Danske Bankin ja Nordean sovellukset kieltäytyvät toimimasta liikaa oikeuksia hamuavien tuntemattomista lähteistä asennettujen sovellusten rinnalla

Vastaan tähän lainauksena oman viestin toisesta ketjusta:



Boomer-väki joo. Ja kun katsoo kansakunnan ikäjakaumaa, niin niitä kyllä riittää.
Toisaalta tietokoneissa (joita puhelimetkin imo ovat) on ”sideloadattu” eli siis ihan vaan asennettu ohjelmia ilman, että siellä olisi jokin keskitetty taho välissä kuratoimassa sisältöä yms. iät ajat ja hyvä niin.

Toki jotkut ovat asennelleet haittaohjelmia tai muuten sotkeneet laitteensa solmuun ja sillä on sitten ollut ainakin heille itselleen (ja välillä muillekin) ikäviä seurauksia. Näitä ehkäisemään on ollut jonkinlaisia tietoturvatuotteita jotka lienevät toimineen vaihtelevalla menestyksellä tai esim. eri käyttäjien oikeuksia on muokattu, eli esim kaikilla käyttäjätileillä ei ole admineita.

Olen sitä mieltä, että ”normikäyttäjän” ei kuuluisi olla tietokonelaitteen ylläpitäjä, oli se sitten mobiili tai ei, vaan mikäli osaaminen tai itseluottamus ei riitä niin tämä rooli tulisi sitten ulkoistaa ja käyttäjä ajelkoon sellaisilla oikeuksilla, että mitään supermassiivista tietoturvaongelmaa ei asenteluilla saa aikaiseksi. (Meillä tosin ei vielä taida olla mitään fiksua palvelua, jolla toteuttaa tätä, jos lähipiiristä ei satu löytymään nörttiä, jolle tällaiset voi ulkoistaa. Ehkä tässä olisi sitten liikeideaa 🤔)

Olen itse vakaasti sitä mieltä, että laitteen ylläpitäjä päättäköön mitä niihin laitteisiin on asennettuna ja mistä ja jos pankkiapin toimimattomuudelle ei mitään teknistä estettä ole niin sitten sen kuuluisi toimia. Jos mietin, että kenen sen laitteen tietoturvasta tulisi vastata niin kyllä se on admini, eikä Danske Bank (varsinkaan, kun pankkien metodit ovat osastoa ”ammutaan kärpästä singolla”) ja jos ylläpitäjän mielestä tietoturvariskit ovat huomioitu tarpeeksi hyvin niin eikun kovaa ajoa vain. Jos appi kompromissina haluaa varoittaa, että laitteessa on havaittu asioita X, jotka voivat heikentää tietoturvaa niin sekin on ok. Se on sitten ylläpitäjän vastuulla arvioida onko riski minkä suuruinen ja mahdollinen hyöty sen riskin realisoitumiseen nähden riittävän suuri. 🤷‍♂️

Ei minusta siis pankillakaan korvausvelvollisuutta tulisi olla, jos käyttäjä omalla huolimattomuudellaan aiheuttaa omaan laitteeseensa isoja tietoturvaongelmia esim aiheuttamalla tilanteen, että laitteen ruudun sisältö on ulkopuolisen urkittavissa yhtään sen enempää kuin jos käyttäjä ns. face to face antaisi tunnuksensa jollekin. ( Mutta toki normaali rikosprosessi ja mitä virkavalta voikaan tehdä rahojen takaisin saamiseksi tietenkin kuuluu asiaan, kun eihän se, että ovet on auki tarkoita, että kaiken siellä olevan saa viedä, mutta mitä mä haen takaa on, että jos mä jättäisin vaikka fillarini keskelle katua lukitsematta sitä niin ihan ymmärrettävää, että syytä olisi sen verran paljon peilissä vastassa, että vakuutusyhtiöltä korvauksia ei kuuluisi tulla, mutta toki jos pöllijä saadaan kiinni niin hänen tulisi pyörä palauttaa. 😅)

Nää siis näkemykset, jos käyttäjä halutessaan menee ”hyväksyttyjen sovelluskauppojen ulkopuolelle”. Jos noista kaupoista ladatut sovellukset osoittautuvat haittaohjelmiksi niin silloin vastuiden kuuluisi mennä niiden kauppojen suuntaan.

Toisaalta sideloadauksen hyväksymisen olisi oltava riittävän vaikeaa ”pahimmalle töhölle”, jotta häntä saadaan edes vähän suojeltua itseltään, mutta silti riittävän mutkatonta, että se sujuu ”keneltä vaan”.

Oisko esim jokin salasanalukitus, joka olisi jotenkin sidoksissa siihen laitteeseen, tyyliin imei/mac-osoite tms? Tavallaan houkuttaisi joku laitteen ohjekirjaan laitettu avain, kun se on yleensä se vihoviimeinen paikka, johon nuo suurimmat käyttäjäperäisiä ongelmia aiheuttavat ihmiset vilkaisevat, mutta se olisi vähän ikävä käytettyjen puhelimien suhteen. 🙈

Siitä mä olen varma, että jos siellä vaan lukisi: ”Jos et täysin tiedä mitä teet ÄLÄ KOSKE TÄHÄN!”, niin kaikilla olisi sideloadaukset asetuksista hyväksyttynä välittömästi. 🤭
 
Olisko tälle jotain ihan omaa ketjua.
Tai jos perustaa uutta ketjua, niin aiheeksi joku yleinen. missä keskustelua laite ja alusta/käyttöjärjestelmä valmistajien kontrollsita mitä saa asentaa, ilman valmistajan/alustan haltijan hyväksyntää. ja miten se sallia. yleensä ja miten määräävässä markkina-asemassa olevan turvatta kilpailu.
Tein nyt
 
Sain muuten kierrettyä ainakin Danske Bankin rajoituksen MacroDroidilla. Todennäköisesti toimii Nordeallakin mutta en nyt jaksanut testata sitä. Tein automaation, joka poistaa sideloadatun sovelluksen oikeudet esteettömyyspalveluihin, kun mobiilipankki avataan. Vastaavasti oikeudet menee takaisin päälle, kun mobiilipankki suljetaan. Välillä joutuu avaamaan mobiilipankin kahteen kertaan, kun MacroDroid ei ehdi muuttaa asetuksia mutta testailujen mukaan vähintään toisella avaamiskerralla kerralla onnistuu.

Edit: Alla olevassa viestissä ohjeet viiveen tekemiseen tuohon automaation, niin pitäisi toimia paremmin (poistuu ongelma, että MacroDroid ei välillä kerkeä muuttaa asetusta), credits @Leatherman

Screenshot_20240922_123527_MacroDroid.jpg


MacroDroidille täytyy antaa WRITE_SECURE_SETTINGS oikeudet ADB:n kautta mutta ei siis vaadi roottia tms. Ihan vakiona voi siis käyttää puhelinta.
Saakohan vastaavan tehtyä Taskerilla, se olisi valmiiksi asennettuna?
Mulla ei Nova aiheuta mitään ongelmia vaikka on tuo accessibility näytönsammutus aina ollut käytössä, mutta Bitwarden sen sijaan disabloi Nordean pankin. Kun otan Bitwardenin esteettömyysluvat pois niin pankki aukeaa, ja sen jälkeen voin palauttaa Bitwardenin luvat. Nordea ei edes lakkaa toimimasta heti tuon jälkeen, vaan useamman kerran antaa kirjautua sisään hienosti, ennen kuin yhtäkkiä taas huomaa että iso paha Bitwarden vakoilee.
Nordea on mun "kakkospankki" jota en kovin usein käytä, mutta sen verran usein että tuo häiritsee joka tapauksessa. Kunhan ei OP tuohon sortuisi...
 
Saakohan vastaavan tehtyä Taskerilla, se olisi valmiiksi asennettuna?
Mulla ei Nova aiheuta mitään ongelmia vaikka on tuo accessibility näytönsammutus aina ollut käytössä, mutta Bitwarden sen sijaan disabloi Nordean pankin. Kun otan Bitwardenin esteettömyysluvat pois niin pankki aukeaa, ja sen jälkeen voin palauttaa Bitwardenin luvat. Nordea ei edes lakkaa toimimasta heti tuon jälkeen, vaan useamman kerran antaa kirjautua sisään hienosti, ennen kuin yhtäkkiä taas huomaa että iso paha Bitwarden vakoilee.
Nordea on mun "kakkospankki" jota en kovin usein käytä, mutta sen verran usein että tuo häiritsee joka tapauksessa. Kunhan ei OP tuohon sortuisi...
Taskerin AutoTools lisäosan SecureSettings toiminnolla ilmeisesti onnistuisi mutta siinäkin pitää antaa ADB:llä lisää oikeuksia. Oliko sinulla siis Play Kaupasta asennettu molemmat sovellukset (Nova ja Bitwarden).
 
Viimeksi muokattu:
  • Tykkää
Reactions: Hcc
Taskerin AutoTools lisäosan SecureSettings toiminnolla ilmeisesti onnistuisi mutta siinäkin pitää antaa ADB:llä lisää oikeuksia. Oliko sinulla siis Play Kaupasta asennettu molemmat sovellukset (Nova ja Bitwarden).
Luulin että Bitwarden olisi Playsta, mutta ei näköjään ollut jostain syystä, liekö sitten suoraan valmistajan sivuilta aikoinaan ladattu. Kokeilen vaihtaa.
 
En tiedä sovelluksista, mutta tänään hävinnyt Nordeasta kokonainen tili, ja sen myötä n. 3000€ käteistä.
Olisi syytä alkaa pankin pikkuhiljaa toimimaan...
 
Nordean yleiset ongelmat ovat jatkuneet jo useita viikkoja, mutta toi tilien näkymättömyys oli uusi ongelma, joka pitäisi olla korjaantunut
Tilien näkymättömyys oli itselleni nyt toinen kerta. Vuosi tai kaksi sitten oli hetken aikaa tilejä kateissa. Molemmilla kerroilla näkyi pelkkä käyttelytili ja luottokortti. Muistaakseni tästäkin uutisoitiin, niin en silloinkaan hermoillut. Eli näinköhän tuli nytkään lopullisesti kuntoon? :hmm:
 
Olen itse vakaasti sitä mieltä, että laitteen ylläpitäjä päättäköön mitä niihin laitteisiin on asennettuna ja mistä ja jos pankkiapin toimimattomuudelle ei mitään teknistä estettä ole niin sitten sen kuuluisi toimia. Jos mietin, että kenen sen laitteen tietoturvasta tulisi vastata niin kyllä se on admini, eikä Danske Bank (varsinkaan, kun pankkien metodit ovat osastoa ”ammutaan kärpästä singolla”) ja jos ylläpitäjän mielestä tietoturvariskit ovat huomioitu tarpeeksi hyvin niin eikun kovaa ajoa vain. Jos appi kompromissina haluaa varoittaa, että laitteessa on havaittu asioita X, jotka voivat heikentää tietoturvaa niin sekin on ok. Se on sitten ylläpitäjän vastuulla arvioida onko riski minkä suuruinen ja mahdollinen hyöty sen riskin realisoitumiseen nähden riittävän suuri. 🤷‍♂️

Ei pankit mistään sun tietoturvasta ole kiinnostunut, vaan omista rahoistaan.

Ei minusta siis pankillakaan korvausvelvollisuutta tulisi olla, jos käyttäjä omalla huolimattomuudellaan aiheuttaa omaan laitteeseensa isoja tietoturvaongelmia esim aiheuttamalla tilanteen, että laitteen ruudun sisältö on ulkopuolisen urkittavissa yhtään sen enempää kuin jos käyttäjä ns. face to face antaisi tunnuksensa jollekin.

Kun pankkia kuitenkin vaaditaan korvaamaan, niin se on nimenomaan pankilla velvollisuus näyttää käyttäjän toimineen huolimattomasti. Pankit eivät voi vedota sun mielipiteeesi.
Kun koko ajan erilaisia huijauksia tehdään suuremmalla tahdilla, ja täten pankkia vaaditaan korvaavaan milloin mitäkin, niin en näy kovin yllättävänä että pankit pyrkivät kaihtamaan kaikenlaisia riskejä. Kaikenlainen selvitystyökin maksaa, ja pankki ei helpolla saa siitä asiakkaalta mitään korvausta.

Odottaisin että muutkin pankit ottavat samanlaisen linjan.
 
Ei pankit mistään sun tietoturvasta ole kiinnostunut, vaan omista rahoistaan.



Kun pankkia kuitenkin vaaditaan korvaamaan, niin se on nimenomaan pankilla velvollisuus näyttää käyttäjän toimineen huolimattomasti. Pankit eivät voi vedota sun mielipiteeesi.
Kun koko ajan erilaisia huijauksia tehdään suuremmalla tahdilla, ja täten pankkia vaaditaan korvaavaan milloin mitäkin, niin en näy kovin yllättävänä että pankit pyrkivät kaihtamaan kaikenlaisia riskejä. Kaikenlainen selvitystyökin maksaa, ja pankki ei helpolla saa siitä asiakkaalta mitään korvausta.

Odottaisin että muutkin pankit ottavat samanlaisen linjan.

Noissa huijaustilanteissa aivan varmasti korvausvaatimuksia pankeille tulee paljon, mutta toisaalta niiden torppaamisenkin luulisi onnistuvan melko vedenpitävästi, kun lähtökohtaisesti noissa asiakas on itse huijarille ne pankkitunnukset antanut käyttöön. (Vaikkakin tahattomasti toki.) Kauheasti ei ole tullut vastaan, että niissä olisi varsinaisesti mitään edistyneitä tietoteknisiä menetelmiä käytetty vaan yleensä vaan kalasteltu asiakkaalta tiedot esimerkiksi jollain tekstarilla, jossa on linkki huijaussivulle. (Ps. Voin ylpeydellä ilmoittaa, että omalle iäkkäälle äitilleni on selvästi paasaus mennyt perille ja hän ei enää uskalla avata linkkejä edes, jos ne tulee minulta. 🥹)

Eli siis jos tilanne on vaatinut, että huijarilla on tiedossaan/hallussaan jotain, jonka kuuluisi olla vain asiakkaan itsensä tiedossa/hallussa niin luulisi huolimattomuuden täyttyvän ihan sillä, että selvästikin ne jonkun toisen tietoon/haltuun ovat päätyneet ja todistustaakka, että ne olisivat sieltä pankin puolelta vuotaneet jäisi mitä todennäköisimmin asiakkaalle.

Varmasti jotakin selvittämistyötä voi syntyä (vaikkakin enemmän ”asiakaspalvelullisista syistä”), jos asiakas kiven kovaan väittää, että hän ei mitään ole minnekään syöttänyt tms (eli hänen korvausvaateensa perustuisi siihen, että joku olisi päässyt sinne pankin puolelle murtautumaan ilman asiakkaan mitään inputtia), mutta oletettavasti ihan ”perusaspa” tarvittaessa voisi järjestelmistä saada selville, että täältä on lähtenyt tunnistautumispyyntö aikana x ja se on hyväksytty samalla laitteella kuin yleensäkin ja vaatinut PIN-koodia/mitä varmennetta noi nyt milläkin pankilla vaatiikaan yms.

Jotkut asiakkaat toki varmasti jäävät vänkäämään, mutta niinhän osa jää aina, jos jokin ratkaisu ei mene asiakkaan mielestä niin kuin hän tahtoisi. 😅

Toinen suht. pitävä argumentti pankin näkökulmasta olisi vedota siihen, että asiakasta on ohjeistettu/on yleinen tietoturvakäytäntö, että pankkipalveluihin ei mennä minkään viestilinkin kautta vaan navigoidaan suoraan siihen osoitteeseen. Tuo toki riippuu siitä, että onko jotakin tuollaista asiakkaille viestitty tai onko esim. palveluehdoissa jotain yms.

Ja sit tosiaan se kolmas, että asiakkaan laitteen tietoturvasta vastaa aina asiakas, eikä ainakaan pankki ja jos se ei ole ollut kunnossa niin pankilla ei siinä ole osaa eikä arpaa. 🤷‍♂️

Aika normaali tilanne monessa muussakin yrityksessä aspatilanteessa on, että asiakkaalla on jotain vaateita yrityksen suuntaan ja aspantäti/setä saa selvitellä, että onko vaatteessa jotain perää ja mikäli ei ole niin kertomaan asiakkaalle tämän (ja yrittää perustella miksi kanta on tämä).

Omat kokemukset tältä saralta (vaikkakaan eivät pankkialaan liity) ovat, että yleensä jos asiakas on itse myötävaikuttanut omalla toiminnallaan kuvioon niin korvausvelvollisuutta harvemmin on tai se vähintäänkin pienenee, kun ymmärrettävästi yritykset ovat velvollisia korvaamaan, jos haitta johtuu yrityksen virheestä. Yleensä todistustaakka siitä, että virhe on tapahtunut yrityksen puolella on melkolailla asiakkaalla.

Esimerkiksi vaikka palvelunumeroveloituksista operaattorille reklamoivat, jotka kiistävät, että minnekään ei ole soitettu niin silloin jos ne puhelut siltä asiakkaan laitteelta ovat lähteneet niin kyllä ne yleensä asiakkaan maksettavaksikin jäävät. Jotkut toki vänkäävät, että ei ole hänen laitteella tehty yms., mutta silloin jos ne järjestelmän mukaan ovat ja vielä vaikka esimerkiksi asiakkaan kotiosoitteen hujakoilla yms. niin asiakkaan puolelta pitäisi kyllä sitten saada jo jotain näyttöä, että miten tuo olisi mahdollista ilman että hän on itse käyttänyt puhelinta tai luovuttanut sitä jonkun toisen käyttöön. 😅

Olen erittäin yllättynyt, jos pankeilla vastuu asiakkaan puolelta tapahtuvalle mokailulle olisi jotenkin olennaisesti suurempi kuin mitä yleensä yrityksillä on, todistustaakasta puhumattakaan. Ainakin oma mielikuva on, että pankit ja vakuutusyhtiöt ovat niitä, jotka kaikkein parhaiten osaavat laatia sopimusehtonsa siten, että saavat kätensä pestyä about kaikesta. 😅

Ymmärrän tavallaan sen näkökulman, että tahtovat tehdä kaikkensa, etteivät asiakkaat turhaan aspaan soittelisi kiukutellakseen, koska jollekin pitää maksaa palkkaa siitä, että siihen puhelimeen vastataan, mutta päättämällä mistä omille laitteilleen asiakkaat saavat ohjelmia asentaa, jotta pääsevät pankkipalveluihin on aika outo veto ja jollain pankilla ei kuuluisi sellaista valtaa olla.
 
Noissa huijaustilanteissa aivan varmasti korvausvaatimuksia pankeille tulee paljon, mutta toisaalta niiden torppaamisenkin luulisi onnistuvan melko vedenpitävästi, kun lähtökohtaisesti noissa asiakas on itse huijarille ne pankkitunnukset antanut käyttöön....
Pankin tahto tila luulisi olevan se että asiakkaat voivat asioida turvallisesti ja että pankki voi olla riittävän varma että jokainen toimenpide on nimenomaan asiakkaan itsensä tekemä ja tahtoma. Ja myös se että pankin tunnistaminen on luetettavaa.

Kyse palveluista joiden käyttäjistä karkeasti puolet on heikompia kuin keskimääräinen täysvaltainen. Autolla ajaminen vaatii paljon enemmän, mutta autonkin pitää täyttää sitä sun tätä. vaikka olisi millainen osaaja ratissa.

Vähän toistoa aiemmista, mutta ei pankin kannata ihan 99,99999 varmaan tehdä, vaan hakea kustannustehokasta kompromissiä, missä pohditaan "hävikin", käytettäyyven, hinnan suhdetta. Suomessa pankki joutuu myös miettimään niiden tunnistuspalveluiden käyttäjiä, ei ne voi skipata vastuuta siellä että emme vastaa onko tunnistettu se mikä tieto me välitetään. Vaan se tunnistuksen on oltava myös luotettava.

Pankit voi toki söhlätä, joku tiukka tieturva johtaja hännystelijöineen voi ajaa huonoja ideoita läpi. "Ennakoimalla" uhkia, mutta tiettävästi valinnoissa/päätöksissä on taustalla ihan aitoa reagointia.

Ajatus että yksittäinen yksityisasiakas voisi pyytämällä hakea "isännän oikeuksia", niin miettiä kaksi asiaa.
- Miten asiakkaan kyky ja luotettavuus varmistetaan (se että kyvyt riittää ja että myös luotettava, ja pystyykö kantaa vastuun)
- Onko kuitenkaan kysyntää
 
Tulipa testattua uudelleen tuota KDE Connectia ja nyt näyttäis toimivan Danske Bankin kanssa. Taisin olla antanu liikaa käyttöoikeuksia sovellukselle viimeksi. Outoa kyllä ettei pankkisovellus silloin alkanut mitään kitisemään kun tuota viimeksi asettelin. Toimi pitkään kumpikin sovellus ilman ongelmia.
 
Kaksi asennusta on Play kaupan ulkopuolelta, toinen on Huawein kelloihin menevä Huawei Health.
Ainakaan vielä ei ole verkkopankista mitään viestiä tai ilmoitusta.
 
GrapheneOS foorumilla joku oli ollut yhteydessä Nordean kehitystiimiin ja sovellus tosiaan blokkaa oletuksena kaikki Play Kaupan ulkopuolelta ladatut sovellukset, joilla oikeus esteettömyyspalveluihin. Järjestelmäsovellukset saattavat kuitenkin aiheuttaa ongelmia, sillä ne eivät välttämättä ole peräisin Play Kaupasta (kts. Tietoturvajärjestöt vaativat Googlea poistamaan bloatwaren Android-laitteista). Ainakin Talkback aiheutti keväällä blokkauksen mutta se korjattiin alla olevan henkilön yhteydenoton ansiosta.
Update: by (ab)using personal connections I was able to reach the team in Nordea that develops this app and explained the situation. I don't know if the systemic issue of blacklisting system apps was addressed, but specifically in the case of Talkback they agreed it was a false positive and changed it. The rules are stored server-side so the app is already fixed. I checked with Talkback both on and off in the accessibility settings and the app no longer complains.

At least for GrapheneOS this will be enough to fix the problem.

I also confirmed with them that the app is blacklisting any accessibility app that is turned on and the installation source is not the Play Store. This is by design.
 
Järjestelmäsovellukset saattavat kuitenkin aiheuttaa ongelmia, sillä ne eivät välttämättä ole peräisin Play Kaupasta (kts. Tietoturvajärjestöt vaativat Googlea poistamaan bloatwaren Android-laitteista).
Integrity-APIn dokumentaatiossa järjestelmäosiolle esiasennetut sovellukset rinnastetaan Play-kauppaan:
  • Play or system apps: Apps that are installed by Google Play or preloaded by the device manufacturer on the device's system partition (identified with FLAG_SYSTEM). Responses for such apps are prefixed by KNOWN_.
Valmistaja voi toki latailla sovelluksia automaattisesti myös dataosiolle, tällaiset jäänevät seulaan. Järjestelmäosio tarkoittaa päivittäiskäytössä muuttumatonta osiota, joka muuttuu vain järjestelmäpäivityksellä.
 
Huawei Health, kellon sovellus ja pari peliä on ladattu play kaupan ulkopuolelta. Ei vaikutusta pankkisovelluksen toimintaan.
 
Huawei Health, kellon sovellus ja pari peliä on ladattu play kaupan ulkopuolelta. Ei vaikutusta pankkisovelluksen toimintaan.

Ei kuulukkaan vaikuttaa, taisit lukea ylempää viestit turhan hätäseen. Se mikä vaikuttaa on jos play kaupan ulkopuoliselle ohjelmalle antaa enemmän oikeuksia, kuten Nordean tapuksessa "Accessibility" oikeus, mitä tuskin sinun ohjelmat tarvitsevat, ja sen takia sinulla pankki ohjelmat toimivatkin.
 

Statistiikka

Viestiketjuista
257 724
Viestejä
4 481 873
Jäsenet
73 996
Uusin jäsen
Sysi

Hinta.fi

Back
Ylös Bottom