fraud und Social‑Engineering sind häufige Ursachen für Kontoübernahmen — besonders, wenn Authentifizierungs‑Lücken bestehen. Das kostenlose Anti‑Phishing‑Paket bietet eine leicht verständliche 4‑Schritte‑Anleitung mit Praxisbeispielen und Checklisten, wie Sie betrügerische Nachrichten erkennen, schädliche Links meiden und Ihr Mobile‑Banking effektiv absichern. Die Maßnahmen sind sofort umsetzbar und speziell auf Smartphone‑Nutzer zugeschnitten. Kostenloses Anti-Phishing-Paket herunterladen

• Das betrifft die meisten deutschen Banking-Apps, Fintech-Anwendungen und Krypto-Wallets.
• Schlägt der biometrische Scan fehl, bleibt der Zugang versperrt.
• Die Funktion schützt auch den Google Passwort Manager.

Neue Kontrollen in den Einstellungen

Mit den aktuellen Android-16-Updates erhalten Nutzer mehr Kontrolle. Eine neue Schaltfläche in den Einstellungen steuert die „Failed Authentication Lock“.

Diese Sperre aktiviert sich automatisch bei mehreren fehlgeschlagenen Authentifizierungsversuchen in kurzer Folge – ein typisches Muster bei Dieben. Die Zeitspanne der Sperre wurde zudem verlängert, um Brute-Force-Angriffe zu erschweren. Ein technisches Detail: Identische Fehleingaben werden nicht mehrfach gezählt, um versehentliches Vertippen nicht zu bestrafen.

Eine langjährige Forderung wird erfüllt

Sicherheitsexperten reagieren positiv auf die Neuerung. Sie schließt endlich die Lücke zwischen Geräte- und Anwendungssicherheit, eine Forderung von Banken und Forschern seit Jahren.

Die Funktionen werden serverseitig aktiviert und sind eng mit den Google Play Diensten verknüpft. Die tiefste Integration erfordert Android 16, grundlegende Diebstahlerkennung gibt es aber bereits für Geräte ab Android 10.

Für Verbraucher heißt das: Der Übergang von der wissensbasierten PIN zur biometrischen Sicherheit ist in vollem Gange. Die Abhängigkeit von einem ausspähbaren Zahlencode wird drastisch reduziert. Wer den vollen Schutz nutzen will, sollte seine Biometrie-Einstellungen prüfen und vertrauenswürdige Orte hinterlegen. Die Optionen finden sich in den Einstellungen unter „Sicherheit & Datenschutz“ oder „Google > Diebstahlschutz“.

PS: Wer seine Banking‑Apps und Passwort‑Manager wirklich schützen will, profitiert von einer klaren Handlungsliste. Das Anti‑Phishing‑Paket erklärt in einfachen, sofort anwendbaren Schritten technische Einstellungen und Verhaltensregeln — vom Erkennen gefälschter Absender bis zu empfohlenen Sicherheitsoptionen in Apps. Ideal für Nutzer, die zusätzlichen Schutz neben Biometrie wünschen. Jetzt Anti-Phishing-Guide gratis sichern