Danske Bankin ja Nordean sovellukset kieltäytyvät toimimasta liikaa oikeuksia hamuavien tuntemattomista lähteistä asennettujen sovellusten rinnalla

[Niksu]

Itsellä piti ottaa iha play kaupasta ladatusta ja vuosia käytössä olleesta Nova Launcherista Accessbilityä käyttävä screenlock ominaisuus pois Nordean sovelluksen kanssa.
Accessbilityä tarvitaan siihen, että näyttö sulkeutuu, kun näppäyttää siitä kaksi kertaa.
Toiminnallisuudelle on Device admin tasonkin vaihtoehto, mutta sitä käytettäessä täytyy näytön lukitus avata aina pin-koodilla eikä siis sormenjälki tai naamatunnistus avaa lukitusta. Accessbility vaihtoehdolla ei tule pin-koodi pakotusta.

Mitkä versiot sulla on käytössä? Itsellä Nova launhcer on 8.0.18 ja Nordea mobile on 4.18.0.4002935. Ja itselläni toimii tuo screenlock ominaisuus hyvin, eikä Nordean mobiili pankki tai id ohjelma valita siitä. Puhelimena Oneplus 8T ja android 14

 

[leripe]

Mitkä versiot sulla on käytössä? Itsellä Nova launhcer on 8.0.18 ja Nordea mobile on 4.18.0.4002935. Ja itselläni toimii tuo screenlock ominaisuus hyvin, eikä Nordean mobiili pankki tai id ohjelma valita siitä. Puhelimena Oneplus 8T ja android 14

Korjaantui toisiaan sovellusten reinstallilla.

 

[Agent_007]

Mitenköhän tuo tarkistus tapahtuu että asennettu Play Storesta?

Android tallettaa tuon tiedon sovellusta asennettaessa, ja sovellus sitä voi sitten kysyä

Is there a way to get the installer source of android app

How can we possibly get the information of install source that installed a package on our device. I want to get the installer source of other installed applications not just my application to verif...

stackoverflow.com

 

[Nightuser]

Android 10 puhelin. Nova Launcher 8.1.1 ja Nordea toimii normaalisti.

 

[FlyingAntero]

Android 10 puhelin. Nova Launcher 8.1.1 ja Nordea toimii normaalisti.

Toistaiseksi Danske Bank ja Nordea näyttävät toimivan kaikkien sovelluksien kanssa niiden eri oikeuksista huolimatta, kunhan sovellus on asennettu Play Kaupasta. Tai jos ei jostain syystä toimi (pankkipalvelu ei saa kaivettua alkuperäistä asennuslähdettä tms.), niin Play Kaupasta uudelleenasennus korjaa ongelman.

Uutisen ongelma tulee esille vain sideloadattujen sovellusten kohdalla eli sovellus asennettu tuntemattomasta lähteestä.

 

[Nightuser]

Toistaiseksi Danske Bank ja Nordea näyttävät toimivan kaikkien sovelluksien kanssa niiden eri oikeuksista huolimatta, kunhan sovellus on asennettu Play Kaupasta. Tai jos ei jostain syystä toimi (pankkipalvelu ei saa kaivettua alkuperäistä asennuslähdettä tms.), niin Play Kaupasta uudelleenasennus korjaa ongelman.

Uutisen ongelma tulee esille vain sideloadattujen sovellusten kohdalla eli sovellus asennettu tuntemattomasta lähteestä.

Tämä Nova Launcher 8.1.1 on ladattu Novan launcherin omilta sivuilta. 8.0.18 on play kaupan puolelta viimeisin normi versio ellei halua beta ohjelmaan liittyä. Itse en ole halunnut liittyä tuohon play kaupan kautta kun saa tuon betan muualtakin.

Ei kyllä tule tuota tuplanäpäytys lukitustakaan käyteltyä, mutta tulipahan nyt kokeiltua tämän uutisen takia.

 

[FlyingAntero]

Tämä Nova Launcher 8.1.1 on ladattu Novan launcherin omilta sivuilta. 8.0.18 on play kaupan puolelta viimeisin normi versio ellei halua beta ohjelmaan liittyä. Itse en ole halunnut liittyä tuohon play kaupan kautta kun saa tuon betan muualtakin.

Ei kyllä tule tuota tuplanäpäytys lukitustakaan käyteltyä, mutta tulipahan nyt kokeiltua tämän uutisen takia.

Itsellä toimi ongelmitta Novan 8.0.18 versio Play Kaupasta asennettuna. Asensin testiksi Novan 8.1.1 version heidän omilta sivuiltaan ja Nordea sekä Danske Bank lopetti välittömästi toimimaata annettuani oikeudet esteettömyyspalveluun.

Spoileri

Luulen, että sinulla toimii sen vuoksi, kun käytössä Android 10. Siinä ei varmaan ole kyseistä ominaisuutta, kun tsekkaus on ilmeisesti sidottu Play Integrity APIin. Android 10:ssä on varmaan vielä SafetyNet pelkästään?

Edit: Itsellä siis Android 14 ja S23

 

[Nightuser]

Itsellä toimi ongelmitta Novan 8.0.18 versio Play Kaupasta asennettuna. Asensin testiksi Novan 8.1.1 version heidän omilta sivuiltaan ja Nordea sekä Danske Bank lopetti välittömästi toimimaata annettuani oikeudet esteettömyyspalveluun.

Spoileri

Luulen, että sinulla toimii sen vuoksi, kun käytössä Android 10. Siinä ei varmaan ole kyseistä ominaisuutta, kun tsekkaus on ilmeisesti sidottu Play Integrity APIin. Android 10:ssä on varmaan vielä SafetyNet pelkästään?

Edit: Itsellä siis Android 14 ja S23

Juu varmaan sitten johtuu tuosta että on Android 10. En näistä tiedä sen tarkemmin.

 

[lxmo]

Luulen, että sinulla toimii sen vuoksi, kun käytössä Android 10. Siinä ei varmaan ole kyseistä ominaisuutta, kun tsekkaus on ilmeisesti sidottu Play Integrity APIin. Android 10:ssä on varmaan vielä SafetyNet pelkästään?

Edit: Itsellä siis Android 14 ja S23

Android 13:n mukana tuli tuo "restricted settings"-ominaisuus ja Android 15:n myötä tässä ketjussa mainittujen erikoiskäyttöoikeuksien antaminen tullaan tekemään entistäkin hankalammaksi, ainakin jos tähän uutiseen (Android 15 cracks down on sideloaded apps even harder to protect users) on uskominen.

(edit: ja esim. järjestelmänvalvontasovellukseksi asettaminen ja käytön käyttöoikeuden antaminen yms. tulevat olemaan jatkossa tuon takana)

 

[tietokonerikki]

Tarkoittaako tää sitä, että he jotka rekistöröivät uuden Osmo Action 5 kameran DJI sivuilta? löytyvällä ohjelmalla, jota ei netin kommenttien mukaan saisi Google Storen kautta
Danske ja Nordea eivät enää toimisi?
En ole täysin varma, tosta saako vai ei Google Storen kautta.

Löysin alla olevan YouTubesta
"Huomaa, että DJI:llä ei ole sovellusta Play Storessa! Tämä on SUURI punainen lippu ja suuri turvallisuusriski. Jos haluat aktivoida kameran, sinun on ladattava Android-APK puhelimeesi. Mikään sponsoroidusta sisällöstä ei korosta, kuinka suuri turvallisuusriski tämä"

 

[FlyingAntero]

Tarkoittaako tää sitä, että he jotka rekistöröivät uuden Osmo Action 5 kameran DJI sivuilta? löytyvällä ohjelmalla, jota ei netin kommenttien mukaan saisi Google Storen kautta
Danske ja Nordea eivät enää toimisi?
En ole täysin varma, tosta saako vai ei Google Storen kautta.

Löysin alla olevan YouTubesta
"Huomaa, että DJI:llä ei ole sovellusta Play Storessa! Tämä on SUURI punainen lippu ja suuri turvallisuusriski. Jos haluat aktivoida kameran, sinun on ladattava Android-APK puhelimeesi. Mikään sponsoroidusta sisällöstä ei korosta, kuinka suuri turvallisuusriski tämä"

Pelkästään sideloadaaminen ei ainakaan toistaiseksi aiheuta ongelmia. Nordea ja Danske Bank lopettavat toimintansa vasta kun sideloadattu sovellus pyytää liikaa oikeuksia. Ainakin esteettömyyspalveluiden oikeudet ovat noille pankkipalveluille ongelma.

 

[KVahlman]

Oikeuskäytäntö tuntuu olevan siihen suuntaan että pankeilla on todella ankara vastuu näissä tietoturva-asioissa. Toisaalla mainittiin tapaus jossa asiakas oli sivuuttanut verkkopankin varoittelun uuden pankkisovelluksen käyttöönotosta silleen yes-yes-next-next tyyliin ja kun rahat pöllittiin niin oikeus totesi pankin korvausvelvolliseksi.

Jos viittaus on tähän tapaukseen niin käräjäoikeus tosiaan katsoi pankin vastuulliseksi mutta hovissa päätettiin toisin:

Vaasan hovioikeus: Pankki ei ole vastuussa valesivuston huijaamista kymmenistä tuhansista euroista

Hovioikeus asettui äänestyspäätöksen jälkeen eri kannalle kuin käräjäoikeus. Käräjäoikeus oli määrännyt Honkajoen Osuuspankin maksamaan korvauksia huijauksen uhreille.

yle.fi

 

[pulatunnus]

Sinällään joo mutta asentavat tavanpulliaiset edes sovelluksia Play Kaupan ulkopuolelta? Käyttöjärjestelmä varoittaa kuitenkin käyttäjää jo siinä vaiheessa.

....

Yleensä harrastuneisuutta omaavat käyttäjät ylipäätänsä asentavat sovelluksia muista lähteistä kuin Play Kaupasta. Lisäksi tuossa ei ole mitään tunnistusta, onko sovellus oikeasti haitallinen. Esimerkiksi Key Mapper on avointa lähdekoodia ja saatavilla F-Droidista. Se ei kuitenkaan toimi F-Droidin kautta ladattuna mutta sama sovellus toimii kuitenkin Play Kaupasta ladattuna.

Ymmärrän kyllä pointin tämän taustalla mutta mielestäni on vähän hölmöä rajoittaa käyttöä kaikkien sideloadattujen sovellusten kohdalla, jos vaan pyyää liikaa pankin mielestä liikaa oikeuksia. Tuossa ei ole mitään oikeaa tunnistusta, onko sovellus vaarallinen vai ei. Omasta mielestä tuo tuntemattomien lähteiden kautta asennuksen estäminen oletuksena olisi ihan riittävä.

Key Mapper, olikos se näppäimistö ohjelma, jonka yksi idea oli napata käyttäjän näppäinpainalus ja muuttaa sitä.
Jos pankin sovellus luottaa alustaan näppäinteosalta niin tuollainen ominaisuus kuullostaa juuri sellaiselta minkä turvaosasto haluaa ehdottomasti estää tai kieltäytyä palvelusta os on.
Jos kerroit että pankki luottaa sovellukseen jos sen jakelia on Google Play kauppa, niin ei ne "kovin" tiukkoja ole, eli kelpaa jos Google hyväksynyt. Eli sitä kaipaamaasi tunnistusta.

F-Droid, sen resurssit ei taida riittää siihen että pystyisi takaamaan sen kautta/avulla ladattujen ohjelmien turvallisuus. (* Key Mapper porukan tuskin sen enempää. Pankin kannalta, niin jos joku pienempi kehittäjä porukka haluaa omalle ohjelmalla "hyväksynnän" niin sen todennäköisesti pitäisi hankkia koko ketjun tarkistukset ja hyväksynnät joltain uskottavalta taholta, joka takaa sen että ketju pitää, nyt ja jatkossa. Sen jälkeen pitäisi myydä asia pankille, joko kyse ohjelmasta/palvelusta joka pankin asiakkailla niin suosittu että pankki haluaa yhteistyöhän missä tunnistetaan tämä ohjelma turvalliseksi, eikä sitä voi väärinkäyttää. Jos ei ole asiakkailla suosittu, haluttu, niin menee jo niin ison rahan juttuihin että se taitaa olla siinä.

Nordea ja Danske, niin ei mitään paikallispankkeja, Nordealla taitaa olla luokkaa 10 000 000 kotitalous asiakasta.(wiki vanha lähde), niin voisi kuvitella aika suo lähteä pankin puolelta testaamaan ohi alustan prosessien ladattujen sovellusten tietoturvaa, ja tuskin on kysyntää vaikka tarjoaisi asiakkaille testausmahdollisuutta kustannusvastaavasti.



(*
Veikkaan että Pankit ei sinänsä pidä Googlea (Play kauppa) erityisen tarkkana tarkistajana, mutta sen määrävän aseman takia, kokonaisuuden takia menee läpi, jos joku toinen jakelukanava haluaisi "hyväksytty" leima, niin itse tarkistus, leimoineen olla kovempaa tasoa.

 

[weetabix]

Onhan näitä muitakin sovelluskauppoja joista sovelluksia voi ladata, onko niiden kanssa ongelmaa? Ensimmäisenä itsellä tulee mieleen Amazon, josta itseltäni löytyy pääasiassa ilmaiseksi jaettuja pelejä/sovelluksia kun promosivat palvelua. Lisäksi toki humblebundlesta suoraan ladattavia pelejä on jonkun verran (joten niissä olettaisin olevan oikeastikin mahdollisia ongelmia). Huawein ja Samsungin storesta sovellusten lataaminen ovat varmaan toki Amazonia yleisempiäkin.

 

[Obi-Lan]

Eikös esteettömyyspalvelut anna appille about täydet oikeudet hallita puhelimen ruutua? Eli tollanen appi voi periaatteessa hallita puhelinta ja lukea vaikka verkkopankki tunnarit ja duunailla pikku tilisiirtoja? Kun pankit joutuvat toisinaan korvaamaan vahingot niin varmasti käyttävät kaikki käytössä olevat keinot omien riskiensä vähentämiseksi.

Google on tuomassa myös työkaluja side loadingin estämiseksi Android apps are blocking sideloading and forcing Google Play versions instead

 

[stanssi]

Millonkohan joku keksii 2FA:n näille pankeille, jolloin rahoja ei voisi varastaa vaikka puhelimeen olisi pääsy?

OP:n äppissä maksut saa hyväksyttyä staattisella PIN-koodilla, joten ehkä teoriassa ymmärtäisin miten joku saisi tyhjennettyä tilin haittaohjelmalla.
Verkkoselaimella tätä ongelmaahan ei ole, kun maksu pitää erikseen hyväksyä puhelimella tai vaihtuvalla tunnusluvulla.

Ei tuo kyllä onnistu OP:llakaan läheskään aina, vaan vaatii suuremmissa/erikoisemmissa maksuissa ainakin itsellä hyvin usein tekstiviestivahvistuksen.

Siinä mielessä vähän huono tää 2FA jos miettii mobiilipankkia ja jos joku sattuisi saamaan puhelimen haltuun ja staattisen pinkoodin tietoon kun hyvin usein se mobiililaite on juuri se laite mihin se 2FA varmistus tulee muodossa tai toisessa. Ei paljon auta varmistustekstarit jos ne tulee samaan luuriin missä se mobiilipankki on varsinkin jos se laite on ihan fyysisesti jonkun roiston hallussa ja jos nyt jollain haittaohjelmalla saa verkkopankin auki niin tuskin on liian iso rasti kaivaa teskstarista varmistuskoodiakaan. Siinä mielessä se vanha paperinen varmistuskoodi lämyskä ois parempi.

 

[Kale]

Siinä mielessä vähän huono tää 2FA jos miettii mobiilipankkia ja jos joku sattuisi saamaan puhelimen haltuun ja staattisen pinkoodin tietoon kun hyvin usein se mobiililaite on juuri se laite mihin se 2FA varmistus tulee muodossa tai toisessa. Ei paljon auta varmistustekstarit jos ne tulee samaan luuriin missä se mobiilipankki on varsinkin jos se laite on ihan fyysisesti jonkun roiston hallussa ja jos nyt jollain haittaohjelmalla saa verkkopankin auki niin tuskin on liian iso rasti kaivaa teskstarista varmistuskoodiakaan. Siinä mielessä se vanha paperinen varmistuskoodi lämyskä ois parempi.

Ei tarvitse kuin kurkkia olan yli näytön lukituskoodi. Monesti sama lukituskoodi on käytössä myös pankkisovelluksessa, koska ihmisillä on rajallinen kyky muistaa eri pin-koodeja. Jos koodin onnistuu näkemään, tarvitsee vain saada laite näpistettyä ja rahat ovat mennyttä.

Jos viittaus on tähän tapaukseen niin käräjäoikeus tosiaan katsoi pankin vastuulliseksi mutta hovissa päätettiin toisin:

Vaasan hovioikeus: Pankki ei ole vastuussa valesivuston huijaamista kymmenistä tuhansista euroista

Hovioikeus asettui äänestyspäätöksen jälkeen eri kannalle kuin käräjäoikeus. Käräjäoikeus oli määrännyt Honkajoen Osuuspankin maksamaan korvauksia huijauksen uhreille.

yle.fi

Tämäkään huijaus ei olisi ollut mahdollista ilman mobiilipankkien järjetöntä tietoturvaa. Rahojen siirto olisi vaatinut useamman koodin tunnuslukulistasta, mutta mobiilipankki ei sellaisia kysele.

 

[pulatunnus]

Siinä mielessä vähän huono tää 2FA jos miettii mobiilipankkia ja jos joku sattuisi saamaan puhelimen haltuun ja staattisen pinkoodin tietoon kun hyvin usein se mobiililaite on juuri se laite mihin se 2FA varmistus tulee muodossa tai toisessa. Ei paljon auta varmistustekstarit jos ne tulee samaan luuriin missä se mobiilipankki on varsinkin jos se laite on ihan fyysisesti jonkun roiston hallussa ja jos nyt jollain haittaohjelmalla saa verkkopankin auki niin tuskin on liian iso rasti kaivaa teskstarista varmistuskoodiakaan. Siinä mielessä se vanha paperinen varmistuskoodi lämyskä ois parempi.

Jos saa sen kaksivaiheisen tunnistuslaitteen/sovelluksen, sen pääsykoodin, puhelimen, sen pääsykoodin, pankkisovelluksen sen pääsykoodin, niin on ihan hyvä saavutus, vs se että näkee kohteen avainlukuista ja ottaa siitä kuvan + pankin tunnarin sen tietokoneen/puhelimen selaimesta.

Tämä siis otsikkoon liittyen, jos saat sielle asiakkaalle asennettua sen ohjelman, mikä tallentaa hänen painalukset, mikä ehkä jopa seuraa näytön sisältöä, sitten ne pienemmät oikeudet millä seurailla muuta, ollaa jo aika kyvykkyyden äärellä. Ehkä se kannattaa tunkea sinne uhrin puhelimeen, sen sijaan että vie sen puhelimen mennessään.

 

[Kale]

Jos saa sen kaksivaiheisen tunnistuslaitteen/sovelluksen, sen pääsykoodin, puhelimen, sen pääsykoodin, pankkisovelluksen sen pääsykoodin, niin on ihan hyvä saavutus, vs se että näkee kohteen avainlukuista ja ottaa siitä kuvan + pankin tunnarin sen tietokoneen/puhelimen selaimesta.

Tämä siis otsikkoon liittyen, jos saat sielle asiakkaalle asennettua sen ohjelman, mikä tallentaa hänen painalukset, mikä ehkä jopa seuraa näytön sisältöä, sitten ne pienemmät oikeudet millä seurailla muuta, ollaa jo aika kyvykkyyden äärellä. Ehkä se kannattaa tunkea sinne uhrin puhelimeen, sen sijaan että vie sen puhelimen mennessään.

Mobiilipankki vaatii tunnukset+yksittäinen tekstiviesti ja sen jälkeen loppu on historiaa. Hyökkääjä lataa siis itselleen pankkisovelluksen ja kirjautuu sisään.

Selain vaatii tunnukset, tekstiviestillä tulevan tunnuksen ja kuvan tunnuslukulistasta.

 

[pulatunnus]

Tilannetta voisi verrata vaikka siihen, että jätät lompakon ei lukossa olevaan ja valvomattomaan pukuhuoneeseen. Hallille mennessä kassalla sanotaan, että tavarat ovat omalla vastuulla pukkarissa. Sitten pukkarissa on perinteinen muistuslappu "halli X ei vastaa pukuhuoneeseen jätetyistä tavaroista". Salilla sitten ohjaaja muistuttaa, että eihän kukaan jättänyt arvotavaraa pukkariin. Jos kaikista näistä varoituksista huolimatta lompakko jäi pukkariin ja se vietiin, niin siinä on peiliin katsomisen paikka.

Muutenkaan sideluodatulle sovellukselle ei pysty antaa vahingossa oikeuksia esteettömyysvalikkoon etukäteen, kun valikko on piilotettu (kolme pistettä ikoni ei ole saatavilla). Oikeudet voi antaa vasta siinä vaiheessa kun sovellus kysyy niitä. Valinta on aluksi harmaana ja sitä pitää täpätä ennen kuin voi käydä muuttamassa sovelluksen asetuksia ja antaa luvat.
....

Käyttäjä tekee nuo jos luottaa asentamaansa ohjelmaan ja haluaa sen asentaa, hyvässä ohjelmassa on ohjeet.
Jos vielä laite mihin joutunut tuontapaista jumppaa tekemään ennekin, niin ei nyt ihmetytä. Varsinkin he jotka joutuvat ihan oikeasti käyttämään sovelluksia jotka vaatii noita oikeuksia, niin lupia ja varoituksia jouduttu kuittaleen, tai sitten käytetty kolmatta henkilöä joka asioissa auttanut ja selittänyt.

Ja jos on asentanut pankkien sovelluksia, pankkiohjelmia, pankkien tunnistusohjelmia, ihan näitä yleisempiä, niin se ei ole klika, valmis, vaan iso jumppa, hyväksyttävä vai mitä, sieltä täälä ja sitten niitä tekstareita, sun muita.

Yritän sanoa, se että sivua varoitetaan kolmenkerran sijaan neljäkertaa ohjelman kyvyistä, vaaroista, luotatko, ittu totta kai luotan. Jos asentaa sen keymapperin sielä mistä ladannut, niin harva siinä alkaa kaiveleen latauspaikan sertifikaatien myötäjiä, sovelluksen tekijöiden auditointeja, niiden luotettavuutta, ja onko juuri ladatun sormenjäljet juurikin niiden toimoijen joiden auditoitien luotettavuuden tarkistin.

 

[FlyingAntero]

Eikös esteettömyyspalvelut anna appille about täydet oikeudet hallita puhelimen ruutua? Eli tollanen appi voi periaatteessa hallita puhelinta ja lukea vaikka verkkopankki tunnarit ja duunailla pikku tilisiirtoja? Kun pankit joutuvat toisinaan korvaamaan vahingot niin varmasti käyttävät kaikki käytössä olevat keinot omien riskiensä vähentämiseksi.

Google on tuomassa myös työkaluja side loadingin estämiseksi Android apps are blocking sideloading and forcing Google Play versions instead

Sen takia kyseisten oikeuksien antamisesta varoitetaankin käyttäjää selvästi. Toitaiseksi nuo pankkipalvelut toimivat ongelmitta, vaikka jollekin sovellukselle antaisikin kyseiset oikeudet kunhan sovellus on asennettu Play Kaupasta. Mitään varsinaista tunnistusta sovelluksen haitallisuudesta ei kuitenkaan ole. Sama sovellus aiheuttaa sitten ongelmia, jos se on sideloadattu. Minusta se on vähän tyhmää. Ihan samalla tavalla oikeasti haitallinen sovellus voi tulla Play Kaupankin kautta pyytämään niitä oikeuksia, vaikka epätodennäköisempää onkin.

Mitä tulee tuohon linkkiin, niin se liittyy siihen, että kehittäjä voi kieltää oman sovelluksen sideloadauksen. Ei siis niin, että yksittäinen sovellus kieltäisi muiden sideloadauksen. Kirjoitin tuosta aiemmin (kts. Danske Bankin ja Nordean sovellukset kieltäytyvät toimimasta liikaa oikeuksia hamuavien tuntemattomista lähteistä asennettujen sovellusten rinnalla)

 

[pulatunnus]

Sen takia kyseisten oikeuksien antamisesta varoitetaankin käyttäjää selvästi. Toitaiseksi nuo pankkipalvelut toimivat ongelmitta, vaikka jollekin sovellukselle antaisikin kyseiset oikeudet kunhan sovellus on asennettu Play Kaupasta. Mitään varsinaista tunnistusta sovelluksen haitallisuudesta ei kuitenkaan ole. Sama sovellus aiheuttaa sitten ongelmia, jos se on sideloadattu. Minusta se on vähän tyhmää. Ihan samalla tavalla oikeasti haitallinen sovellus voi tulla Play Kaupankin kautta pyytämään niitä oikeuksia, vaikka epätodennäköisempää onkin.

Pystyykö sovellus tarkistamaan onko muualtaladattu ohjelma täysin sama kuin Play kaupassa oleva versio, onko siis rajapintaa mistä se asennettun ohjelman sormenjäljen saa jota sitten verrata Googlen tarjoamaan, ja se pitäisi tehdä jokakerta josta seuraa sitten satunnaisia hylkyjä jos käyttäjä päivittää ohjelman ennenkuin se on Play kauppaan päivittynyt, tai vaihtoehtoisesti Play kauppaan tullut uusiversio, eikä käyttäjä ole saanut identtistä uutta versiota muualta.

Pankkit on varmasti joutunut tekemään riskiarviota vs hyöty siinä että sallii Play kaupasta asennetetut ohjelmat, kuitekin se joukko on merkittävä joka joutuu käyttämään "esteettömyys" sovelluksia, ilmeisesti pankit jopa "pakotetuttu" hyväksyyn sellaisia saavutettavuuden takia. Lisäksi jos asiakkaan laitteet on jossain laitehallinnassa niin osa niistä taitaa vaatii rajusti oikeuksia tuon mukaanlukien, tietenkin tunnetuimpia varmaan voisi valkolistata.

Onko huomioita, vaatiiko mikään pankkisovellus että Googlen luureissa on se Googlen palvelun käytössä joka tutkii asennettujen ohjelmien riskejä ? Onko siihen rajapintaa ?

 

[Cirrus]

Sideloadaus ei automaattisesti tarkoita, että puhelimessa olisi sen jälkeen haittaohjelma. Sovellusten asentamisen salliminen tuntemattomista lähteistä toki mahdollistaa haittaohjelman pääsyn laitteelle, jos käyttäjä latailee sokeasti sovelluksia epäilyttävistä lähteistä. Saatavilla on kuitenkin muitakin sovelluskauppoja Play Kaupan lisäksi, mistä on ihan turvallista ladata sovelluksia (esim. F-Droid). Google on itseasiassa helpottanut vaihtoehtoisten sovelluskauppojen käyttämistä EU:n painostuksesta.

• Google helpottaa kolmansien osapuolten sovelluskauppojen käyttämistä Android 12 versiossa
• Android 14 adds new features to make third-party app stores work even better

Tätä meinasin itsekin kommentoida. EU on työllä ja tuskalla vääntänyt että sovelluskaupppjen monopolit ei ole ok.

Sitten joku pankkisovellus päättää että vain monopolit on ok. Pitää vissiin EU:n läpsäistä noitakin.

 

[Agent_007]

Onko huomioita, vaatiiko mikään pankkisovellus että Googlen luureissa on se Googlen palvelun käytössä joka tutkii asennettujen ohjelmien riskejä ? Onko siihen rajapintaa ?

Ei ole rajapintaa riskien arviointiin. Ongelma tuossa ratkaisutavassa olisi pisteytys eli jos otetaan noi ääripäät pois (sovellus ei vaadi mitään oikeuksia tai sovellus vaatii kaikki oikeudet) niin vaikea olisi noita oikeuksia pisteyttää siihen väliin, ja lisäksi käyttäjäpalautteeseen ei oikein tuossa voi luottaa, kun se olisi liian helposti väärinkäytettävissä.

 

[jive]

Tätä ketjua kun lukee niin ihmekös se että silloin tällöin käy oho hupsis. Liiketoiminnalle asetetuista vaatimuksista ei väki taida ihan liikaa olla tietoisia. Jos joku asia kiukuttaa niin tekee itse paremmin/paremman. Sitten voi miettiä miten meni omasta mielestä.

 

[akse]

Siis hoitaako joku vielä vuonna 2024 pankkiasiat jollain muulla kuin mobiililaitteella?

Miksei tietokoneella voisi isolta ruudulta samalla kun siinä muutenkin istuu?

 

[Zetteri]

Key Mapper, olikos se näppäimistö ohjelma, jonka yksi idea oli napata käyttäjän näppäinpainalus ja muuttaa sitä.
Jos pankin sovellus luottaa alustaan näppäinteosalta niin tuollainen ominaisuus kuullostaa juuri sellaiselta minkä turvaosasto haluaa ehdottomasti estää tai kieltäytyä palvelusta os on.
Jos kerroit että pankki luottaa sovellukseen jos sen jakelia on Google Play kauppa, niin ei ne "kovin" tiukkoja ole, eli kelpaa jos Google hyväksynyt. Eli sitä kaipaamaasi tunnistusta.

F-Droid, sen resurssit ei taida riittää siihen että pystyisi takaamaan sen kautta/avulla ladattujen ohjelmien turvallisuus. (* Key Mapper porukan tuskin sen enempää. Pankin kannalta, niin jos joku pienempi kehittäjä porukka haluaa omalle ohjelmalla "hyväksynnän" niin sen todennäköisesti pitäisi hankkia koko ketjun tarkistukset ja hyväksynnät joltain uskottavalta taholta, joka takaa sen että ketju pitää, nyt ja jatkossa. Sen jälkeen pitäisi myydä asia pankille, joko kyse ohjelmasta/palvelusta joka pankin asiakkailla niin suosittu että pankki haluaa yhteistyöhän missä tunnistetaan tämä ohjelma turvalliseksi, eikä sitä voi väärinkäyttää. Jos ei ole asiakkailla suosittu, haluttu, niin menee jo niin ison rahan juttuihin että se taitaa olla siinä.

Nordea ja Danske, niin ei mitään paikallispankkeja, Nordealla taitaa olla luokkaa 10 000 000 kotitalous asiakasta.(wiki vanha lähde), niin voisi kuvitella aika suo lähteä pankin puolelta testaamaan ohi alustan prosessien ladattujen sovellusten tietoturvaa, ja tuskin on kysyntää vaikka tarjoaisi asiakkaille testausmahdollisuutta kustannusvastaavasti.



(*
Veikkaan että Pankit ei sinänsä pidä Googlea (Play kauppa) erityisen tarkkana tarkistajana, mutta sen määrävän aseman takia, kokonaisuuden takia menee läpi, jos joku toinen jakelukanava haluaisi "hyväksytty" leima, niin itse tarkistus, leimoineen olla kovempaa tasoa.

F-droidiin juuri lähetetään softien lähdekoodi jonka F-droid käy lävitse ja sitten lähdekoodista kääntävät itse ohjelman (.apk). Sen takia siellä hyvin on aina listattuna ohjelmista kaikki mitkä ei välttämättä käyttäjiä miellytä.
Eli ziljoona kertaa turvallisempi kuin Google kauppa joka ei viitsi edes listata mitä seuranta ym. sontaa apit ovat tungettu täyteen.

 

[pq]

Tätä meinasin itsekin kommentoida. EU on työllä ja tuskalla vääntänyt että sovelluskaupppjen monopolit ei ole ok.

Sitten joku pankkisovellus päättää että vain monopolit on ok. Pitää vissiin EU:n läpsäistä noitakin.

Eikös tuosta voisi läpsiä molempia, sekä Googlea että pankkeja? Edes Applella ei ole monopolirajapintaa joka älähtää jos softa on asennettu väärästä sovelluskaupasta.

 

[pulatunnus]

F-droidiin juuri lähetetään softien lähdekoodi jonka F-droid käy lävitse ja sitten lähdekoodista kääntävät itse ohjelman (.apk). Sen takia siellä hyvin on aina listattuna ohjelmista kaikki mitkä ei välttämättä käyttäjiä miellytä.
Eli ziljoona kertaa turvallisempi kuin Google kauppa joka ei viitsi edes listata mitä seuranta ym. sontaa apit ovat tungettu täyteen.

Hienoa, aiemmin ilmeisesti voinut toimittaa pelkän asennuspaketin.

Jotta tuosta voisi ajatus tasolla edetä , niin seuraavaksi palvelulla varmaan jotain vaatimuksa proseseista, miten ohjelmallisesti pankkiohjelmat voi selvittää ohjelman hyväksynnyt, eheyden.

Pankkijutuissa varmaan oleellista se että asennetulla ohjelmalla ei voi tehdä riskijuttuja, ennemmin halua palvelusta kyvykkäitä ohjelmia, kuin se että ne hylätään, eli pankki sovelluksen pitäisi tunnistaa esim näppis ohjelmassa mitä ominaisuuksia siinä on ja jos taustapalveluita niin taustapalveluiden audiointi.

 

[Lämpöpumppu]

Kaikki tärkeät hoidetaan PC:llä. Viivakoodit/varmenteet mobiili-appilla (tabilla jolle ei asenneta ihan jokaista appia)

Itse taas olen enemmän samoilla linjoilla kuin Mikko Hyppönen kirjassaan Internet, eli (tärkeät) pankkiasiat on lähtökohtaisesti turvallisempi hoitaa mobiilisovelluksella kuin PC:llä selaimessa.

Ei tuo kyllä onnistu OP:llakaan läheskään aina, vaan vaatii suuremmissa/erikoisemmissa maksuissa ainakin itsellä hyvin usein tekstiviestivahvistuksen.

Onkohan tässäkin jokin käyttöjärjestelmä-/laitekohtainen eroavaisuus. Mulla on mennyt jopa 16 000 € auton käsirahamaksu mobiiliavainvahvistuksella läpi OP:n iOS-sovelluksella, enkä muista ikinä vahvistaneeni mitään tekstiviestitse. Vastapuolen pankin kanssa piti selvitellä kyllä rahojen alkuperä. Myös useamman tuhansien eurojen verkkokauppaostokset menevät mobiiliavaimella. Versioeroavaisuuksiin liittyen ihmettelin myös taannoin isovanhemmille pankkisovellusta asennettaessa, että OP:n Android-sovelluksessa ei ollut mahdollista laittaa biometristä tunnistusta päälle OnePlussan ja Samsungin halvemmissa malleissa. Kasvo-/sormenjälkilukija on ollut itsellä ihan ehdottomasti tärkeimpiä mukavuuteen vaikuttavia ominaisuuksia päivittäisissä pankkiasioiden hoitamisissa ja olisi ollut mukava apu vanhuksille myös.

 

[love_doctor]

Itse taas olen enemmän samoilla linjoilla kuin Mikko Hyppönen kirjassaan Internet, eli (tärkeät) pankkiasiat on lähtökohtaisesti turvallisempi hoitaa mobiilisovelluksella kuin PC:llä selaimessa.

Riippuu

Onkohan tässäkin jokin käyttöjärjestelmä-/laitekohtainen eroavaisuus. Mulla on mennyt jopa 16 000 € auton käsirahamaksu mobiiliavainvahvistuksella läpi OP:n iOS-sovelluksella, enkä muista ikinä vahvistaneeni mitään tekstiviestitse. Vastapuolen pankin kanssa piti selvitellä kyllä rahojen alkuperä. Myös useamman tuhansien eurojen verkkokauppaostokset menevät mobiiliavaimella. Versioeroavaisuuksiin liittyen ihmettelin myös taannoin isovanhemmille pankkisovellusta asennettaessa, että OP:n Android-sovelluksessa ei ollut mahdollista laittaa biometristä tunnistusta päälle OnePlussan ja Samsungin halvemmissa malleissa. Kasvo-/sormenjälkilukija on ollut itsellä ihan ehdottomasti tärkeimpiä mukavuuteen vaikuttavia ominaisuuksia päivittäisissä pankkiasioiden hoitamisissa ja olisi ollut mukava apu vanhuksille myös.

Yli 100 000 euron kiinteistön osto onnistui S-Pankin mobiiliappsilla syöttämällä nelinumeroinen pin-koodi rootatulla puhelimella. Mitään muuta ei tarvinnut rahojen pois antamiseen. Tämä oli 2020-luvulla.

 

[Walla]

Siinä mielessä vähän huono tää 2FA jos miettii mobiilipankkia ja jos joku sattuisi saamaan puhelimen haltuun ja staattisen pinkoodin tietoon kun hyvin usein se mobiililaite on juuri se laite mihin se 2FA varmistus tulee muodossa tai toisessa. Ei paljon auta varmistustekstarit jos ne tulee samaan luuriin missä se mobiilipankki on varsinkin jos se laite on ihan fyysisesti jonkun roiston hallussa ja jos nyt jollain haittaohjelmalla saa verkkopankin auki niin tuskin on liian iso rasti kaivaa teskstarista varmistuskoodiakaan. Siinä mielessä se vanha paperinen varmistuskoodi lämyskä ois parempi.

Niin se oikeastaan ole lisäfaktori, että samaan laitteeseen lähetetään tekstiviestillä tai maililla vahvistuskoodi tai sama laite laskee sellaisen jollain autentikaattorisoftalla. Eikä itseasiassa olisi vaikka se olisi eri laite tai tunnuslukulista, koska se on silti jotain mitä sinulla on (ja tunnuslukulista on kopioitavissa, joten se ei ole oikein kunnollinen faktori ylipäätään).

Toki käytännössä sen puhelimen avaaminen tarvitsee joko jotain mitä tiedät tai jotain mitä olet, jolloin tuosta tulee 2FA.

Ylipäätään jos laite jota käytetään on täysin hyökkääjän hallussa ja hän tekee kohdistetun hyökkäyksen juuri sinuun niin tilanne on jo aika game-over joka tapauksessa. Vaikka käytössä olisi se paperinen tunnuslukulista tai erillinen offline tunnuslukulaite niin minkä kautta se oikea tunnusluku sitten syötetään? Aivan.

Tosin ainakin Nordealla mobiiliverkkopankki ja tunnistautuminen on eri sovellus, eli ei mikään estä pitämästä noita eri laitteilla. Mutta tuon vaatiminen johtaisi melkoiseen asiakaskatoon kun käyttökokemus olisi aika huono. Enkä nyt ole ihan vakuuttunut että tuo kauheasti turvallisuutta lisäisi, koska tuo laitteen täydellinen haltuunotto ei liene ihan tyypillisimpiä uhkia.

 

[pulatunnus]

Enkä nyt ole ihan vakuuttunut että tuo kauheasti turvallisuutta lisäisi, koska tuo laitteen täydellinen haltuunotto ei liene ihan tyypillisimpiä uhkia.

Tämä tosiaan muistettava, on hyvin järkevää hyväksyä joku vuoto, väärinkäytököset.
Maksukortit aikana jolloin oli se magneettinauha ja kortin numero (joka riitti myös yksinään), niin se oli niin tehokas ja edullinen että niillä mentiin vuosikymmeniä.

Se mikä näissä enemmänkin ongelma on se että pankit siirtänyt väärinkäytös vastuuta palvelun käyttäjälle. Jos korttilaskussa oli väärä veloitus, niin se oli ilmoitus ja sillä selvä, jos pankkitililtä väärä siirto sähköisesti, niin se on sitten pitkätie.


Edit, Suomessa pankkitunnistus myös henkkari, vielä 90 luvulla ajokortti kelpas, ja jos joku oli esiintynyt väärillä papreilla, niin pallo oli vähän niiden hyväksyjän puolella, nyt jos sähköisesti vedetty väärillä tunnareilla, niin pidempi posessi.

 

[Sommite]

Pystyykö sovellus tarkistamaan onko muualtaladattu ohjelma täysin sama kuin Play kaupassa oleva versio, onko siis rajapintaa mistä se asennettun ohjelman sormenjäljen saa jota sitten verrata Googlen tarjoamaan, ja se pitäisi tehdä jokakerta josta seuraa sitten satunnaisia hylkyjä jos käyttäjä päivittää ohjelman ennenkuin se on Play kauppaan päivittynyt, tai vaihtoehtoisesti Play kauppaan tullut uusiversio, eikä käyttäjä ole saanut identtistä uutta versiota muualta.

Android pitää kirjaa paketin asentajasta (ns. update owner), eli paketin asentaneella sovelluksella on oikeus toimittaa päivityksiä, ja muiden on pyydettävä vahvistus omistajuuden vaihtamisesta.

 

[pulatunnus]

Android pitää kirjaa paketin asentajasta (ns. update owner), eli paketin asentaneella sovelluksella on oikeus toimittaa päivityksiä, ja muiden on pyydettävä vahvistus omistajuuden vaihtamisesta.

Kiitos, eli pankkisovellus ei saa tietoja, vain asentaja. No jos 3, osapuolenasentaja, niin se voisi tarjota rajapintaa...

Eli voimmeko päätellä että Google Play kauppa ja Sasungin kauppa tarjoaa 3, osapuolelle tietoja. ainakin sen että tietty sovellus on sen asentama ja pankki softa voi yhdistää sen luotettavasti oikeuksisa saaneeseen softaan.

 

[Grez]

VIttu mitä paskaa kyllä, mielestäni käyttäjälläkin on jonkinlainen vastuu laitteistoistaan.

Pankitkin on sinänsä samaa mieltä asiasta, mutta niin kauan kun lainlaatija ja kuluttajaviranomaiset on sitä mieltä että pankki on vastuussa kohtuuttomissakin tilanteissa, niin pankkien on pakko minimoida menetyksiään.

Tilannetta voisi verrata vaikka siihen, että jätät lompakon ei lukossa olevaan ja valvomattomaan pukuhuoneeseen. Hallille mennessä kassalla sanotaan, että tavarat ovat omalla vastuulla pukkarissa. Sitten pukkarissa on perinteinen muistuslappu "halli X ei vastaa pukuhuoneeseen jätetyistä tavaroista". Salilla sitten ohjaaja muistuttaa, että eihän kukaan jättänyt arvotavaraa pukkariin. Jos kaikista näistä varoituksista huolimatta lompakko jäi pukkariin ja se vietiin, niin siinä on peiliin katsomisen paikka.

No tilannetta voisi verrata, mutta se olisi järjetöntä. Ensinnäkään tietääkseni ei ole olemassa mitään aikaisempaa tapausta jossa tuollaisessa tilanteessa kuntosali olisi katsottu korvausvelvolliseksi. Toisekseen mahdollisessa korvaustapauksessa rahallinen riski kuntosalille olisi aika pieni. Pankin tapauksessa taas on ihan realistinen ajatus että rikolliset tekisivät haittaohjelman ja saisivat vaikka tuhannen ihmisen tililtä vietyä rahat sen avulla. Tämä olisi ihan eri kokoluokkaa oleva riski.

 

[zer0bitz]

Itsellä ei Danske Bank toimi, jos on KDE Connect asennettuna F-Droidista. On kyllä todella typerää.

 

[pq]

Kiitos, eli pankkisovellus ei saa tietoja, vain asentaja. No jos 3, osapuolenasentaja, niin se voisi tarjota rajapintaa...

Eli voimmeko päätellä että Google Play kauppa ja Sasungin kauppa tarjoaa 3, osapuolelle tietoja. ainakin sen että tietty sovellus on sen asentama ja pankki softa voi yhdistää sen luotettavasti oikeuksisa saaneeseen softaan.

Eh? Täällä ketjussahan jo mainittiin että kyseessä on melko varmasti Android 13 mukana tullut rajapinta, eli pankkisovellus ei kysele muuta kuin että rikotaanko ”vammaispalvelu-monopoli-sääntöä” ja saa vastaukseksi joko kyllä tai ei.

 

[pulatunnus]

Eh? Täällä ketjussahan jo mainittiin että kyseessä on melko varmasti Android 13 mukana tullut rajapinta, eli pankkisovellus ei kysele muuta kuin että rikotaanko ”vammaispalvelu-monopoli-sääntöä” ja saa vastaukseksi joko kyllä tai ei.

Täytyy sen myös kysellä lähde/asentaja ja saada siitä luotettava vastaus.
Tuo olisi siis keskustelua siitä voiko pankin ohjelma tunnistaa muualta asennetun ohjelman luotettavuutta. niin ilmeisesti ei suoraan, vaan tukeutumalla asentajan luotettavuuteen.

 

[leripe]

Jaaha nordean sovellus alkoi uudestaan herjaamaan tänään nova launcherista. Hienoa 6/5.

 

[Sommite]

Täytyy sen myös kysellä lähde/asentaja ja saada siitä luotettava vastaus.
Tuo olisi siis keskustelua siitä voiko pankin ohjelma tunnistaa muualta asennetun ohjelman luotettavuutta. niin ilmeisesti ei suoraan, vaan tukeutumalla asentajan luotettavuuteen.

Google Play Integrity API antaa vastauksen, onko laitteella sovelluksia, jotka voivat siepata näyttöä (CAPTURING), hallita syötteitä (CONTROLLING), näkyä muiden sovellusten päällä (OVERLAYS) tai ylipäätään Playn ulkopuolisia sovelluksia (UNKNOWN). Riskisovellukset on eritelty vielä sen mukaan, onko sovellus asennettu Play-kaupasta vai ulkopuolelta. Jos sovellus on julkaistu Play-kaupassa ja saanut sieltä accessibility-hyväksynnän, sovellusta ei ilmoiteta vaaratekijänä, vaikka sovellus olisi asennettu muualta kuin Play-kaupasta.

App access risk automatically excludes verified accessibility services that have been through an enhanced Google Play accessibility review (installed by any app store on the device). "Excluded" means that verified accessibility services running on the device won't return a capturing, controlling, or overlays response in the app access risk verdict.

 

[FlyingAntero]

Jaaha nordean sovellus alkoi uudestaan herjaamaan tänään nova launcherista. Hienoa 6/5.

Asensit välissä kuitenkin Novan Play Kaupasta? Voisikohan se backupin tuominen aiheuttaa sen herjan ? Tai sitten Nordea laittaa herjan myös Play Kaupasta ladatusta sovelluksesta, jos on vaan liikaa oikeuksia.

 

[Jrask]

Suurimmalla osalla käyttäjistä ei kuitenkaan ole mitään käryä mitä tarkoittaa kun luuri pyytää lataamaan ja asentamaan .apk:n että pääsee katselemaan pornoa, hakataan vaan next, next, accept että pääsee eteenpän lukematta mitään. Sitten on pankin ja yhteiskunnan vika kun tili on nollilla.

 

[FlyingAntero]

Suurimmalla osalla käyttäjistä ei kuitenkaan ole mitään käryä mitä tarkoittaa kun luuri pyytää lataamaan ja asentamaan .apk:n että pääsee katselemaan pornoa, hakataan vaan next, next, accept että pääsee eteenpän lukematta mitään. Sitten on pankin ja yhteiskunnan vika kun tili on nollilla.

Sideloadatulle sovellukselle on vaan hyvin hankala antaa vanhingossa oikeudet esteettömyyspalveluun painenemalla vaan nextiä. Sovelluksen saa asennettua ns. sokeasti mutta siinä vaiheessa, kun kyseinen sovellus kysyy oikeuksia, niin helppo polku päättyy. Käyttäjän kuitattua varoitukset oikeuksia ei pystykään suoraan antamaan. Käyttäjän pitää poistua esteettömyysvalikosta ja aktiivisesti hakeutua sovelluksen asetuksiin. Sieltä pitää löytää piilotettu valikko, mistä voi muuttaa asetuksia. Tämäm jälkeen pitää palata sovellukseen ja aloittaa oikeuksien antaminen alusta. Mikään ilmoitus ei vie käyttäjää tuossa kohdassa suoraan oikeaan paikkaan.

Itselläkin meni hetki aikaa ihmetellä, että miten ihmeessä ne oikeudet annetaan. Tosin aluksi yritin antaa ne suoraan manuaalisesti, jolloin valikko ei ole edes saatavilla. Ensin täytyy käydä kokeilemassa, ettei onnistu ja vasta sitten pääsee antamaan oikeuksia (kts. tämä viesti Danske Bankin ja Nordean sovellukset kieltäytyvät toimimasta liikaa oikeuksia hamuavien tuntemattomista lähteistä asennettujen sovellusten rinnalla).

 

[Jrask]

Näköjään parantunut siitä kun itsellä ollut Android käytössä, silloin oli käytännössä softa haluaa oikeudet prompti mistä klikattiin salli. Fiksusti tehty haittaohjelma varmaan ohjeistaa käyttäjää.

 

[pulatunnus]

Google Play Integrity API antaa vastauksen, onko laitteella sovelluksia, jotka voivat siepata näyttöä (CAPTURING), hallita syötteitä (CONTROLLING), näkyä muiden sovellusten päällä (OVERLAYS) tai ylipäätään Playn ulkopuolisia sovelluksia (UNKNOWN). Riskisovellukset on eritelty vielä sen mukaan, onko sovellus asennettu Play-kaupasta vai ulkopuolelta. Jos sovellus on julkaistu Play-kaupassa ja saanut sieltä accessibility-hyväksynnän, sovellusta ei ilmoiteta vaaratekijänä, vaikka sovellus olisi asennettu muualta kuin Play-kaupasta.

Miksi sitten ketjussa kerrottu että sivuladatut sovellukset aiheuttaa ongelmia, vaikka ne Play Kaupasta ladattuna ei aiheuta.

Onko niissä loppujen lopuksi kuitenkin kyse "eri" sovelluksesta ?

Päättelyä, Samsungin kaupassa ilmeisesti oma rajapinta, jos siis Google Play kapan rajapinta ilmoittaa että ladattu muualta, niin ilmeisesti pankin sovelluksen pitää saada Samsungilta tieto että "vaarallinen" sovellus on sieltä ja ettei muita vaarallisia.

 

[pulatunnus]

Sieltä pitää löytää piilotettu valikko, mistä voi muuttaa asetuksia. Tämäm jälkeen pitää palata sovellukseen ja aloittaa oikeuksien antaminen alusta. Mikään ilmoitus ei vie käyttäjää tuossa kohdassa suoraan oikeaan paikkaan.

Vaikeus toki nostaa kynnystä asentaa oikeuksia haluavia sovelluksia, mutta ei se estä, ja jos käyttäjä on tottunut niiden vaikeaa antamiseen. tai jos ei ole tottunut, niin kyse kuitenkin siitä kuinka hyvät ohjeet kohdelaitetta varten on.
Siis historiallisesti ei ole mitenkään uutta että oikeuksien antaminen on vaikeaa, ja monelle aika tuore kokemus että vaadittaessa viedään käyttäjä oikean täpän kohdalle.

Ei sekään ole mikään este ja ihmetyksen aihe että käyttäjä joutuu jonkin kehittäjäasetuksen kytkeen päälle että pääsee niihin asetuksiin.

 

[Walla]

Äkkiseltään ajattelisi, että elegantimpi ratkaisu olisi mahdollistaa ongelmallisten oikeuksien rajaus pois koskien tiettyjä sovelluksia. Eli että mobiilipankki äppi voisi ilmoittaa että minun ollessani aktiivisena capturing, overlays ja controlling estetään muilta kuin hyväksytyiltä sovelluksilla.

Toki se tarkoittaisi että sitten verkkopankin ollessa auki et saa ruutua lukittua tutulla eleellä, mutta luulisi että tuon kanssa voi elää.

 

[Sommite]

Miksi sitten ketjussa kerrottu että sivuladatut sovellukset aiheuttaa ongelmia, vaikka ne Play Kaupasta ladattuna ei aiheuta.

Onko niissä loppujen lopuksi kuitenkin kyse "eri" sovelluksesta ?

Päättelyä, Samsungin kaupassa ilmeisesti oma rajapinta, jos siis Google Play kapan rajapinta ilmoittaa että ladattu muualta, niin ilmeisesti pankin sovelluksen pitää saada Samsungilta tieto että "vaarallinen" sovellus on sieltä ja ettei muita vaarallisia.

Integrity-rajapinta erottelee sovellukset sen mukaan, onko ne asennettu Play-kaupasta vai ei. Samsungin kauppa laskettaneen tässä ulkopuoliseksi, koska kuvauksesta ei ilmene, että sillä olisi erityisasema. Sen sijaan Samsungin tai muun valmistajan vakiona asentamat järjestelmäsovellukset lasketaan tunnetuiksi.

 

[Mstk]

Samsungin laitteilla on sandboxattu Secure Folder, jolla on myös oma Play kauppansa. Toimisivatkohan pankkisovellukset siellä normaalisti, vaikka kansion ulkopuolella olisikin sideloadattuja äppejä kattavilla oikeuksilla? Oletan että toimisi, mikäli myös itse Play Palvelut ovat sandboxattuna. Olisin kokeillut, jos olisin Nordean tai Dansken asiakas (onneksi en ole).

Saas nähdä kauanko kestää, että muut pankit keksivät vastaavaa ja keksivät laajentaa tätä. Kohta ei varmaan pankkisovellukset avaudu, kun on Tasker tai MacroDroid jne. asennettuna liian kattavilla oikeuksilla.