Danske Bankin ja Nordean sovellukset kieltäytyvät toimimasta liikaa oikeuksia hamuavien tuntemattomista lähteistä asennettujen sovellusten rinnalla

FlyingAntero

FlyingAntero

ɑ n d r o i d
Tukijäsen
Liittynyt
17.10.2016
Viestejä
9 390
image.png


Pankkisovellusten tiukat turvallisuusvaatimukset ovat aiheuttaneet jo pidemmän aikaa päänvaivaa root-oikeuksien kanssa operoiville edistyneille käyttäjille (kts. Pankkisovellukset ja custom ROM/root) mutta nyt käyttörajoitukset ovat iskeneet myös alkuperäisellä ohjelmistolla varustettuihin roottaamattomiin laitteisiin. TechBBS-foorumin käyttäjäraporttien mukaan ainakin Danske Bankin ja Nordean pankkisovellukset ovat kieltäytyneet toimimasta sellaisissa laitteissa, mihin on asennettu liikaa käyttöoikeuksia vaativia sovelluksia Play Kaupan ulkopuolelta. Havaintojen mukaan ainakin esteettömyyspalveluihin (Accessibility Service) oikeuksia vaativat sovellukset estävät edellä mainittujen pankkisovellusten toiminnan. Rajoitus näyttää koskevan vain tuntemattomista lähteistä asennettuja eli ns. "sideloadattuja" sovelluksia, sillä samoilla oikeuksilla varustettu Play Kaupasta ladattu sovellus ei estä pankkisovellusten käyttöä.

Allekirjoittanut varmisti havainnot asentamalla puhelimeen Key Mapper nimisen sovelluksen sekä Play Kaupasta että F-Droidista. Kun Key Mapper oli asennettu Play Kaupan kautta, Nordean ja Danske Bankin sovellukset jatkoivat toimintaansa normaalisti. Saman sovelluksen asentaminen F-Droidin kautta esti kuitenkin pankkipalveluiden käyttämisen. Kyseessä vaikuttaa siis olevan kategorinen linjaus "sideloadattujen" sovellusten osalta. Danske Bank on julkaissut aiheeseen liittyen tiedotteen, jossa kehottaa lataamaan sovelluksia vain Play Kaupasta tai Samsung Galaxy Storesta. Vastaavia toimenpiteitä on nähty aiemmin maailmalla ja nähtäväksi jää, kuinka laajasti suomalaiset pankkipalvelut ottavat kyseiset rajoitukset käyttöön.

Lähteet:
 
Viimeksi muokattu:
demu sanoi:
Tämähän on varsin mainio idea. Varoittaa tavallistakin pulliaista, jos on tullut asennettua mahdollisesti haitallinen sovellus.
Napsauta laajentaaksesi...
Sinällään joo mutta asentavat tavanpulliaiset edes sovelluksia Play Kaupan ulkopuolelta? Käyttöjärjestelmä varoittaa kuitenkin käyttäjää jo siinä vaiheessa.
Screenshot_20240921_195107_Package installer.jpg

Screenshot_20240921_195021_Settings.jpg
Yleensä harrastuneisuutta omaavat käyttäjät ylipäätänsä asentavat sovelluksia muista lähteistä kuin Play Kaupasta. Lisäksi tuossa ei ole mitään tunnistusta, onko sovellus oikeasti haitallinen. Esimerkiksi Key Mapper on avointa lähdekoodia ja saatavilla F-Droidista. Se ei kuitenkaan toimi F-Droidin kautta ladattuna mutta sama sovellus toimii kuitenkin Play Kaupasta ladattuna.

Ymmärrän kyllä pointin tämän taustalla mutta mielestäni on vähän hölmöä rajoittaa käyttöä kaikkien sideloadattujen sovellusten kohdalla, jos vaan pyyää liikaa pankin mielestä liikaa oikeuksia. Tuossa ei ole mitään oikeaa tunnistusta, onko sovellus vaarallinen vai ei. Omasta mielestä tuo tuntemattomien lähteiden kautta asennuksen estäminen oletuksena olisi ihan riittävä.
 
Itsellä piti ottaa iha play kaupasta ladatusta ja vuosia käytössä olleesta Nova Launcherista Accessbilityä käyttävä screenlock ominaisuus pois Nordean sovelluksen kanssa.
Accessbilityä tarvitaan siihen, että näyttö sulkeutuu, kun näppäyttää siitä kaksi kertaa.
Toiminnallisuudelle on Device admin tasonkin vaihtoehto, mutta sitä käytettäessä täytyy näytön lukitus avata aina pin-koodilla eikä siis sormenjälki tai naamatunnistus avaa lukitusta. Accessbility vaihtoehdolla ei tule pin-koodi pakotusta.
 
FlyingAntero sanoi:
Sinällään joo mutta asentavat tavanpulliaiset edes sovelluksia Play Kaupan ulkopuolelta? Käyttöjärjestelmä varoittaa kuitenkin käyttäjää jo siinä vaiheessa.
Napsauta laajentaaksesi...
Nuoret varsinkin kyllä. Lemppari tubettaja sanoo videolla, että lataa tämä sovellus ja puhelin on ainakin 500% nopeempi tai lataa täältä peli niin saat sen ilmaiseksi jne. Sitten näitä asennetaan mahdollisesti vanhempienkin puhelimiin. Lisäksi nämä ihan aikuiset taukit, jotka koittavat joka asiassa "säästää" ja warettavat sovelluksiansa ties mistä roskareittejä pitkin eivätkä tajua riskejä.
 
VIttu mitä paskaa kyllä, mielestäni käyttäjälläkin on jonkinlainen vastuu laitteistoistaan. Ymmärrän toki idean tämän takana, mutta kun tunnistus on tasoa, asensit softaa proprietaryjärjestlemien ulkopuolelta, olet huono käyttäjä niin mitä vittua oikeasti. Korkeintaan jonkinlainen varoitus pankkisoftan käynnistykseen olisi mielestäni kohtuullinen, mutta onhan tämä nyt ihan silkkaa vittuilua, jos et käytä laitteitasi näin tai näin niin en toimi.
 
leripe sanoi:
Itsellä piti ottaa iha play kaupasta ladatusta ja vuosia käytössä olleesta Nova Launcherista Accessbilityä käyttävä screenlock ominaisuus pois Nordean sovelluksen kanssa.
Accessbilityä tarvitaan siihen, että näyttö sulkeutuu, kun näppäyttää siitä kaksi kertaa.
Toiminnallisuudelle on Device admin tasonkin vaihtoehto, mutta sitä käytettäessä täytyy näytön lukitus avata aina pin-koodilla eikä siis sormenjälki tai naamatunnistus avaa lukitusta. Accessbility vaihtoehdolla ei tule pin-koodi pakotusta.
Napsauta laajentaaksesi...
Erikoista! Täällä nimittäin pelaa Play Kaupasta ladattu Nova Launcher samalla ominaisuudella ja oikeuksilla noiden pankkisovellusten kanssa. Oletko kokeillut poistaa Novaa ja asentaa uudelleen Play Kaupasta, että lähtisikö esto pois?
 
FlyingAntero sanoi:
Erikoista! Täällä nimittäin pelaa Play Kaupasta ladattu Nova Launcher samalla ominaisuudella ja oikeuksilla noiden pankkisovellusten kanssa. Oletko kokeillut poistaa Novaa ja asentaa uudelleen Play Kaupasta, että lähtisikö esto pois?
Napsauta laajentaaksesi...
Mutta onko sinulla tuo ominaisuus päällä?
Ilman sitä tietenkin toimii.
Screenshot_20240921_204905_Nova Launcher.jpg

Edit: luin huonosti. Pitääpä testailla itse siis.
 
No kyllä on nyt paha ylilyönti pankeilta. Tulee mieleen Orwell ja 1984. Ei mutta nythän on jo siis 1984 + 40 ja kohti 110 % kyttäysmaailmaa mennään. Chat Control jne..

No onneksi vielä ei ole mikään pakko edes käyttää älylaitetta maksamiseen. :)
 
Viimeksi muokattu:
leripe sanoi:
Mutta onko sinulla tuo ominaisuus päällä?
Ilman sitä tietenkin toimii.
Screenshot_20240921_204905_Nova Launcher.jpg

Edit: luin huonosti. Pitääpä testailla itse siis.
Napsauta laajentaaksesi...
Joo, on käytössä esteettömyys eli Accessibility, mitä nuo pankkipalvelut erityisesti kyttää. Play Kaupasta ladattuna kyllä toimii.

Screenshot_20240921_205730_Nova Launcher.jpg

Voihan tuo herjata myös, jos sovellus ei ole päivitetty tai joskus tuotu sovellus backuppina vanhasta laitteesta tms.
 
FlyingAntero sanoi:
Joo, on käytössä esteettömyys eli Accessibility, mitä nuo pankkipalvelut erityisesti kyttää. Play Kaupasta ladattuna kyllä toimii.

Screenshot_20240921_205730_Nova Launcher.jpg

Voihan tuo herjata myös, jos sovellus ei ole päivitetty tai joskus tuotu sovellus backuppina vanhasta laitteesta tms.
Napsauta laajentaaksesi...
Toki sinulla danskepankki ja itsellä nordea.
 
Liekkö tässä oikeasti taustalla viime keväänä uutisoitu huijaus, missä käyttäjää pyydetään asentamaan "virustorjuntaohjelmisto", kun on muka joutunut petoksen uhriksi. Huijari lähettää tekstiviestillä linkin, minkä kautta asennetaan virustorjuntaohjelmistoksi naamioitunut haittaohjelma.
Tuossa saa vaan aika monta kertaa kuitata varoitukset ennen kuin sideloadattu sovellus on asennettu ja luvat myönnetty :asif:. Kertaalleen pitää pääsykoodikin syöttää.

Screenshot_20240921_215155_Package installer.jpg

Screenshot_20240921_215205_Settings.jpg

Screenshot_20240921_215227_Key Mapper.jpg

Screenshot_20240921_215241_Settings.jpg

Screenshot_20240921_215318_Settings.jpg

Screenshot_20240921_215348_Settings.jpg
 
Olen aina ihmetellyt että mitä se pankille kuuluu millään tavalla millaisella laitteella tai ohjelmistoilla kukakin asioi.

Minulla vain ei ole niin paksua lompakkoa että pankkeja mielipiteeni kiinnostaisi.
 
FlyingAntero sanoi:
Testasin molemmat ja kumpainenkin pelaa.
Napsauta laajentaaksesi...
En saa pelittämään, mutta en juuri nyt lähde poistelemaan kumpaakaan novaa tai nordeaa ja asentamaan uusiksi.
Kokeilin laittaa Bitwardenille saman oikeuden accessbilitystä ja Nordean sovellus herjasi heti siitäkin.
 
Raivo sanoi:
Siis mitä tarkoitat tällä? Nordea ainakin vaatii erillisen kuittauksen maksamisen yhteydessä.
Napsauta laajentaaksesi...
OP:n äppissä maksut saa hyväksyttyä staattisella PIN-koodilla, joten ehkä teoriassa ymmärtäisin miten joku saisi tyhjennettyä tilin haittaohjelmalla.
Verkkoselaimella tätä ongelmaahan ei ole, kun maksu pitää erikseen hyväksyä puhelimella tai vaihtuvalla tunnusluvulla.
 
Err sanoi:
OP:n äppissä maksut saa hyväksyttyä staattisella PIN-koodilla, joten ehkä teoriassa ymmärtäisin miten joku saisi tyhjennettyä tilin haittaohjelmalla.
Verkkoselaimella tätä ongelmaahan ei ole, kun maksu pitää erikseen hyväksyä puhelimella tai vaihtuvalla tunnusluvulla.
Napsauta laajentaaksesi...
On se silti 2FA kun vaaditaan laite (jotakin mitä sinulla on) ja tunnusluku (jotakin mitä tiedät).

Ei se tietenkään haavoittumaton ole, mutta kyllä tuo 2FA:n määritelmän täyttää.
 
null sanoi:
Siis hoitaako joku vielä vuonna 2024 pankkiasiat jollain muulla kuin mobiililaitteella? :woot:
Napsauta laajentaaksesi...
Kysytkö tätä ihan vakavissaan, juuri tämän ketjun ja monien monien muiden syiden takia en itse rummuta todellakaan mobiilimaksamista, tai no mikäs siinä, jos homma hoidettaisiin avoimilla ja sovituilla standardeilla ja järjestelmillä, uutta hienoa teknologiaa, nörtti tykkäisi kovasti, mutta kun vittu ei. Niin ja joku googlen tai applen mobiilimaksuhimmeli ei ole sellainen, etpä pysty suoraan vaikkapa lineageOS:llä varustetulla puhelimella menemään kaupan kassalle ja maksamaan nfc:llä, ellei sinulla ole tuota proprietaryhimmeliä asennettuna.
 
FlyingAntero sanoi:
Kyseessä vaikuttaa siis olevan kategorinen linjaus "sideloadattujen" sovellusten osalta.
Napsauta laajentaaksesi...
Vastaan tähän lainauksena oman viestin toisesta ketjusta:
Kautium sanoi:
Sideload tarkoittaa käytännössä juuri sitä, että järjestelmään on ujutettu sisään jotain mikä ei ole sinne normaalia reittiä pitkin sallittu. Jos halutaan pitää järjestelmä edes jollakin tasolla turvallisena, niin tuolla tavalla käyttöjärjestelmän normaaleita rajoituksia mahdollisesti kiertävien sovellusten havaitseminen on punaisena kirkuva lippu ja sillä siisti. Ei siitä kannata ketään muuta syyttää kuin itseään.

Se on eri asia jos kyse on virheellisestä false-positivesta, mutta tuossa ei taida olla siitä kyse kuitenkaan?

www.csoonline.com

Sideloading attacks explained: How a malicious app can bring down a business

A new sideloading malware campaign targeting Windows uses phishing and social engineering tactics that can be difficult for users to spot.
www.csoonline.com www.csoonline.com
Napsauta laajentaaksesi...

null sanoi:
Siis hoitaako joku vielä vuonna 2024 pankkiasiat jollain muulla kuin mobiililaitteella? :woot:
Napsauta laajentaaksesi...
Boomer-väki joo. Ja kun katsoo kansakunnan ikäjakaumaa, niin niitä kyllä riittää.
 
Kautium sanoi:
Vastaan tähän lainauksena oman viestin toisesta ketjusta:
Napsauta laajentaaksesi...
ELi mielestäsi idioottien suojeleminen itseltään on hyvä asia, vaikka siinä rajataan aika monta ihan asiallista softaa pois. EN olisi uskonut, että törmään nörttifoorumilla tällaiseen mielipiteeseen, jossa järjestelmän rajoittaminen on hyvä asia. Näissä kyseisissä huijaustapauksissa saat kuitenkin painella aika monta kertaa ok ok ja lukea monta varoitusta ennen kuin haitallista koodia ajetaan järjestelmään, jos ei useankaan varoituksen jälkeen tajua että nyt tehdään jotain mitä ei pitäisi saa mielestäni syyttää itseään
 
dataaja95 sanoi:
ELi mielestäsi idioottien suojeleminen itseltään on hyvä asia, vaikka siinä rajataan aika monta ihan asiallista softaa pois. EN olisi uskonut, että törmään nörttifoorumilla tällaiseen mielipiteeseen, jossa järjestelmän rajoittaminen on hyvä asia. Näissä kyseisissä huijaustapauksissa saat kuitenkin painella aika monta kertaa ok ok ja lukea monta varoitusta ennen kuin haitallista koodia ajetaan järjestelmään, jos ei useankaan varoituksen jälkeen tajua että nyt tehdään jotain mitä ei pitäisi saa mielestäni syyttää itseään
Napsauta laajentaaksesi...
Tämä on vähän niin ja näin. Rajoitusten kiertäminen on harrastusmielessä toki ihan kiva ja suotavakin juttu, mutta jos puhutaan tietoturvasta mm. juuri salasana- tai pankkisovellusten kohdalla, niin ei siellä ole varaa antaa yhtään löysiä ropelihatttujen puuhasteluille.
 
Walla sanoi:
On se silti 2FA kun vaaditaan laite (jotakin mitä sinulla on) ja tunnusluku (jotakin mitä tiedät).

Ei se tietenkään haavoittumaton ole, mutta kyllä tuo 2FA:n määritelmän täyttää.
Napsauta laajentaaksesi...
2FA ei itsessään tarkoita että tietoturva on kunnossa. Sekin on 2FA jos mulla on asennettu tietokone jatkojohdon päähän kerrostalon pihalle, siellä sessio pankkiin juuri nyt auki seuraavat 15 min ja tunnusluku koko tilin tyhjentämiseen 1234 eli koodi jonka tiedän (ja niin tiedät sinäkin kun se lukee myös postit-lapulla näytössä ja vaikkapa täällä netissä). Luottaisin silti enemmän yhden faktorin laitteeseen, joka olisi lukkojen takana kellarissa, vaikka se vaatisikin vain enterin painamisen tilin tyhjäämiseksi.
 
Ehkä pankkiohjelmille pitää tehdä suojaus puhelimiin ym ja estää niiden ympäristön liiallinen nuuskiminen, jotta niitä ei käy turhaan ahdistamaan. Ei muutakuin omaan hiekkalaaatikkoonsa ne, josta ei saa selville, mm. mitä muita softia puhelimella pyörii..
 
demu sanoi:
Tämähän on varsin mainio idea. Varoittaa tavallistakin pulliaista, jos on tullut asennettua mahdollisesti haitallinen sovellus.
Napsauta laajentaaksesi...
Varoitus olisikin hyvä idea, mutta softa lakkaa kokonaan toimimasta tuon takia.


Tupsa sanoi:
No onneksi vielä ei ole mikään pakko edes käyttää älylaitetta maksamiseen. :)
Napsauta laajentaaksesi...
Vielä. Voisin vaikka rahasta lyödä vetoa, jotta muutaman vuoden sisään joku pankki tekee tuosta pakollisen. Ja muita pankkeja sitten perässä…


Griffin sanoi:
Ehkä pankkiohjelmille pitää tehdä suojaus puhelimiin ym ja estää niiden ympäristön liiallinen nuuskiminen, jotta niitä ei käy turhaan ahdistamaan. Ei muutakuin omaan hiekkalaaatikkoonsa ne, josta ei saa selville, mm. mitä muita softia puhelimella pyörii..
Napsauta laajentaaksesi...
Eikös tuohon riittäisi eri käyttäjätunnuksen alle asentaminen? Ominaisuus löytyy ihan vakiona Androidista, pl. Samsungin kännykät mistä se on jostain syystä erikseen disabloitu. Saman firman tableteissa se tosin on edelleen tallella.
 
Griffin sanoi:
Ehkä pankkiohjelmille pitää tehdä suojaus puhelimiin ym ja estää niiden ympäristön liiallinen nuuskiminen, jotta niitä ei käy turhaan ahdistamaan. Ei muutakuin omaan hiekkalaaatikkoonsa ne, josta ei saa selville, mm. mitä muita softia puhelimella pyörii..
Napsauta laajentaaksesi...
IOS:ssa pankkiohjelmat on hiekkalaatikoitu ja myös kaikki muut ohjelmat :rofl:

Security of runtime process in iOS and iPadOS

iOS and iPadOS help ensure runtime security by using a “sandbox”, declared entitlements and Address Space Layout Randomisation (ASLR).
support.apple.com
Tuon takia esim. virustutkat on turhia.
www.is.fi

Tiedätkö, miksei iPhonelle ole ensimmäistäkään virustutkaa?

Tietoturvayhtiö selittää, miksi Apple ei päästä virustutkia App Storeen.
www.is.fi www.is.fi
 
pq sanoi:
Eikös tuohon riittäisi eri käyttäjätunnuksen alle asentaminen? Ominaisuus löytyy ihan vakiona Androidista, pl. Samsungin kännykät mistä se on jostain syystä erikseen disabloitu. Saman firman tableteissa se tosin on edelleen tallella.
Napsauta laajentaaksesi...
Vastasit tässä itsellesi. Eri valmistajien toteutuksia yms virityksiä on miljoona erilaista. Ei ole mitenkään realistista olettaa yksittäisen pankin resurssien riittävän tehdä jokaiselle laitteelle yksilöllistä optimointia tuollaisen toimintaan saamiseksi...
 
Kautium sanoi:
Tämä on vähän niin ja näin. Rajoitusten kiertäminen on harrastusmielessä toki ihan kiva ja suotavakin juttu, mutta jos puhutaan tietoturvasta mm. juuri salasana- tai pankkisovellusten kohdalla, niin ei siellä ole varaa antaa yhtään löysiä ropelihatttujen puuhasteluille.
Napsauta laajentaaksesi...
Sideloadaus ei automaattisesti tarkoita, että puhelimessa olisi sen jälkeen haittaohjelma. Sovellusten asentamisen salliminen tuntemattomista lähteistä toki mahdollistaa haittaohjelman pääsyn laitteelle, jos käyttäjä latailee sokeasti sovelluksia epäilyttävistä lähteistä. Saatavilla on kuitenkin muitakin sovelluskauppoja Play Kaupan lisäksi, mistä on ihan turvallista ladata sovelluksia (esim. F-Droid). Google on itseasiassa helpottanut vaihtoehtoisten sovelluskauppojen käyttämistä EU:n painostuksesta.
pq sanoi:
Varoitus olisikin hyvä idea, mutta softa lakkaa kokonaan toimimasta tuon takia.
Napsauta laajentaaksesi...
Danske Bank ja Nordea ilmeisesti käyttävät Androidin uusia ominaisuuksia, jotka mahdollistavat seuravat asiat:
  • A) Tunnistaa sovellus, joka pyytää liikaa oikeuksia
    1. Pyytää käyttäjää sulkemaan kyseinen sovellus, jos se on ladattu Play Kaupan ulkopuolelta (CLOSE_UNKNOWN_ACCESS_RISK)
    2. Pyytää käyttäjää sulkemaan kyseinen sovellus, vaikka se on ladattu Play Kaupasta (CLOSE_ALL_ACCESS_RISK)
  • B) Tunnistaa, jos juuri avattu sovellus on ladattu Play Kaupan ulkopuolelta
    1. Pyytää käyttäjää asentamaan sovellus Play Kaupan kautta
    2. Jos käyttäjä ei halua ladata sovellusta Play Kaupasta, sovelluskehittäjä voi päättää salliiko kyseisen sovelluksen käytön vai ei
Kohdassa A) Googlen tarkoitus ei vaikuttaisi olevan estää sovelluksen käyttöä, vaikka samassa laitteessa olisi asennettuna liikaa oikeuksia pyytävä sovellus tuntemattomasta lähteestä. Tarkoituksena on ilmeisesti ollut vain varoittaa käyttäjää ja sammuttamaan (ei siis poistamaan) liikaa oikeuksia haluava sovellus) Kehittäjä ei myöskään saa tietää, mikä sovellus vaatii liikaa oikeuksia vaan tämä tieto näytetään vaan käyttäjälle paikallisesti. Mielestäni on turhaa, että suomalaiset pankit kieltää käytön kokonaan, kun varoituskin riittäisi.
Using the new app access risk feature, developers can determine whether there are other apps running on the device that might be potentially risky. These include apps that can capture the screen and apps that can control the device...

...Developers can then show one of two remediation dialogs to prompt the user to close those apps. The CLOSE_UNKNOWN_ACCESS_RISK dialog should be shown if the developer wants the user to close apps that are unknown to Google — those that weren’t installed from the Play Store. The CLOSE_ALL_ACCESS_RISK dialog should be shown if the developer wants the user to close all apps capable of capturing the screen or controlling the device, even if those apps were installed from Google Play...

...For privacy, developers who use the app access risk feature aren’t given any user or device identifiers, nor are they given any information about the apps that triggered the positive verdict. In other words, they’re only told that some apps are running that might be risky, but not what those apps are.
Napsauta laajentaaksesi...
Kohta B) on pankkipalveluille ihan validi eli jos käyttäjä lataa pankkisovelluksen jostain muualta kuin Play Kaupasta, niin pankki voisi estää sovelluksen käyttämisen niin halutessaan.
As you can see, the remediation dialog tells you to “get this app from Play” in order to continue using it. There’s an option to close the dialog, but there’s no way to bypass it entirely. If you close the dialog, a response is sent to the app that lets the developer know so they can decide whether to continue blocking access.
Napsauta laajentaaksesi...
 
Viimeksi muokattu:
leripe sanoi:
En saa pelittämään, mutta en juuri nyt lähde poistelemaan kumpaakaan novaa tai nordeaa ja asentamaan uusiksi.
Kokeilin laittaa Bitwardenille saman oikeuden accessbilitystä ja Nordean sovellus herjasi heti siitäkin.
Napsauta laajentaaksesi...
Poistelin nordean sovelluksen sekä nova launcher ja prime sovellukset. Asensin takaisin ja toimii. Palautin novan asetukset backupista ja toimii.
Kiitos anterolle.
 
user9999 sanoi:
IOS:ssa pankkiohjelmat on hiekkalaatikoitu ja myös kaikki muut ohjelmat :rofl:
Napsauta laajentaaksesi...
Mutta iOS:lläkin sovellus voi kysyä mitä muita ohjelmia on laitteeseen asennettu, jos niillä muilla sovelluksilla on oma URL-skeema. Tämä on käytännössä pakollinen ominaisuus, jos esim. Facebook-sovelluksen linkityksen haluaa toteuttaa omaan sovellukseen
developer.apple.com

canOpenURL(_:) | Apple Developer Documentation

Returns a Boolean value that indicates whether an app is available to handle a URL scheme.
developer.apple.com developer.apple.com
 
ep-l sanoi:
Olen aina ihmetellyt että mitä se pankille kuuluu millään tavalla millaisella laitteella tai ohjelmistoilla kukakin asioi.

Minulla vain ei ole niin paksua lompakkoa että pankkeja mielipiteeni kiinnostaisi.
Napsauta laajentaaksesi...
Oikeuskäytäntö tuntuu olevan siihen suuntaan että pankeilla on todella ankara vastuu näissä tietoturva-asioissa. Toisaalla mainittiin tapaus jossa asiakas oli sivuuttanut verkkopankin varoittelun uuden pankkisovelluksen käyttöönotosta silleen yes-yes-next-next tyyliin ja kun rahat pöllittiin niin oikeus totesi pankin korvausvelvolliseksi.
 
Sain muuten kierrettyä ainakin Danske Bankin rajoituksen MacroDroidilla. Todennäköisesti toimii Nordeallakin mutta en nyt jaksanut testata sitä. Tein automaation, joka poistaa sideloadatun sovelluksen oikeudet esteettömyyspalveluihin, kun mobiilipankki avataan. Vastaavasti oikeudet menee takaisin päälle, kun mobiilipankki suljetaan. Välillä joutuu avaamaan mobiilipankin kahteen kertaan, kun MacroDroid ei ehdi muuttaa asetuksia mutta testailujen mukaan vähintään toisella avaamiskerralla kerralla onnistuu.

Screenshot_20240922_123527_MacroDroid.jpg


MacroDroidille täytyy antaa WRITE_SECURE_SETTINGS oikeudet ADB:n kautta mutta ei siis vaadi roottia tms. Ihan vakiona voi siis käyttää puhelinta.
 
Err sanoi:
OP:n äppissä maksut saa hyväksyttyä staattisella PIN-koodilla, joten ehkä teoriassa ymmärtäisin miten joku saisi tyhjennettyä tilin haittaohjelmalla.
Verkkoselaimella tätä ongelmaahan ei ole, kun maksu pitää erikseen hyväksyä puhelimella tai vaihtuvalla tunnusluvulla.
Napsauta laajentaaksesi...
Ei tuo kyllä onnistu OP:llakaan läheskään aina, vaan vaatii suuremmissa/erikoisemmissa maksuissa ainakin itsellä hyvin usein tekstiviestivahvistuksen.
 
Eore sanoi:
Vastasit tässä itsellesi. Eri valmistajien toteutuksia yms virityksiä on miljoona erilaista. Ei ole mitenkään realistista olettaa yksittäisen pankin resurssien riittävän tehdä jokaiselle laitteelle yksilöllistä optimointia tuollaisen toimintaan saamiseksi...
Napsauta laajentaaksesi...
Jaa että häh? Pointti oli nimenomaan käyttää käyttöjärjestelmään sisäänrakennettua ominaisuutta, eikä lähteä asentelemaan ylimääräisiä appseja tai nojata yksittäisen valmistajan poropietaritoteutukseen. Se että yksi valmistaja on disabloinut käyttöjärjestelmään kuuluvan perusominaisuuden joistain laitteistaan on ehkä maailman huonoin argumentti olla sitä käyttämättä: ihan varmasti maailmasta löytyy useampi Android-laite missä appsien asentaminen on kokonaan estetty, mutta ei silti kukaan koita vakavalla naamalla väittää ettei ko. ominaisuutta tämän takia kukaan saisi käyttää.


….plus tarkennettakoon jos vielä sekin meni ohi alkuperäisestä viestistä: tarkoitus oli siis loppukäyttäjän sulloa se liikoja nuuskiva sovellus omaan komeroonsa mistä se ei pääsisi turhia asioita tutkimaan.
 
Kun kerran niitä oikeuksia voidaan puhelimissa niin hyvin säädellä, niin millähän oikeudella se pankin paske pääsee näkemään mitä muuta siinä puhelimessa pyörii? Urkkiva paska valittaa urkkivista paskoista, siltä tämä nyt kuulostaa. :comp:
 
huglo sanoi:
niin millähän oikeudella se pankin paske pääsee näkemään mitä muuta siinä puhelimessa pyörii?
Napsauta laajentaaksesi...
Androidin kohdalla mikä tahansa sovellus voi kysyä, että käyttääkö jokin toinen sovellus noita käytettävyysapureita. Sovellukset eivät siis näe toisten sovellusten sisään, ne vain kysyvät tuota käyttöjärjestelmältä
www.guardsquare.com

Android Accessibility Suite Threat Protection | Guardsquare

The Accessibility Service on Android allows users with disabilities to interact with their devices in new ways. Learn how to mitigate app security risks.
www.guardsquare.com www.guardsquare.com

Noi käytettävyysapurit ovat siis pakollisia esim. näkörajoitteisille, mutta niitä on vuosien saatossa väärinkäytetty esim. noissa verkkopankkitunnuksien kopiointihyökkäyksissä. Google Playn kanssa noissa on siis jo lisätarkistukset Googlen puolesta, mutta tuon sideloadin takia tuota ei voi suoraan Androidin tasolla estää.
 
Oi voi voi kun rajoitetaan taas yksilön oikeuksia olla ja tehdä mitä haluaa. Peppu ihan kipeytyy. Siinä kohdin kun menetetään rahaa kun ei oltukaan ihan perillä kaikesta mitä puhelimessa tapahtuu niin itketään pankin vastuuta korvata.

Käänteisesti jos itse pitäisit huolta satojen tuhansien ihmisten rahoista, sinulla olisi lain edellyttämiä velvollisuuksia huolehtia tietoturvasta ja tehdä rahan menetys ihmisille mahdollisimman mahdottomaksi. Luottaisitko siihen, että muutama nörtti tietää mitä tekee samalla kun tuhannet apinat lataa puhelimen täyteen paskaa ja tukkii sen jälkeen aspanne, iltapaskat, somekanavat ja saa pankkisi huonoon valoon.

Onneksi tähänkin on vaihtoehtoja, pankin vaihto, selaimella pankkiasioiden hoito, toinen puhelin rinnalle jota käyttää kuten normaalit ihmiset ja tyydyttää leikki- tai työtarpeet sitten toisella ym. varmasti jokainen itse keksii, jos tämäkin nyt jotenkin ongelmaksi muodostui.
 
Täällä lähti Dansken sovellus poistoon n. kuukausi sitten kun ei suostunut enää toimimaan Nova Launcherin kanssa. Ihan naurettavaa.
 
Gameri sanoi:
Oi voi voi kun rajoitetaan taas yksilön oikeuksia olla ja tehdä mitä haluaa. Peppu ihan kipeytyy. Siinä kohdin kun menetetään rahaa kun ei oltukaan ihan perillä kaikesta mitä puhelimessa tapahtuu niin itketään pankin vastuuta korvata.

Käänteisesti jos itse pitäisit huolta satojen tuhansien ihmisten rahoista, sinulla olisi lain edellyttämiä velvollisuuksia huolehtia tietoturvasta ja tehdä rahan menetys ihmisille mahdollisimman mahdottomaksi. Luottaisitko siihen, että muutama nörtti tietää mitä tekee samalla kun tuhannet apinat lataa puhelimen täyteen paskaa ja tukkii sen jälkeen aspanne, iltapaskat, somekanavat ja saa pankkisi huonoon valoon.

Onneksi tähänkin on vaihtoehtoja, pankin vaihto, selaimella pankkiasioiden hoito, toinen puhelin rinnalle jota käyttää kuten normaalit ihmiset ja tyydyttää leikki- tai työtarpeet sitten toisella ym. varmasti jokainen itse keksii, jos tämäkin nyt jotenkin ongelmaksi muodostui.
Napsauta laajentaaksesi...
Tilannetta voisi verrata vaikka siihen, että jätät lompakon ei lukossa olevaan ja valvomattomaan pukuhuoneeseen. Hallille mennessä kassalla sanotaan, että tavarat ovat omalla vastuulla pukkarissa. Sitten pukkarissa on perinteinen muistuslappu "halli X ei vastaa pukuhuoneeseen jätetyistä tavaroista". Salilla sitten ohjaaja muistuttaa, että eihän kukaan jättänyt arvotavaraa pukkariin. Jos kaikista näistä varoituksista huolimatta lompakko jäi pukkariin ja se vietiin, niin siinä on peiliin katsomisen paikka.

Muutenkaan sideluodatulle sovellukselle ei pysty antaa vahingossa oikeuksia esteettömyysvalikkoon etukäteen, kun valikko on piilotettu (kolme pistettä ikoni ei ole saatavilla). Oikeudet voi antaa vasta siinä vaiheessa kun sovellus kysyy niitä. Valinta on aluksi harmaana ja sitä pitää täpätä ennen kuin voi käydä muuttamassa sovelluksen asetuksia ja antaa luvat.
Screenshot_20240922_175030_Settings.jpg

Screenshot_20240922_175045_Settings.jpg

Screenshot_20240922_175052_Settings.jpg

Screenshot_20240922_175101_Settings.jpg

Screenshot_20240922_175107_Settings.jpg
 
Hassua kun rajoitetaan tällästä mutta pankit silti käyttävät sms vahvistus viestejä mitkä ovat helpompi kaapata kuin joku pankki appi. Mites toi muut appstorejen apit toimii. Eikös EU mukaan käyttäjällä on oikeus lataa apit mistä tahansa haluaa.
 
Mitenköhän tuo tarkistus tapahtuu että asennettu Play Storesta? Toimisikohan jos adb:n kautta shellissä uudelleenasentaisi sovelluksen käskyllä:
Koodi: 
pm install -i com.android.vending -r app.apk
 
FlyingAntero sanoi:
Sain muuten kierrettyä ainakin Danske Bankin rajoituksen MacroDroidilla. Todennäköisesti toimii Nordeallakin mutta en nyt jaksanut testata sitä. Tein automaation, joka poistaa sideloadatun sovelluksen oikeudet esteettömyyspalveluihin, kun mobiilipankki avataan. Vastaavasti oikeudet menee takaisin päälle, kun mobiilipankki suljetaan. Välillä joutuu avaamaan mobiilipankin kahteen kertaan, kun MacroDroid ei ehdi muuttaa asetuksia mutta testailujen mukaan vähintään toisella avaamiskerralla kerralla onnistuu.

Screenshot_20240922_123527_MacroDroid.jpg


MacroDroidille täytyy antaa WRITE_SECURE_SETTINGS oikeudet ADB:n kautta mutta ei siis vaadi roottia tms. Ihan vakiona voi siis käyttää puhelinta.
Napsauta laajentaaksesi...

Tuossa itse vähän asiaa testailin kun olen Dasken asiakas.
Niin ei näytä nämä "estot" tekevän mitään jos puhelimessa ei ole google palveluita. Itselläni luurissa LineageOS 21 (android 14) ilman googlen palveluita ja kokeeksi asensin Nova Launcherin ja tuon Key Mapperin (F-droidista) ja ei mitään ongelmaa Dansken Mobiilipankki softan kanssa joka on asennettu Aurora Storesta (Google Play Store forkki).

Ja se kuka väittää että Google Play Store on turvallinen, niin kannattaa ladata oikeati turvallisesta F-droidista tuo Aurora Store.
Johon et tarvitse Google-tiliä tai googlen taustapalveluita eli hyvä degoogle puhelimeen. Mutta tärkeimpänä sillä näet mitä roskaa (seuranta ja datan myynti kikkareita) apeissa on mukana.
Ja voisin väittää kun huomaatte mitä "kivaa" noihin appeihin on tungettu, niin laittaa miettimään kannattaakohan etsiä jokin toinen parempi vaihtoehto.

Itse vasta katselin kaikki navigaattorit lävitse ja pahin antoi datan googlelle, amazonille, huaweille, facebookille ja parille muullekkin vielä.
Ainoa navigaattori joka oli "turvallinen" oli Here.
Eli jos haluaa kaiken puolin turvallisen Androidin niin LineageOS (tai GrapheneOS ja mikäs nyt se kolman olikaan) sisään ja ei vahingossakaan asenna Google palveluita. Sitten pääasiassa apit F-droidista ja loput Aurora Storesta tarkasti katsoen ne turvalliset vaihtoehdot jotka eivät kerää kaikkea mahdollisia eri tietoja tai sisällä muuten ei mitään ei haluttua.

f-droid.org

Aurora Store | F-Droid - Free and Open Source Android App Repository

An unofficial FOSS client to Google Play with an elegant design and privacy
f-droid.org f-droid.org

Tästä vielä turvallinen nettiselain Mull eli Firefox forkki:
f-droid.org

Mull | F-Droid - Free and Open Source Android App Repository

Privacy oriented web browser
f-droid.org f-droid.org
 
Kirjaudu tai rekisteröidy kirjoittaaksesi tänne.

Uutiset

Uutisia lyhyesti

Uusimmat viestit

Statistiikka

Viestiketjut
253 991
Viestejä
4 417 963
Jäsenet
73 259
Uusin jäsen
Duane

Hinta.fi

Back
Ylös Bottom