Danske Bankin ja Nordean sovellukset kieltäytyvät toimimasta liikaa oikeuksia hamuavien tuntemattomista lähteistä asennettujen sovellusten rinnalla

[FlyingAntero]

Pankkisovellusten tiukat turvallisuusvaatimukset ovat aiheuttaneet jo pidemmän aikaa päänvaivaa root-oikeuksien kanssa operoiville edistyneille käyttäjille (kts. Pankkisovellukset ja custom ROM/root) mutta nyt käyttörajoitukset ovat iskeneet myös alkuperäisellä ohjelmistolla varustettuihin roottaamattomiin laitteisiin. TechBBS-foorumin käyttäjäraporttien mukaan ainakin Danske Bankin ja Nordean pankkisovellukset ovat kieltäytyneet toimimasta sellaisissa laitteissa, mihin on asennettu liikaa käyttöoikeuksia vaativia sovelluksia Play Kaupan ulkopuolelta. Havaintojen mukaan ainakin esteettömyyspalveluihin (Accessibility Service) oikeuksia vaativat sovellukset estävät edellä mainittujen pankkisovellusten toiminnan. Rajoitus näyttää koskevan vain tuntemattomista lähteistä asennettuja eli ns. "sideloadattuja" sovelluksia, sillä samoilla oikeuksilla varustettu Play Kaupasta ladattu sovellus ei estä pankkisovellusten käyttöä.

Allekirjoittanut varmisti havainnot asentamalla puhelimeen Key Mapper nimisen sovelluksen sekä Play Kaupasta että F-Droidista. Kun Key Mapper oli asennettu Play Kaupan kautta, Nordean ja Danske Bankin sovellukset jatkoivat toimintaansa normaalisti. Saman sovelluksen asentaminen F-Droidin kautta esti kuitenkin pankkipalveluiden käyttämisen. Kyseessä vaikuttaa siis olevan kategorinen linjaus "sideloadattujen" sovellusten osalta. Danske Bank on julkaissut aiheeseen liittyen tiedotteen, jossa kehottaa lataamaan sovelluksia vain Play Kaupasta tai Samsung Galaxy Storesta. Vastaavia toimenpiteitä on nähty aiemmin maailmalla ja nähtäväksi jää, kuinka laajasti suomalaiset pankkipalvelut ottavat kyseiset rajoitukset käyttöön.

Lähteet:

• Tärkeä tiedote Android-laitteissa olevasta turvallisuusriskistä
• TechBBS-foorumi

 

[demu]

Tämähän on varsin mainio idea. Varoittaa tavallistakin pulliaista, jos on tullut asennettua mahdollisesti haitallinen sovellus.

 

[FlyingAntero]

Tämähän on varsin mainio idea. Varoittaa tavallistakin pulliaista, jos on tullut asennettua mahdollisesti haitallinen sovellus.

Sinällään joo mutta asentavat tavanpulliaiset edes sovelluksia Play Kaupan ulkopuolelta? Käyttöjärjestelmä varoittaa kuitenkin käyttäjää jo siinä vaiheessa.

Spoileri

Yleensä harrastuneisuutta omaavat käyttäjät ylipäätänsä asentavat sovelluksia muista lähteistä kuin Play Kaupasta. Lisäksi tuossa ei ole mitään tunnistusta, onko sovellus oikeasti haitallinen. Esimerkiksi Key Mapper on avointa lähdekoodia ja saatavilla F-Droidista. Se ei kuitenkaan toimi F-Droidin kautta ladattuna mutta sama sovellus toimii kuitenkin Play Kaupasta ladattuna.

Ymmärrän kyllä pointin tämän taustalla mutta mielestäni on vähän hölmöä rajoittaa käyttöä kaikkien sideloadattujen sovellusten kohdalla, jos vaan pyyää liikaa pankin mielestä liikaa oikeuksia. Tuossa ei ole mitään oikeaa tunnistusta, onko sovellus vaarallinen vai ei. Omasta mielestä tuo tuntemattomien lähteiden kautta asennuksen estäminen oletuksena olisi ihan riittävä.

 

[leripe]

Itsellä piti ottaa iha play kaupasta ladatusta ja vuosia käytössä olleesta Nova Launcherista Accessbilityä käyttävä screenlock ominaisuus pois Nordean sovelluksen kanssa.
Accessbilityä tarvitaan siihen, että näyttö sulkeutuu, kun näppäyttää siitä kaksi kertaa.
Toiminnallisuudelle on Device admin tasonkin vaihtoehto, mutta sitä käytettäessä täytyy näytön lukitus avata aina pin-koodilla eikä siis sormenjälki tai naamatunnistus avaa lukitusta. Accessbility vaihtoehdolla ei tule pin-koodi pakotusta.

 

[Eore]

Sinällään joo mutta asentavat tavanpulliaiset edes sovelluksia Play Kaupan ulkopuolelta? Käyttöjärjestelmä varoittaa kuitenkin käyttäjää jo siinä vaiheessa.

Nuoret varsinkin kyllä. Lemppari tubettaja sanoo videolla, että lataa tämä sovellus ja puhelin on ainakin 500% nopeempi tai lataa täältä peli niin saat sen ilmaiseksi jne. Sitten näitä asennetaan mahdollisesti vanhempienkin puhelimiin. Lisäksi nämä ihan aikuiset taukit, jotka koittavat joka asiassa "säästää" ja warettavat sovelluksiansa ties mistä roskareittejä pitkin eivätkä tajua riskejä.

 

[sonof]

Jos DNS66 tai vastaavat F-droidista ladatut adblockerit koituu ongelmaksi, niin siinä vaiheessa täytyy pyytää OP:lta lainatarjousta. Mieluummin vaihdan pankkia kuin katselen mainoksia.

 

[dataaja95]

VIttu mitä paskaa kyllä, mielestäni käyttäjälläkin on jonkinlainen vastuu laitteistoistaan. Ymmärrän toki idean tämän takana, mutta kun tunnistus on tasoa, asensit softaa proprietaryjärjestlemien ulkopuolelta, olet huono käyttäjä niin mitä vittua oikeasti. Korkeintaan jonkinlainen varoitus pankkisoftan käynnistykseen olisi mielestäni kohtuullinen, mutta onhan tämä nyt ihan silkkaa vittuilua, jos et käytä laitteitasi näin tai näin niin en toimi.

 

[FlyingAntero]

Itsellä piti ottaa iha play kaupasta ladatusta ja vuosia käytössä olleesta Nova Launcherista Accessbilityä käyttävä screenlock ominaisuus pois Nordean sovelluksen kanssa.
Accessbilityä tarvitaan siihen, että näyttö sulkeutuu, kun näppäyttää siitä kaksi kertaa.
Toiminnallisuudelle on Device admin tasonkin vaihtoehto, mutta sitä käytettäessä täytyy näytön lukitus avata aina pin-koodilla eikä siis sormenjälki tai naamatunnistus avaa lukitusta. Accessbility vaihtoehdolla ei tule pin-koodi pakotusta.

Erikoista! Täällä nimittäin pelaa Play Kaupasta ladattu Nova Launcher samalla ominaisuudella ja oikeuksilla noiden pankkisovellusten kanssa. Oletko kokeillut poistaa Novaa ja asentaa uudelleen Play Kaupasta, että lähtisikö esto pois?

 

[leripe]

Erikoista! Täällä nimittäin pelaa Play Kaupasta ladattu Nova Launcher samalla ominaisuudella ja oikeuksilla noiden pankkisovellusten kanssa. Oletko kokeillut poistaa Novaa ja asentaa uudelleen Play Kaupasta, että lähtisikö esto pois?

Mutta onko sinulla tuo ominaisuus päällä?
Ilman sitä tietenkin toimii.


Edit: luin huonosti. Pitääpä testailla itse siis.

 

[Tupsa]

No kyllä on nyt paha ylilyönti pankeilta. Tulee mieleen Orwell ja 1984. Ei mutta nythän on jo siis 1984 + 40 ja kohti 110 % kyttäysmaailmaa mennään. Chat Control jne..

No onneksi vielä ei ole mikään pakko edes käyttää älylaitetta maksamiseen.

 

[FlyingAntero]

Mutta onko sinulla tuo ominaisuus päällä?
Ilman sitä tietenkin toimii.


Edit: luin huonosti. Pitääpä testailla itse siis.

Joo, on käytössä esteettömyys eli Accessibility, mitä nuo pankkipalvelut erityisesti kyttää. Play Kaupasta ladattuna kyllä toimii.

Spoileri

Voihan tuo herjata myös, jos sovellus ei ole päivitetty tai joskus tuotu sovellus backuppina vanhasta laitteesta tms.

 

[Eore]

Jos tuo nyt niin ahdistaa, niin eikö se pankki ole käytettävissä puhelimen selaimella silti normaalisti?

 

[Err]

Millonkohan joku keksii 2FA:n näille pankeille, jolloin rahoja ei voisi varastaa vaikka puhelimeen olisi pääsy?

 

[leffo]

No onneksi vielä ei ole mikään pakko edes käyttää älylaitetta maksamiseen.

Tässähän se. En oikein näe sitä isompaa ongelmaa.

 

[leripe]

Joo, on käytössä esteettömyys eli Accessibility, mitä nuo pankkipalvelut erityisesti kyttää. Play Kaupasta ladattuna kyllä toimii.

Spoileri

Voihan tuo herjata myös, jos sovellus ei ole päivitetty tai joskus tuotu sovellus backuppina vanhasta laitteesta tms.

Toki sinulla danskepankki ja itsellä nordea.

 

[null]

Siis hoitaako joku vielä vuonna 2024 pankkiasiat jollain muulla kuin mobiililaitteella?

 

[Spartacus]

Miten tuo pankkiohjelma saa tiedot puhelimessa olevista sovelluksista ja niiden käyttöoikeuksista?

 

[FlyingAntero]

Toki sinulla danskepankki ja itsellä nordea.

Testasin molemmat ja kumpainenkin pelaa.

 

[Raivo]

Millonkohan joku keksii 2FA:n näille pankeille, jolloin rahoja ei voisi varastaa vaikka puhelimeen olisi pääsy?

Siis mitä tarkoitat tällä? Nordea ainakin vaatii erillisen kuittauksen maksamisen yhteydessä.

 

[FlyingAntero]

Liekkö tässä oikeasti taustalla viime keväänä uutisoitu huijaus, missä käyttäjää pyydetään asentamaan "virustorjuntaohjelmisto", kun on muka joutunut petoksen uhriksi. Huijari lähettää tekstiviestillä linkin, minkä kautta asennetaan virustorjuntaohjelmistoksi naamioitunut haittaohjelma.

• Kyberturvallisuuskeskuksen viikkokatsaus - 18/2024 | Kyberturvallisuuskeskus
• Onko sinulla Android-puhelin? Näin ovelasti pankkitunnuksesi voidaan varastaa

Tuossa saa vaan aika monta kertaa kuitata varoitukset ennen kuin sideloadattu sovellus on asennettu ja luvat myönnetty . Kertaalleen pitää pääsykoodikin syöttää.

Spoileri

 

[ep-l]

Olen aina ihmetellyt että mitä se pankille kuuluu millään tavalla millaisella laitteella tai ohjelmistoilla kukakin asioi.

Minulla vain ei ole niin paksua lompakkoa että pankkeja mielipiteeni kiinnostaisi.

 

[leripe]

Testasin molemmat ja kumpainenkin pelaa.

En saa pelittämään, mutta en juuri nyt lähde poistelemaan kumpaakaan novaa tai nordeaa ja asentamaan uusiksi.
Kokeilin laittaa Bitwardenille saman oikeuden accessbilitystä ja Nordean sovellus herjasi heti siitäkin.

 

[Err]

Siis mitä tarkoitat tällä? Nordea ainakin vaatii erillisen kuittauksen maksamisen yhteydessä.

OP:n äppissä maksut saa hyväksyttyä staattisella PIN-koodilla, joten ehkä teoriassa ymmärtäisin miten joku saisi tyhjennettyä tilin haittaohjelmalla.
Verkkoselaimella tätä ongelmaahan ei ole, kun maksu pitää erikseen hyväksyä puhelimella tai vaihtuvalla tunnusluvulla.

 

[Shikanjyo]

Kunhan OP ei seuraa perässä.

 

[Walla]

OP:n äppissä maksut saa hyväksyttyä staattisella PIN-koodilla, joten ehkä teoriassa ymmärtäisin miten joku saisi tyhjennettyä tilin haittaohjelmalla.
Verkkoselaimella tätä ongelmaahan ei ole, kun maksu pitää erikseen hyväksyä puhelimella tai vaihtuvalla tunnusluvulla.

On se silti 2FA kun vaaditaan laite (jotakin mitä sinulla on) ja tunnusluku (jotakin mitä tiedät).

Ei se tietenkään haavoittumaton ole, mutta kyllä tuo 2FA:n määritelmän täyttää.

 

[dataaja95]

Siis hoitaako joku vielä vuonna 2024 pankkiasiat jollain muulla kuin mobiililaitteella?

Kysytkö tätä ihan vakavissaan, juuri tämän ketjun ja monien monien muiden syiden takia en itse rummuta todellakaan mobiilimaksamista, tai no mikäs siinä, jos homma hoidettaisiin avoimilla ja sovituilla standardeilla ja järjestelmillä, uutta hienoa teknologiaa, nörtti tykkäisi kovasti, mutta kun vittu ei. Niin ja joku googlen tai applen mobiilimaksuhimmeli ei ole sellainen, etpä pysty suoraan vaikkapa lineageOS:llä varustetulla puhelimella menemään kaupan kassalle ja maksamaan nfc:llä, ellei sinulla ole tuota proprietaryhimmeliä asennettuna.

 

[Kautium]

Kyseessä vaikuttaa siis olevan kategorinen linjaus "sideloadattujen" sovellusten osalta.

Vastaan tähän lainauksena oman viestin toisesta ketjusta:

Sideload tarkoittaa käytännössä juuri sitä, että järjestelmään on ujutettu sisään jotain mikä ei ole sinne normaalia reittiä pitkin sallittu. Jos halutaan pitää järjestelmä edes jollakin tasolla turvallisena, niin tuolla tavalla käyttöjärjestelmän normaaleita rajoituksia mahdollisesti kiertävien sovellusten havaitseminen on punaisena kirkuva lippu ja sillä siisti. Ei siitä kannata ketään muuta syyttää kuin itseään.

Se on eri asia jos kyse on virheellisestä false-positivesta, mutta tuossa ei taida olla siitä kyse kuitenkaan?

Sideloading attacks explained: How a malicious app can bring down a business

A new sideloading malware campaign targeting Windows uses phishing and social engineering tactics that can be difficult for users to spot.

www.csoonline.com

Siis hoitaako joku vielä vuonna 2024 pankkiasiat jollain muulla kuin mobiililaitteella?

Boomer-väki joo. Ja kun katsoo kansakunnan ikäjakaumaa, niin niitä kyllä riittää.

 

[dataaja95]

Vastaan tähän lainauksena oman viestin toisesta ketjusta:

ELi mielestäsi idioottien suojeleminen itseltään on hyvä asia, vaikka siinä rajataan aika monta ihan asiallista softaa pois. EN olisi uskonut, että törmään nörttifoorumilla tällaiseen mielipiteeseen, jossa järjestelmän rajoittaminen on hyvä asia. Näissä kyseisissä huijaustapauksissa saat kuitenkin painella aika monta kertaa ok ok ja lukea monta varoitusta ennen kuin haitallista koodia ajetaan järjestelmään, jos ei useankaan varoituksen jälkeen tajua että nyt tehdään jotain mitä ei pitäisi saa mielestäni syyttää itseään

 

[Kautium]

ELi mielestäsi idioottien suojeleminen itseltään on hyvä asia, vaikka siinä rajataan aika monta ihan asiallista softaa pois. EN olisi uskonut, että törmään nörttifoorumilla tällaiseen mielipiteeseen, jossa järjestelmän rajoittaminen on hyvä asia. Näissä kyseisissä huijaustapauksissa saat kuitenkin painella aika monta kertaa ok ok ja lukea monta varoitusta ennen kuin haitallista koodia ajetaan järjestelmään, jos ei useankaan varoituksen jälkeen tajua että nyt tehdään jotain mitä ei pitäisi saa mielestäni syyttää itseään

Tämä on vähän niin ja näin. Rajoitusten kiertäminen on harrastusmielessä toki ihan kiva ja suotavakin juttu, mutta jos puhutaan tietoturvasta mm. juuri salasana- tai pankkisovellusten kohdalla, niin ei siellä ole varaa antaa yhtään löysiä ropelihatttujen puuhasteluille.

 

[mäsä-79]

Kaikki tärkeät hoidetaan PC:llä. Viivakoodit/varmenteet mobiili-appilla (tabilla jolle ei asenneta ihan jokaista appia)

 

[love_doctor]

On se silti 2FA kun vaaditaan laite (jotakin mitä sinulla on) ja tunnusluku (jotakin mitä tiedät).

Ei se tietenkään haavoittumaton ole, mutta kyllä tuo 2FA:n määritelmän täyttää.

2FA ei itsessään tarkoita että tietoturva on kunnossa. Sekin on 2FA jos mulla on asennettu tietokone jatkojohdon päähän kerrostalon pihalle, siellä sessio pankkiin juuri nyt auki seuraavat 15 min ja tunnusluku koko tilin tyhjentämiseen 1234 eli koodi jonka tiedän (ja niin tiedät sinäkin kun se lukee myös postit-lapulla näytössä ja vaikkapa täällä netissä). Luottaisin silti enemmän yhden faktorin laitteeseen, joka olisi lukkojen takana kellarissa, vaikka se vaatisikin vain enterin painamisen tilin tyhjäämiseksi.

 

[Griffin]

Ehkä pankkiohjelmille pitää tehdä suojaus puhelimiin ym ja estää niiden ympäristön liiallinen nuuskiminen, jotta niitä ei käy turhaan ahdistamaan. Ei muutakuin omaan hiekkalaaatikkoonsa ne, josta ei saa selville, mm. mitä muita softia puhelimella pyörii..

 

[pq]

Tämähän on varsin mainio idea. Varoittaa tavallistakin pulliaista, jos on tullut asennettua mahdollisesti haitallinen sovellus.

Varoitus olisikin hyvä idea, mutta softa lakkaa kokonaan toimimasta tuon takia.

No onneksi vielä ei ole mikään pakko edes käyttää älylaitetta maksamiseen.

Vielä. Voisin vaikka rahasta lyödä vetoa, jotta muutaman vuoden sisään joku pankki tekee tuosta pakollisen. Ja muita pankkeja sitten perässä…

Ehkä pankkiohjelmille pitää tehdä suojaus puhelimiin ym ja estää niiden ympäristön liiallinen nuuskiminen, jotta niitä ei käy turhaan ahdistamaan. Ei muutakuin omaan hiekkalaaatikkoonsa ne, josta ei saa selville, mm. mitä muita softia puhelimella pyörii..

Eikös tuohon riittäisi eri käyttäjätunnuksen alle asentaminen? Ominaisuus löytyy ihan vakiona Androidista, pl. Samsungin kännykät mistä se on jostain syystä erikseen disabloitu. Saman firman tableteissa se tosin on edelleen tallella.

 

[user9999]

Ehkä pankkiohjelmille pitää tehdä suojaus puhelimiin ym ja estää niiden ympäristön liiallinen nuuskiminen, jotta niitä ei käy turhaan ahdistamaan. Ei muutakuin omaan hiekkalaaatikkoonsa ne, josta ei saa selville, mm. mitä muita softia puhelimella pyörii..

IOS:ssa pankkiohjelmat on hiekkalaatikoitu ja myös kaikki muut ohjelmat

Security of runtime process in iOS and iPadOS

iOS and iPadOS help ensure runtime security by using a “sandbox”, declared entitlements and Address Space Layout Randomisation (ASLR).

support.apple.com

Tuon takia esim. virustutkat on turhia.

Tiedätkö, miksei iPhonelle ole ensimmäistäkään virustutkaa?

Tietoturvayhtiö selittää, miksi Apple ei päästä virustutkia App Storeen.

www.is.fi

 

[Eore]

Eikös tuohon riittäisi eri käyttäjätunnuksen alle asentaminen? Ominaisuus löytyy ihan vakiona Androidista, pl. Samsungin kännykät mistä se on jostain syystä erikseen disabloitu. Saman firman tableteissa se tosin on edelleen tallella.

Vastasit tässä itsellesi. Eri valmistajien toteutuksia yms virityksiä on miljoona erilaista. Ei ole mitenkään realistista olettaa yksittäisen pankin resurssien riittävän tehdä jokaiselle laitteelle yksilöllistä optimointia tuollaisen toimintaan saamiseksi...

 

[FlyingAntero]

Tämä on vähän niin ja näin. Rajoitusten kiertäminen on harrastusmielessä toki ihan kiva ja suotavakin juttu, mutta jos puhutaan tietoturvasta mm. juuri salasana- tai pankkisovellusten kohdalla, niin ei siellä ole varaa antaa yhtään löysiä ropelihatttujen puuhasteluille.

Sideloadaus ei automaattisesti tarkoita, että puhelimessa olisi sen jälkeen haittaohjelma. Sovellusten asentamisen salliminen tuntemattomista lähteistä toki mahdollistaa haittaohjelman pääsyn laitteelle, jos käyttäjä latailee sokeasti sovelluksia epäilyttävistä lähteistä. Saatavilla on kuitenkin muitakin sovelluskauppoja Play Kaupan lisäksi, mistä on ihan turvallista ladata sovelluksia (esim. F-Droid). Google on itseasiassa helpottanut vaihtoehtoisten sovelluskauppojen käyttämistä EU:n painostuksesta.

• Google helpottaa kolmansien osapuolten sovelluskauppojen käyttämistä Android 12 versiossa
• Android 14 adds new features to make third-party app stores work even better

Varoitus olisikin hyvä idea, mutta softa lakkaa kokonaan toimimasta tuon takia.

Danske Bank ja Nordea ilmeisesti käyttävät Androidin uusia ominaisuuksia, jotka mahdollistavat seuravat asiat:

• A) Tunnistaa sovellus, joka pyytää liikaa oikeuksia
  1. Pyytää käyttäjää sulkemaan kyseinen sovellus, jos se on ladattu Play Kaupan ulkopuolelta (CLOSE_UNKNOWN_ACCESS_RISK)
  2. Pyytää käyttäjää sulkemaan kyseinen sovellus, vaikka se on ladattu Play Kaupasta (CLOSE_ALL_ACCESS_RISK)
• B) Tunnistaa, jos juuri avattu sovellus on ladattu Play Kaupan ulkopuolelta
  1. Pyytää käyttäjää asentamaan sovellus Play Kaupan kautta
  2. Jos käyttäjä ei halua ladata sovellusta Play Kaupasta, sovelluskehittäjä voi päättää salliiko kyseisen sovelluksen käytön vai ei

Kohdassa A) Googlen tarkoitus ei vaikuttaisi olevan estää sovelluksen käyttöä, vaikka samassa laitteessa olisi asennettuna liikaa oikeuksia pyytävä sovellus tuntemattomasta lähteestä. Tarkoituksena on ilmeisesti ollut vain varoittaa käyttäjää ja sammuttamaan (ei siis poistamaan) liikaa oikeuksia haluava sovellus) Kehittäjä ei myöskään saa tietää, mikä sovellus vaatii liikaa oikeuksia vaan tämä tieto näytetään vaan käyttäjälle paikallisesti. Mielestäni on turhaa, että suomalaiset pankit kieltää käytön kokonaan, kun varoituskin riittäisi.

• Apps can now better protect your data by making you close potentially risky apps

Using the new app access risk feature, developers can determine whether there are other apps running on the device that might be potentially risky. These include apps that can capture the screen and apps that can control the device...

...Developers can then show one of two remediation dialogs to prompt the user to close those apps. The CLOSE_UNKNOWN_ACCESS_RISK dialog should be shown if the developer wants the user to close apps that are unknown to Google — those that weren’t installed from the Play Store. The CLOSE_ALL_ACCESS_RISK dialog should be shown if the developer wants the user to close all apps capable of capturing the screen or controlling the device, even if those apps were installed from Google Play...

...For privacy, developers who use the app access risk feature aren’t given any user or device identifiers, nor are they given any information about the apps that triggered the positive verdict. In other words, they’re only told that some apps are running that might be risky, but not what those apps are.

Kohta B) on pankkipalveluille ihan validi eli jos käyttäjä lataa pankkisovelluksen jostain muualta kuin Play Kaupasta, niin pankki voisi estää sovelluksen käyttämisen niin halutessaan.

• Apps can now block sideloading more easily and force downloads through Google Play

As you can see, the remediation dialog tells you to “get this app from Play” in order to continue using it. There’s an option to close the dialog, but there’s no way to bypass it entirely. If you close the dialog, a response is sent to the app that lets the developer know so they can decide whether to continue blocking access.

 

[leripe]

En saa pelittämään, mutta en juuri nyt lähde poistelemaan kumpaakaan novaa tai nordeaa ja asentamaan uusiksi.
Kokeilin laittaa Bitwardenille saman oikeuden accessbilitystä ja Nordean sovellus herjasi heti siitäkin.

Poistelin nordean sovelluksen sekä nova launcher ja prime sovellukset. Asensin takaisin ja toimii. Palautin novan asetukset backupista ja toimii.
Kiitos anterolle.

 

[Agent_007]

IOS:ssa pankkiohjelmat on hiekkalaatikoitu ja myös kaikki muut ohjelmat

Mutta iOS:lläkin sovellus voi kysyä mitä muita ohjelmia on laitteeseen asennettu, jos niillä muilla sovelluksilla on oma URL-skeema. Tämä on käytännössä pakollinen ominaisuus, jos esim. Facebook-sovelluksen linkityksen haluaa toteuttaa omaan sovellukseen

canOpenURL(_:) | Apple Developer Documentation

Returns a Boolean value that indicates whether an app is available to handle a URL scheme.

developer.apple.com

 

[Kizmo]

Olen aina ihmetellyt että mitä se pankille kuuluu millään tavalla millaisella laitteella tai ohjelmistoilla kukakin asioi.

Minulla vain ei ole niin paksua lompakkoa että pankkeja mielipiteeni kiinnostaisi.

Oikeuskäytäntö tuntuu olevan siihen suuntaan että pankeilla on todella ankara vastuu näissä tietoturva-asioissa. Toisaalla mainittiin tapaus jossa asiakas oli sivuuttanut verkkopankin varoittelun uuden pankkisovelluksen käyttöönotosta silleen yes-yes-next-next tyyliin ja kun rahat pöllittiin niin oikeus totesi pankin korvausvelvolliseksi.

 

[FlyingAntero]

Sain muuten kierrettyä ainakin Danske Bankin rajoituksen MacroDroidilla. Todennäköisesti toimii Nordeallakin mutta en nyt jaksanut testata sitä. Tein automaation, joka poistaa sideloadatun sovelluksen oikeudet esteettömyyspalveluihin, kun mobiilipankki avataan. Vastaavasti oikeudet menee takaisin päälle, kun mobiilipankki suljetaan. Välillä joutuu avaamaan mobiilipankin kahteen kertaan, kun MacroDroid ei ehdi muuttaa asetuksia mutta testailujen mukaan vähintään toisella avaamiskerralla kerralla onnistuu.

Edit: Alla olevassa viestissä ohjeet viiveen tekemiseen tuohon automaation, niin pitäisi toimia paremmin (poistuu ongelma, että MacroDroid ei välillä kerkeä muuttaa asetusta), credits @Leatherman

• Danske Bankin ja Nordean sovellukset kieltäytyvät toimimasta liikaa oikeuksia hamuavien tuntemattomista lähteistä asennettujen sovellusten rinnalla

MacroDroidille täytyy antaa WRITE_SECURE_SETTINGS oikeudet ADB:n kautta mutta ei siis vaadi roottia tms. Ihan vakiona voi siis käyttää puhelinta.

• ADB Hack - Granting extra capabilities via the ADB tool

 

[Juha Kokkonen]

OP:n äppissä maksut saa hyväksyttyä staattisella PIN-koodilla, joten ehkä teoriassa ymmärtäisin miten joku saisi tyhjennettyä tilin haittaohjelmalla.
Verkkoselaimella tätä ongelmaahan ei ole, kun maksu pitää erikseen hyväksyä puhelimella tai vaihtuvalla tunnusluvulla.

Ei tuo kyllä onnistu OP:llakaan läheskään aina, vaan vaatii suuremmissa/erikoisemmissa maksuissa ainakin itsellä hyvin usein tekstiviestivahvistuksen.

 

[pq]

Vastasit tässä itsellesi. Eri valmistajien toteutuksia yms virityksiä on miljoona erilaista. Ei ole mitenkään realistista olettaa yksittäisen pankin resurssien riittävän tehdä jokaiselle laitteelle yksilöllistä optimointia tuollaisen toimintaan saamiseksi...

Jaa että häh? Pointti oli nimenomaan käyttää käyttöjärjestelmään sisäänrakennettua ominaisuutta, eikä lähteä asentelemaan ylimääräisiä appseja tai nojata yksittäisen valmistajan poropietaritoteutukseen. Se että yksi valmistaja on disabloinut käyttöjärjestelmään kuuluvan perusominaisuuden joistain laitteistaan on ehkä maailman huonoin argumentti olla sitä käyttämättä: ihan varmasti maailmasta löytyy useampi Android-laite missä appsien asentaminen on kokonaan estetty, mutta ei silti kukaan koita vakavalla naamalla väittää ettei ko. ominaisuutta tämän takia kukaan saisi käyttää.


….plus tarkennettakoon jos vielä sekin meni ohi alkuperäisestä viestistä: tarkoitus oli siis loppukäyttäjän sulloa se liikoja nuuskiva sovellus omaan komeroonsa mistä se ei pääsisi turhia asioita tutkimaan.

 

[huglo]

Kun kerran niitä oikeuksia voidaan puhelimissa niin hyvin säädellä, niin millähän oikeudella se pankin paske pääsee näkemään mitä muuta siinä puhelimessa pyörii? Urkkiva paska valittaa urkkivista paskoista, siltä tämä nyt kuulostaa.

 

[Agent_007]

niin millähän oikeudella se pankin paske pääsee näkemään mitä muuta siinä puhelimessa pyörii?

Androidin kohdalla mikä tahansa sovellus voi kysyä, että käyttääkö jokin toinen sovellus noita käytettävyysapureita. Sovellukset eivät siis näe toisten sovellusten sisään, ne vain kysyvät tuota käyttöjärjestelmältä

Android Accessibility Suite Threat Protection | Guardsquare

The Accessibility Service on Android allows users with disabilities to interact with their devices in new ways. Learn how to mitigate app security risks.

www.guardsquare.com

Noi käytettävyysapurit ovat siis pakollisia esim. näkörajoitteisille, mutta niitä on vuosien saatossa väärinkäytetty esim. noissa verkkopankkitunnuksien kopiointihyökkäyksissä. Google Playn kanssa noissa on siis jo lisätarkistukset Googlen puolesta, mutta tuon sideloadin takia tuota ei voi suoraan Androidin tasolla estää.

 

[Gameri]

Oi voi voi kun rajoitetaan taas yksilön oikeuksia olla ja tehdä mitä haluaa. Peppu ihan kipeytyy. Siinä kohdin kun menetetään rahaa kun ei oltukaan ihan perillä kaikesta mitä puhelimessa tapahtuu niin itketään pankin vastuuta korvata.

Käänteisesti jos itse pitäisit huolta satojen tuhansien ihmisten rahoista, sinulla olisi lain edellyttämiä velvollisuuksia huolehtia tietoturvasta ja tehdä rahan menetys ihmisille mahdollisimman mahdottomaksi. Luottaisitko siihen, että muutama nörtti tietää mitä tekee samalla kun tuhannet apinat lataa puhelimen täyteen paskaa ja tukkii sen jälkeen aspanne, iltapaskat, somekanavat ja saa pankkisi huonoon valoon.

Onneksi tähänkin on vaihtoehtoja, pankin vaihto, selaimella pankkiasioiden hoito, toinen puhelin rinnalle jota käyttää kuten normaalit ihmiset ja tyydyttää leikki- tai työtarpeet sitten toisella ym. varmasti jokainen itse keksii, jos tämäkin nyt jotenkin ongelmaksi muodostui.

 

[Kepe]

Täällä lähti Dansken sovellus poistoon n. kuukausi sitten kun ei suostunut enää toimimaan Nova Launcherin kanssa. Ihan naurettavaa.

 

[FlyingAntero]

Oi voi voi kun rajoitetaan taas yksilön oikeuksia olla ja tehdä mitä haluaa. Peppu ihan kipeytyy. Siinä kohdin kun menetetään rahaa kun ei oltukaan ihan perillä kaikesta mitä puhelimessa tapahtuu niin itketään pankin vastuuta korvata.

Käänteisesti jos itse pitäisit huolta satojen tuhansien ihmisten rahoista, sinulla olisi lain edellyttämiä velvollisuuksia huolehtia tietoturvasta ja tehdä rahan menetys ihmisille mahdollisimman mahdottomaksi. Luottaisitko siihen, että muutama nörtti tietää mitä tekee samalla kun tuhannet apinat lataa puhelimen täyteen paskaa ja tukkii sen jälkeen aspanne, iltapaskat, somekanavat ja saa pankkisi huonoon valoon.

Onneksi tähänkin on vaihtoehtoja, pankin vaihto, selaimella pankkiasioiden hoito, toinen puhelin rinnalle jota käyttää kuten normaalit ihmiset ja tyydyttää leikki- tai työtarpeet sitten toisella ym. varmasti jokainen itse keksii, jos tämäkin nyt jotenkin ongelmaksi muodostui.

Tilannetta voisi verrata vaikka siihen, että jätät lompakon ei lukossa olevaan ja valvomattomaan pukuhuoneeseen. Hallille mennessä kassalla sanotaan, että tavarat ovat omalla vastuulla pukkarissa. Sitten pukkarissa on perinteinen muistuslappu "halli X ei vastaa pukuhuoneeseen jätetyistä tavaroista". Salilla sitten ohjaaja muistuttaa, että eihän kukaan jättänyt arvotavaraa pukkariin. Jos kaikista näistä varoituksista huolimatta lompakko jäi pukkariin ja se vietiin, niin siinä on peiliin katsomisen paikka.

Muutenkaan sideluodatulle sovellukselle ei pysty antaa vahingossa oikeuksia esteettömyysvalikkoon etukäteen, kun valikko on piilotettu (kolme pistettä ikoni ei ole saatavilla). Oikeudet voi antaa vasta siinä vaiheessa kun sovellus kysyy niitä. Valinta on aluksi harmaana ja sitä pitää täpätä ennen kuin voi käydä muuttamassa sovelluksen asetuksia ja antaa luvat.

Spoileri

 

[Hilppari]

Hassua kun rajoitetaan tällästä mutta pankit silti käyttävät sms vahvistus viestejä mitkä ovat helpompi kaapata kuin joku pankki appi. Mites toi muut appstorejen apit toimii. Eikös EU mukaan käyttäjällä on oikeus lataa apit mistä tahansa haluaa.

 

[BDX]

Mitenköhän tuo tarkistus tapahtuu että asennettu Play Storesta? Toimisikohan jos adb:n kautta shellissä uudelleenasentaisi sovelluksen käskyllä:

pm install -i com.android.vending -r app.apk

 

[Zetteri]

Sain muuten kierrettyä ainakin Danske Bankin rajoituksen MacroDroidilla. Todennäköisesti toimii Nordeallakin mutta en nyt jaksanut testata sitä. Tein automaation, joka poistaa sideloadatun sovelluksen oikeudet esteettömyyspalveluihin, kun mobiilipankki avataan. Vastaavasti oikeudet menee takaisin päälle, kun mobiilipankki suljetaan. Välillä joutuu avaamaan mobiilipankin kahteen kertaan, kun MacroDroid ei ehdi muuttaa asetuksia mutta testailujen mukaan vähintään toisella avaamiskerralla kerralla onnistuu.

MacroDroidille täytyy antaa WRITE_SECURE_SETTINGS oikeudet ADB:n kautta mutta ei siis vaadi roottia tms. Ihan vakiona voi siis käyttää puhelinta.

• ADB Hack - Granting extra capabilities via the ADB tool

Tuossa itse vähän asiaa testailin kun olen Dasken asiakas.
Niin ei näytä nämä "estot" tekevän mitään jos puhelimessa ei ole google palveluita. Itselläni luurissa LineageOS 21 (android 14) ilman googlen palveluita ja kokeeksi asensin Nova Launcherin ja tuon Key Mapperin (F-droidista) ja ei mitään ongelmaa Dansken Mobiilipankki softan kanssa joka on asennettu Aurora Storesta (Google Play Store forkki).

Ja se kuka väittää että Google Play Store on turvallinen, niin kannattaa ladata oikeati turvallisesta F-droidista tuo Aurora Store.
Johon et tarvitse Google-tiliä tai googlen taustapalveluita eli hyvä degoogle puhelimeen. Mutta tärkeimpänä sillä näet mitä roskaa (seuranta ja datan myynti kikkareita) apeissa on mukana.
Ja voisin väittää kun huomaatte mitä "kivaa" noihin appeihin on tungettu, niin laittaa miettimään kannattaakohan etsiä jokin toinen parempi vaihtoehto.

Itse vasta katselin kaikki navigaattorit lävitse ja pahin antoi datan googlelle, amazonille, huaweille, facebookille ja parille muullekkin vielä.
Ainoa navigaattori joka oli "turvallinen" oli Here.
Eli jos haluaa kaiken puolin turvallisen Androidin niin LineageOS (tai GrapheneOS ja mikäs nyt se kolman olikaan) sisään ja ei vahingossakaan asenna Google palveluita. Sitten pääasiassa apit F-droidista ja loput Aurora Storesta tarkasti katsoen ne turvalliset vaihtoehdot jotka eivät kerää kaikkea mahdollisia eri tietoja tai sisällä muuten ei mitään ei haluttua.

Aurora Store | F-Droid - Free and Open Source Android App Repository

An unofficial FOSS client to Google Play with an elegant design and privacy

f-droid.org

Tästä vielä turvallinen nettiselain Mull eli Firefox forkki:

Mull | F-Droid - Free and Open Source Android App Repository

Privacy oriented web browser

f-droid.org