Danske Bankin ja Nordean sovellukset kieltäytyvät toimimasta liikaa oikeuksia hamuavien tuntemattomista lähteistä asennettujen sovellusten rinnalla

[pulatunnus]

Integrity-rajapinta erottelee sovellukset sen mukaan, onko ne asennettu Play-kaupasta vai ei. Samsungin kauppa laskettaneen tässä ulkopuoliseksi, koska kuvauksesta ei ilmene, että sillä olisi erityisasema. Sen sijaan Samsungin tai muun valmistajan vakiona asentamat järjestelmäsovellukset lasketaan tunnetuiksi.

Eli pankin sovelluksen kehittäjät voisivat halutessaan luottaan siihen että jos sovellus on Play kaupasta saatavilla ja hyväksyttynä, mutta on sivuladattu. No sinänsä kai olisi aika tarpeetonta, käyttäjä voi sen käydä lataamassa Play kaupassa. Arkisin tilanne varmaan se kun vaihdetaan puhelinta ja siirretään sovellukset vanhasta puhelimesta uuteen.

Mutta Samsungilla täytyy sitten olla oma rajapinta sitä kautta asenneteuista sovelluksista, saako pankin sovellus sieltä tarkempaa tietoa, vai miten se varmistaa että asennettu oikeuksia käyttävä sovellus on nimenomaan Samsungin kaupasta asennettu. (koska sitä tietoa ei saa Googlen rajapinnoista)

 

[Agent_007]

Eli pankin sovelluksen kehittäjät voisivat halutessaan luottaan siihen että jos sovellus on Play kaupasta saatavilla ja hyväksyttynä, mutta on sivuladattu.

Tuohon ei voi luottaa. Eli sovelluksen tekijä voi tehdä sovelluksesta uuden/toisen version, ja allekirjoittaa sen samalla allekirjoituksella kuin mitä hän käyttää Google Playssä (oletuksella siis, että kyseessä on noita 2021 vuoden tai vanhempia allekirjoitusavaimia), jonka jälkeen hän voi jaella kahta eri asennuspakettia.

vai miten se varmistaa että asennettu oikeuksia käyttävä sovellus on nimenomaan Samsungin kaupasta asennettu. (koska sitä tietoa ei saa Googlen rajapinnoista)

Tuo aiemmassa viestissäni mainitsemani packageManager.getInstallSourceInfo on Androidiin sisäänrakennettuna, eli se ei vaadi Googlen verkkopalveluiden käyttämistä.

 

[pulatunnus]

Tuohon ei voi luottaa. Eli sovelluksen tekijä voi tehdä sovelluksesta uuden/toisen version, ja allekirjoittaa sen samalla allekirjoituksella kuin mitä hän käyttää Google Playssä (oletuksella siis, että kyseessä on noita 2021 vuoden tai vanhempia allekirjoitusavaimia), jonka jälkeen hän voi jaella kahta eri asennuspakettia.

Ok, eli oletin asiayhteydessä että nimenomaan tunnistaa jostain sormenjäjestä että on sama versio kuin hyväksytty.
No jos ei, niin pankki sovellus ei voi siihen luotaa.

Tuo aiemmassa viestissäni mainitsemani packageManager.getInstallSourceInfo on Androidiin sisäänrakennettuna, eli se ei vaadi Googlen verkkopalveluiden käyttämistä.

Sori tyhmäily. tipotellen vastauksia.

Eli tuolla saa tietää oikeuksia vaativat sovellukset ja sillä saa tiedon millä asennettu.
Ja pankki sovellus ensin tsekkaa listan oikeuksia vaativista sovelluksista jos lista, niin sitten tsekkaa millä asennettu. Jos on luotettu asentaja niin jatkaa toimintaa, jos ei ole luotettu asentaja niin ei jatka. (*

Ilmeisesti pystyy tsekkaan myös varmenteen, että asentaja on aito.

Mutta se mistä lähti liikkeelle niin ei ole alusta estettä sille että pankki voisi hyväksy vaikka sen F-droin jos sille luotettavat prosessit ja sillä olisi asiakas kunnassa kysyntää. Käytännössä Nordean markkina-alueella ei taida olla valmistajasta riippumattomia sovelluskauppoja joilla olisi kysyntää ja vielä prosessit kunnossa, tai pinkka kunnossa vauhdittaan sitä.

(*
Siis haen sitä että pankkiohjelma saa luotettavan tiedon millä asentajalla ne oikeuksia vaatineet/saanet ohjelmat asennettu.
Onko jossain vaiheessa se on kadonnut että saa tiedon asennetuista paketeista.

 

[mahead]

Eli tuolla saa tietää oikeuksia vaativat sovellukset ja sillä saa tiedon millä asennettu.

Faktatietoa ei ole, joten joku voi korjata tarvittaessa. Olen kuitenkin kohtalaisen varma, ettei se Android jaa pankkisovellukselle mitään listaa asennetuista sovelluksista ja niiden allekirjoituksista tms., vaan se pankkisovellus kysyy puhelimelta että "Onko tämä puhelin luotettava kriteereillä X, Y ja Z", ja puhelin vastaa siihen kysymykseen joko "Kyllä" tai "Ei".

Pankkisovellus ei missään vaiheessa saa tietää mitään yksityiskohtia puhelimen muista sovelluksista.

 

[pulatunnus]

Faktatietoa ei ole, joten joku voi korjata tarvittaessa. Olen kuitenkin kohtalaisen varma, ettei se Android jaa pankkisovellukselle mitään listaa asennetuista sovelluksista ja niiden allekirjoituksista tms., vaan se pankkisovellus kysyy puhelimelta että "Onko tämä puhelin luotettava kriteereillä X, Y ja Z", ja puhelin vastaa siihen kysymykseen joko "Kyllä" tai "Ei".

Pankkisovellus ei missään vaiheessa saa tietää mitään yksityiskohtia puhelimen muista sovelluksista.

Vähän tipotellen tietoa tippuu.

No oleellista on että saa ainakin sen tiedon että millä asentajilla oikeuksia saaneet sovellukset on asennettu. ja nimenomaan sen että ne on sillä asennettu.

Aiemmin

Jos sovellus on julkaistu Play-kaupassa ja saanut sieltä accessibility-hyväksynnän, sovellusta ei ilmoiteta vaaratekijänä, vaikka sovellus olisi asennettu muualta kuin Play-kaupasta.

Eli tuollaisella rajapinnalla ei voi tsekata. jos se softa voi olla toiminnallisuudeltaan iha eri.

Kiitos vastauksista.

Tosin heruttelun sijaan, ehkä se vastauskin. Siis miten pankki ohjelma tarkistaa oikeuksia vaativan sovelluksen asentajan luettavasti. Ilman että siitä menee läpi Googlen Play kaupassa hyväksytyt, mutta muualta asennetut.

Se kerrottu että pankki sovellus ei saa tietoonsa mikä sovellus saa oikeuksia, saati että saisi siitä paketista jonkin sormenjäljen minkä voisi tarkistaa.

 

[leripe]

Asensit välissä kuitenkin Novan Play Kaupasta? Voisikohan se backupin tuominen aiheuttaa sen herjan ? Tai sitten Nordea laittaa herjan myös Play Kaupasta ladatusta sovelluksesta, jos on vaan liikaa oikeuksia.

Se on aina ollut asennettuna play kaupasta.
Noo se toimi backupin tuomisenkin jälkeen ja backup ei aktivoi tuota accessbility ominaisuutta kuitenkaan.

 

[Agent_007]

Pankkisovellus ei missään vaiheessa saa tietää mitään yksityiskohtia puhelimen muista sovelluksista.

Toisten sovellusten sisään ei tosiaan pääse (eli tiedostoja ei voi lukea, tai muistia skannata), mutta Android kyllä kertoo aika paljon tietoa muista sovelluksista (esim. tuo aiemmin mainittu Package Manager antaa ApplicationInfo:n ja PackageInfo:n) ja sovellukset voivat kutsua toisten sovellusten toimintoja (ja samalla saada listan noista tarjotuista toiminnoista).

How to start activity in another application?

I have application A defined as below: <application android:icon="@drawable/icon" android:label="@string/app_name"> <activity android:name="com.example.MyExampleActivity"

stackoverflow.com

 

[mahead]

Toisten sovellusten sisään ei tosiaan pääse (eli tiedostoja ei voi lukea, tai muistia skannata), mutta Android kyllä kertoo aika paljon tietoa muista sovelluksista (esim. tuo aiemmin mainittu Package Manager antaa ApplicationInfo:n ja PackageInfo:n) ja sovellukset voivat kutsua toisten sovellusten toimintoja (ja samalla saada listan noista tarjotuista toiminnoista).

Kiitos, seison korjattuna.

 

[leripe]

Asensit välissä kuitenkin Novan Play Kaupasta? Voisikohan se backupin tuominen aiheuttaa sen herjan ? Tai sitten Nordea laittaa herjan myös Play Kaupasta ladatusta sovelluksesta, jos on vaan liikaa oikeuksia.

Noo kokeilin ensiki poistaa nordean sovelluksem ja asentaa takaisin. Ei auttanut.
Reinstall nova launcher ja backup palautus sekä accessibility päälle. Nordean sovellus ei herjaa.
Vaikea sanoa mikä tuon tunnistuksen tuhoaa.

 

[Sommite]

Toisten sovellusten sisään ei tosiaan pääse (eli tiedostoja ei voi lukea, tai muistia skannata), mutta Android kyllä kertoo aika paljon tietoa muista sovelluksista (esim. tuo aiemmin mainittu Package Manager antaa ApplicationInfo:n ja PackageInfo:n) ja sovellukset voivat kutsua toisten sovellusten toimintoja (ja samalla saada listan noista tarjotuista toiminnoista).

Tätä on rajoitettu Android 11:stä alkaen, eli muiden pakettien näkyvyyteen pitää olla peruste: tietyt paketit näkyvät automaattisesti, toiset saa näkymään pyynnöstä, esim. luettelemalla tarvittavat paketit nimeltä tai toteutetun intentin mukaan, ja erityisestä syystä voi saada oikeuden nähdä kaikki asennetut paketit, jos on vaikka järjestelmänhallintasovellus.