TK-App (Techniker Krankenkasse) und GrapheneOS

Hallo!
Ich habe seit dem letzten Update der TK-App (6.13 oder 6.12) das Problem, dass die TK-App auf meinem Pixel 8 mit GrapheneOS überhaupt nicht mehr funktioniert. Selbst in einem Profil mit installiertem Google Kram und allen Berechtigungen der Apps funktioniert die TK-App nicht. Eine Installation der App über den Play Store funktioniert auch nicht, da das Pixel 8 als inkompatibel aufgeführt ist.

In den Bewertungen des Play Stores habe ich jetzt mehrere aktuelle Bewertungen gefunden, dass bei Ihnen die App unter GrapheneOS nicht mehr funktioniert. Nun weiß ich nicht, ob das am Pixel 8 Unterbau oder wirklich an GrapheneOS liegt.

Hat jemand ähnliche Probleme?

Ich hab sie eben mal testweise installiert. Zunächst ist sie abgestürzt mit der Meldung, dass „DCL via memory“ erlaubt sein sollte. Eventuell hast du dieses noch recht neue Feature in GOS standardmäßig auf „restricted“ eingestellt. Zusätzlich musste ich noch „Native code debugging“ aktivieren.

Danach startete die App.

Meine Angaben hier sind auf englisch, weil ich mein System auf englisch eingestellt habe. Hoffentlich verstehst du trotzdem, was gemeint ist. Du findest die Angaben alle hinter der App-Info.

edit: Offenbar kann man „Dynamic code loading via storage“ auf „restricted“ stellen, die App startet trotzdem

Ganz merkwürdig, jetzt kann ich wieder meine Zugangsdaten eingeben ohne das eine Fehlermeldung kommt. Was mir aufgefallen ist, dass Aurora die Version 6.12 geladen hat. Heute vormittag war die 6.13 installiert als der Fehler auftrat.

Das Starten der APP im unregistrierten/nicht eingeloggten Zustand war auch nicht das Problem. Die Fehlermeldung trat erst auf, als man sich durch die Einrichtung der APP geklickt hat und dann die Maske für den eigentlichen Login kam bzw. angezeigt werden sollte.

Ah ok, das war mir jetzt nicht bewusst, ich dachte, dass die App gleich abgeschmiert ist.

Also, nachdem die Version 6.13 zwischenzeitlich bei Aurora bzw. Play Store nicht mehr verfügbar war, ist sie diese Version mittlerweile wieder verfügbar.
Nach etwas rumprobieren, ist die Version nicht mehr kompatibel mit Grapheneos auf einem Pixel 8. Ob das an dem Pixel 8 Unterbau oder Grapheneos selber liegt, kann ich nicht sagen. Die Fehlermeldung deuten auf letzteres hin.
Deswegen kann ich nur eine Warnung aussprechen, dass wenn man die Tk-App benutzen muss, die Version 6.13 nicht zu installieren.

Hab es eben mal mit meinem Tablet versucht, da läuft LineageOS drauf, auch ohne PlayStore. Nach wenigen Schritten beschwert sich die App, dass sie nicht aus dem PlayStore installiert wurde. Kann sein, dass sie funktioniert, wenn man sie damit installiert hat. Aber das ist natürlich ein No-Go!

Zum Glück will ich so eine App eh nicht auf dem Smartphone haben

Ich habe aktuell die gleichen Probleme. Nach dem Update der App auf die Version 6.13 kommt gleich nach dem Start der App der Hinweis, dass diese nicht aus dem regulären Google Playstore geladen wurde und somit nicht mehr funktioniert. Ich habe ein Pixel mit GrapheneOS ohne Playservices und die App über Aurora installiert. Auf der Playstore Seite der TK App gibt es auch einen Hinweis hierzu, dass die App auf Handys mit ROMs nicht mehr funktioniert. Zusätzlich hat die TK auch noch eine spezielle Webseite mit Hinweisen hierzu:
https://www.tk.de/techniker/leistungen-und-mitgliedschaft/online-services-versicherte/tk-app/tk-app-root-und-jailbreak-2023674?tkcm=ab
Ich habe die App jetzt deinstalliert und nutze den Online Bereich der Webseite.

Solange die KK ihre Dienste auch im Browser anbieten, wäre es für mich kein Problem.

Würde dennoch mal eine freundliche Mail schreiben.

Gab ja schon andere Dienste die nur noch eine App zu lassen.
Das wäre für mich ein No Go.

Ich finde freundliche Mails auch sinnvoll und werde ebenfalls als Betroffener eine schreiben. Zumal die von @Tucholsky genannte Webseite nur auf gerootete und gejailbreakte Betriebssysteme verweist - beides trifft auf ROMs wie GrapheneOS nicht zu. Ich werde auch darauf hinweisen, dass die Entwickler aus meiner Sicht eher Sorge um die Sicherheit haben müssten bei Android-Geräten, die seit Jahren keine Updates mehr bekommen haben…

Falls noch jemand den Support kontaktieren will. Hier geht’s zur Anleitung wie man GrapheneOS mittels Attestation sicher verifizieren und whitelisten kann: https://grapheneos.org/articles/attestation-compatibility-guide . Damit erreicht man besseren Schutz und kann trotzdem als sicher erachtete OSe whitelisten.

Ansonsten hilft vielleicht der Hinweis auf die Features, dass es kein gerootetes Gerät ist und es populäre Befürworter wie Edward Snowden gibt, die selbst auf höchste Sicherheit angewiesen sind.

Es sind halt immer die gleichen"Ausreden" der Anbieter - in : vermutlich über 99% der Fälle, wissen Anwender gerooteter Androide, was sie da machen;)

Lieber werden da per se alle gerooteten Geräte, selbst wenn sie es im Falle von GOS nicht mal sind, als unsicher „gebrandmarkt“ - lieber lassen sie es zu, dass sich ihre App auf „uralten“ Androidversionen bzw. Geräten installieren lässt:D

Ist bei Banken nicht anders, nur Marketingsprech🤪

Kann das Verhalten jemand mit einem nicht Pixel 8 basierten Telefon bestätigen (kann ja sein, dass es aktuell nur die Pixel 8 Reihe trifft)

Ich habe ein Pixel 5 und es funktioniert nicht mehr. Das wird aber nicht an der Hardware liegen. Die App prüft einfach beim Start bestimmte Punkte und sobald ein Custom ROM oder Root erkannt wird, läuft sie nicht mehr.

Interessant ist, dass dies auch bei GOS mit Playservice Dienst nicht funktioniert. Das macht mir große Sorgen, dass zukünftig solche Prüfroutinen auch bei anderen Apps installiert werden.

Interessant ist auch, dass alle großen Krankenkassen in kurzem Abstand hintereinander neue Versionen im Playstore eingestellt haben. TK, Barmer, DAK und AOK. Eventuell gibt es da irgendeine neue Richtlinie die umgesetzt werden muss. Wäre spannend zu erfahren, ob die Apps anderer Kassen auf GOS auch nicht mehr funktionieren.

Der Vollständigkeit halber als Info aus meiner Kommunikation mit dem Support bei der Techniker Krankenkasse:

Beim Start der TK-App wird seit App-Version 6.13.0 überprüft, ob ein verlässliches Betriebssystem genutzt wird. Ist dies nicht der Fall, erhalten die Nutzer eine entsprechende Fehlermeldung

Version 6.12.0 funktioniert aktuell noch.

Die Antworten des Supports waren ansonsten sehr allgemein formuliert (z.B. man unterläge strengeren Regularien als Banking Apps) und eher von Unkenntnis geprägt (Ausführungen zu unsicheren Drittanbieter-Appstores etc.). Ich sage mal: First Level Support. Das macht es eher mühsam in der Kommunikation.

Scheinbar würden aber entsprechende Eingaben „intern gesammelt und hinterlegt“. Zu hoffen wäre, dass diese dann in Zukunft auch tatsächlich für Entscheidungen auf Entwicklerseite berücksichtigt werden.
Ich kann alle Betroffenen nur ermuntern in den Kontakt zu gehen. Vielleicht höhlt steter Tropfen ja den Stein…

Interessant, dass sich eine Institution die solche Crap-Apps entwickelt oder entwickeln läßt anmaßt zu beurteilen, was als verlässlich zu gelten hat.
Das sind die gleichen Institutionen, die massenhaft Windows einsetzen und dann rumheulen und nach dem starken Staat rufen, wenn der böse Hacker eingebrochen ist.

Man kann davon ausgehen, dass man sich hier auf Zusicherungen des Plattformherstellers verläßt. Wenn der Verbraucher dann im Schadensfall ein Gerät ausserhalb Support einsetzt, ist man aus der Haftung raus. Ähnlich wird das auch bei den Banken sein.

Die kaufen ein Paket und das ist auf Custom-ROMs eben nicht vorhanden oder eingeschränkt.

Ich kann Eure Aussagen bezüglich GrapheneOS und TK-App nicht bestätigen und würde eine Teufel tun den support anzuschreiben, weil die einzig eine Möglichkeit suchen werden, GrapheneOS auf eine Blacklist zu setzen und mehr nicht! Warum?

Eine Überprüfung das es kein root oder custom ROM ist, wird seit Anfang an gemacht und war so gut das ein verstecktes root oft nicht ausreichend war.
Also war das schon mal BS von der TK.
Aber was sich geändert hat kann ich Euch sagen.
Die App lief vorher ohne GooglePlay oder Google Service einwandfrei, nur eins ging nicht, Entsperrung der App per Fingerprint.
Das habe ich der TK gemeldet und gefragt, warum ein Kontakt zu einem US Konzern nötig ist, um eine Authentifizierung, dessen Daten intern auf dem smartphone gespeichert sind, per Fingerprint zu ermöglichen.
Braucht keine andere App, meine Banking Apps nicht, die App der Gematik nicht die Ausweisapp nicht, einfach keine.
Vernünftige Antwort bekam ich natürlich nicht.

Seit diesem update, wird also GooglePlayService bzw. GooglePlaystore vorausgesetzt, um das ein Fingerprint Entsperrung möglich ist (macht das bloß nicht, Ihr weicht eure Datenschutzrechte automatisch auf)
Wer das nicht glaubt, dem kann ich auch nicht mehr helfen, verwendet nur codes Passwörter und keine biometrische Daten zur Entsperrung für sensible Informationen.
Einzelne Apps ok, kann man machen, aber weder das smartphone an sich, oder Entsperrungen von sensiblen Daten ohne zweite (ID Karte,etc) Sicherung noway, code only.

Zurück:
Aber gesagt getan, mit der App shelter die TK-App in das work Profil kopiert und device Registrierung erneut durchgeführt und läuft wie vorher auch.
Mal schauen ob ich jetzt nach jedem update aus dem Aurora store und kopieren in das work Profil ein neue Registrierung durchführen muss, was die erneute Eingabe des per Post zugesendeten Freischaltcodes erfordert.

Somit GrapheneOS und TK-App funktioniert auch in Version 6.13.0 mit der sandbox.

Edit:
Noch als Nachsatz, trotz das ich einer Übertragung meiner Nutzungsdaten zwecks Analyse nicht eingewilligt habe, baut die TK-App weiterhin Verbindungen zu crashreporter_tk_de auf, versucht es zumindest.
Das sollte man den support melden!

Danke für deinen Kommentar, dieser hat mich nochmal ermutigt, es nochmal zu probieren.
Dieses Mal habe ich die Version 6.13 zum Laufen gebracht.
Das es jetzt bei mir funktioniert hat, liegt daran, dass ich es in einem Profil mit angemeldeten Google Play Store probiert habe. Vorher hatte ich es nur in einem Profil mit installierten Google Diensten, aber nicht angemeldeten Play Store probiert und da hatte es nicht funktioniert.

Das ist jetzt schon die zweite App (nach der fraenk App), wo es nicht mehr reicht die Google Dienste installiert zu haben, sondern wo man sich im Play Store anmelden muss.
Bei der fraenk App muss man diese zusätzlich über den Play Store installieren.

Dieses Verhalten wurde anscheinend in einer API von Google hinzugefügt.

LINK

Das Anmelden hat damit soweit ich weiß nichts zu tun. Entweder die Google Play Services hatten nicht die nötigen Berechtigungen (z.B. kein Netzwerkzugriff) oder die App prüft, ob der Play Store als Installationsquelle eingetragen ist.

Um es nachvollziehbarer zu machen.

Ausgangssituation ist:

• Vertrauliches Profil mit vollständig installierten Play Services/Store
• die Play Services und Store haben bei der Installation die Berechtigung, das Internet zu nutzen erhalten
• Aurora Store ist installiert
• TK App (Version 6.13) wurde über Aurora Store installiert, mit der Berechtigung für das Internet, aber noch nicht geöffnet. Da es diese nicht mehr über den Play Store für meine Kombination aus Pixel 8 und GrapheneOS gibt.

Szenario 1:
Von der Ausgangssituation beginnend. Wenn ich ohne weitere Handlungen die TK-App öffne und mich durch die „Einführung“ klicke, kommt bei dem Fenster, wo man die Anmeldedaten für die TK eingeben muss, folgende Fehlermeldung: „P2 - Anfrage fehlgeschlagen - Es ist ein unerwartetes Problem mit den Play Diensten aufgetreten“. Dadurch kommt man nicht weiter.

Szenario 2:
Von der Ausgangssituation beginnend. Ich melde mich beim Google Play Store an. Anschließend öffne ich die TK-App das erste Mal und klicke mich durch die Einführung. Bei diesem Ablauf kommt keine Fehlermeldung und ich kann mich anmelden.

Szenario 3:
Beginnt da, wo Szenario 1 aufhört. Melde ich mich nun beim Play Store an, verschwindet die Fehlermeldung in der TK-App erstmal nicht. Man muss bei der TK-App den Speicher und Cache löschen und die Einführung nochmal von vorne beginnen. Dann kann man sich final anmelden.

So schaffe ich es, die TK-App bei mir zum Laufen zu bringen und dafür brauche ich einen angemeldetem Play Store. Da die TK-App anscheinend irgendeine Abfrage macht.

Es würde mich natürlich freuen, wenn jemand eine Methode findet, die TK-App zum Laufen zu bekommen, ohne sich im Play Store anmelden zu müssen.

Ich kann das Verhalten bestätigen. Ich benutze zwar kein GrapheneOS, aber ein Android ohne Google Play Store. Die Apps installiere ich mit F-Droid oder anonym per Aurora Store. Bei der TK-App ist es der Aurora Store. Und das scheint die TK-App ab der Version 6.13 zu prüfen. Laut des TK-Services muss man die App über den Google Play Store installiert haben. Ich nutze aber keinen Google Play Store, weil ich nicht möchte, dass Google erfährt, welche Apps ich installiert habe und in welcher Krankenkasse ich bin.
Aktuell bin ich wieder auf die Version 6.12 zurück gegangen, damit funktioniert es noch. Aber wie lange ???

Gibt es mit den Aurora Store irgend einen Trick, um vorzugaukeln, dass eine App aus dem Google Play Store installiert worden ist? Die APK-Datei kommt ja aus der Datenquelle von Google, nur eben auf einem anonymen Weg.