AGOV access app (in CH)

This is a Swiss topic.

Some of the Swiss tax authorities switched their TaxMe online portals to a new authentication method not based on SMS anymore but now based on an app called AGOV access app. This app receives then a push message after the user did register his device on the AGOV server.

Problems:

  • We have two devices, an FP3 and an FP3+. I installed the app using Aurora on the FP3+, this did work. My FP3 says the app is not available for my device. What???
  • When I started the app on the FP3+ it says only one thing: “The lock screen must be activated.” and then it dies. - What does this mean? What should I do?? And why is the lock screen involved here?
  • The app which comes from an authority contains two Microsoft trackers, yeah, great.

OK, you do not need to use the app, you can by a hardware token starting at about 20 CHF.

Has someone already managed to use this app?

Ah, “lock screen” is the wrong word. The app requires an authentication using a fingerprint, password, swiping pattern or whatever, otherwise it refuses to start. You must switch this on before the app starts. This is never to be read on any help screen or wherever, you must learn this by experimentation on your own.

(Then it dies later with “unknown error” registering on the server …)

What does this mean, I should enable push-notifications for this app. Where is this setting?

Sali irrlicht

Ich musste die App vor ein paar Monaten in betrieb nehmen. Das mit dem Hardware token klingt interessant, wäre aber für mich nicht möglich gewesen (im Ausland).

Ich weiss die Details nicht mehr aber es klappte. Nutzt du etwas um Tracker zu blockieren?

Hi irrlicht

I have activated the app a couple months ago. Didn’t know about the hardware token, but being overseas it would have been impossible…

I don’t remember the details for activation anymore. Do you use something to block trackers?

Meinetwegen geht’s auch auf Deutsch :slight_smile:

Mir geht’s jetzt um die Aktivierung der App auf dem Server (man muss das erstmal alles kapieren …) Ich hab’s gestern geschafft, auf dem Server eine Registrierung vorzunehmen (dazu ist ein völlig ungeschützter Browser nötig, uMatrix o.ä. ist gar nicht gut …) Der Server sieht mein FP3 und dieses reagiert auch auf Aktionen, die ich am Server auslöse, eine Verbindung haben sie also. Der Server sagt aber bis heute, die App sei noch nicht vollständig aktiviert (was immer das heisst) und ich solle Push-Nachrichten für die App erlauben. Ich hab nach dem Wort “push” in den Settings gesucht, aber das taucht dort nicht auf. Ich weiss drum noch nicht, ob Authentifizierungen im TaxMe-Portal jetzt erfolgreich sein werden oder nicht. Ich müsst’s mal probieren.

Ich hab TrackerControl eingeschaltet, aber das hat bislang noch nichts gemeldet. Auch RethinkDNS zeigt bislang keine anderen Zugriffe auf irgendwelche Adressen, ausser denjenigen auf den AGOV-Server.

Ich finde das alles ausgesprochen kompliziert. Persönliche Daten sollen ja dann auch noch verifiziert werden. Und es ist eben nun schon das zweite digitale Authentifizierungsverfahren für die Steuer, das erste war kantonal. Sie hätten ja die Daten auch migrieren können, im Falle der COVID-Impungen haben sie Migration in die nun bundesweite Lösung angeboten.

Hass du bei TrackerControl von Google, die “firebase” drin? Ich glaube die muss aktiviert werden bis die Benachrichtigung (der Dienst) sich einmal korrekt ausgetauscht haben. Danach kannst du es wieder deaktivieren.

Please check if “firebase” is in TrackerControl under Google. This one needs to be activ until the push notification service was recognized the app. After that it can be deactivated.

Ich hab kein firebase drin.

Der Server kann meine Registrierung auch dann nicht “aktivieren”, wenn ich TrackerControl vollständig ausgeschaltet habe. Ich weiss ja schon, dass jegliche Sicherheitsmassnahmen kontraproduktiv sind.

Es sieht eher aus wie ein serverseitiges Problem. Habe ein Ticket eröffnet. Beim Logout von der Server-Seite kommen dann noch zwei unknown error hinterher. Ich bin offensichtlich ein Versuchskaninchen …

(Aber darauf beruht jetzt die Authentifizierung für das landesweite Steuerportal …)

Komisch, ich hab die app auf meinem alten Gerät installiert in der Hoffnung die vorherigen Einstellungen zu sehen, fehlanzeige. Aber da kam sofort Google und die 3 firebase tracker.

Du hast aber auch bei AP nicht ip adresse versteckt oder so…? Ich bin nun am wer weisen was es sein könnte :thinking:

Nein. In TrackerControl ist bei mir eigentlich alles auf default, ich mache da nichts dran.

Es war wie gesagt Wochenende und einmal, als ich auf die Seite des Servers kam, stand dort was von DDoS-Attacken, denen man ausgesetzt sei. Vielleicht sollte ich das nochmal löschen und neu erzeugen. (Wie soll das jemand machen, der über 70 ist?)

Ich hab’s jetzt. Nach vier Tagen herumprobieren.

Ich weiss jetzt, dass Push-Nachrichten im aktuellen /e/ “Popup auf dem Bildschirm” heissen (siehe hier). Diese Option gibt’s für jede App mindestens einmal in deren Benachrichtigungseinstellungen. (War aber eingeschaltet.)

Zwotens hab ich herausgefunden, dass ein VPN auf dem Mobiltelefon (ggf. mit integrierter firewall) nicht hilfreich ist. Man muss die App dort ausschliessen, obwohl sie im Protokoll gar keine unerklärlichen Zugriffe zeigt.

Drittens muss man auf der Gegenseite am PC den unsichersten Browser verwenden, den man hat, Chrome oder Edge, damit läuft’s. Schon ein uBlock origin im firefox o.ä. verhindert, dass die Webseite ordnungsgemäss läuft. (Aber wer geht heute schon noch ungeschützt ins Netz?) Ein Browser über tor schliesst sich von selbst aus.

Bei mir hatte es mit Firefox geklappt gehabt, mit den verfügbaren blockier Möglichkeiten.

Bist du bereits auf Android 14?

13, auf 14 heisst es wahrscheinlich wieder anders …

Ich konnte es auf meinem Android 13 T nicht finden, des mit dem PopUp

Jetzt probiere ich es seit gestern auf dem zweiten Gerät … ich schaff’s nicht. Die serverseitige Registrierung kann nicht abgeschlossen werden, weil in irgendeinem dummen Detail die Kommunikation zwischen Server und App nicht gelingt (man erfährt absolut gar nichts darüber). Der Account bleibt nicht aktiviert und wird wahrscheinlich für Logins nicht funktionieren. Dabei hab ich auf beiden Geräten absolut dieselben Einstellungen und nichts kompliziertes drauf.

Anderes Login?

Du machst das auf dem Computer oder?

Ja, natĂĽrlich, anderes login.

Du musst die Registrierung auf dem Server in einem Browser machen. Ich mach das mit einem PC, denn ich finde das Mobiltelefon zum Browsen reichlich klein. Man muss aber während der Registrierung die App parallel laufen haben, die Webseite sendet mehrmals Daten an die App und diese muss dann in einer gewissen Zeit reagieren. Das Ganze gelangt dann zu einem vorläufigen Abschluss, die Webseite sagt, man solle sich jetzt mit dem Mobiltelefon neu anmelden.

Das gelingt auch, aber die Webseite sagt dann, der Account sei noch nicht aktiviert. Diese Aktivierung kann man dann auf der Webseite auslösen, aber dann beginnt ein Rädchen zu drehen und hört nicht mehr auf. Die Webseite hat in diesem Moment etwas an das Mobiltelefon gesendet und wartet auf Antwort - am Mobiltelefon kommt jedoch nichts an, es sagt gar nichts. Und so bleibt es, ewig.

(Ehrlich, wenn dieses gespann aus Webseite und App künftig das Rückgrat der Authentifizierung auf Behördenwebseiten werden soll, werden sehr viele Leute noch sehr viel Freude damit haben.)

Hats später noch geklappt?

Bislang nicht. Momentan ist ja zum GlĂĽck noch eine Ăśbergangszeit und das alte kantonale Verfahren (BE Login) funktioniert noch (bis Juli).

Ich kann nur darüber lachen (nicht über dich), dass ich es geschafft habe in Japan (Für die Datenbearbeitung auf dem Konsulat wars nötig) dieses AGOV in betrieb zu nehmen… Weiss nicht ob der Kt. Bern da unfähig ist…

Ja, was heisst unfähig? Es ist ja die typische Herangehensweise: eine Sache wird für ganz konkrete Bedingungen entwickelt, und wenn’s dann mal geht, ist es auch gut so. Mehr muss nicht. (Und mehr Zeit und Geld ist sowieso nicht da.)

Der Benutzer hat also, das muss man gar nicht erwähnen, Chrome und Windows 11 auf seinem PC und sowohl dieser wie auch sein Mobiltelefon sind fabrikneu und vollkommen unverändert. Und dann dauert es Monate, bis sie entdecken, dass es auch andere Browser gibt, VPNs, Firewalls, Virenscanner, andere OSe. Immer wieder wird mir als Linux-User beispielsweise gesagt, ich solle ein sicheres Betriebssystem verwenden, ich sag’s schon gar niemandem mehr.

Eine begrüssenswerte Hilfe wäre, wenn die App wenigstens sagen könnte, was denn eigentlich nicht geht, dann könnte man es suchen und abstellen. Sie sagt einfach gar nichts.

Der Kundendienst, den man per e-mail erreichen kann, sagt, es müsse “irgendetwas auf meinem Handy” sein. Jaha, das ist … ähm … beinahe nützlich.

1 Like