Danske Bankin ja Nordean sovellukset kieltäytyvät toimimasta liikaa oikeuksia hamuavien tuntemattomista lähteistä asennettujen sovellusten rinnalla

[pulatunnus]

Integrity-rajapinta erottelee sovellukset sen mukaan, onko ne asennettu Play-kaupasta vai ei. Samsungin kauppa laskettaneen tässä ulkopuoliseksi, koska kuvauksesta ei ilmene, että sillä olisi erityisasema. Sen sijaan Samsungin tai muun valmistajan vakiona asentamat järjestelmäsovellukset lasketaan tunnetuiksi.

Eli pankin sovelluksen kehittäjät voisivat halutessaan luottaan siihen että jos sovellus on Play kaupasta saatavilla ja hyväksyttynä, mutta on sivuladattu. No sinänsä kai olisi aika tarpeetonta, käyttäjä voi sen käydä lataamassa Play kaupassa. Arkisin tilanne varmaan se kun vaihdetaan puhelinta ja siirretään sovellukset vanhasta puhelimesta uuteen.

Mutta Samsungilla täytyy sitten olla oma rajapinta sitä kautta asenneteuista sovelluksista, saako pankin sovellus sieltä tarkempaa tietoa, vai miten se varmistaa että asennettu oikeuksia käyttävä sovellus on nimenomaan Samsungin kaupasta asennettu. (koska sitä tietoa ei saa Googlen rajapinnoista)

 

[Agent_007]

Eli pankin sovelluksen kehittäjät voisivat halutessaan luottaan siihen että jos sovellus on Play kaupasta saatavilla ja hyväksyttynä, mutta on sivuladattu.

Tuohon ei voi luottaa. Eli sovelluksen tekijä voi tehdä sovelluksesta uuden/toisen version, ja allekirjoittaa sen samalla allekirjoituksella kuin mitä hän käyttää Google Playssä (oletuksella siis, että kyseessä on noita 2021 vuoden tai vanhempia allekirjoitusavaimia), jonka jälkeen hän voi jaella kahta eri asennuspakettia.

vai miten se varmistaa että asennettu oikeuksia käyttävä sovellus on nimenomaan Samsungin kaupasta asennettu. (koska sitä tietoa ei saa Googlen rajapinnoista)

Tuo aiemmassa viestissäni mainitsemani packageManager.getInstallSourceInfo on Androidiin sisäänrakennettuna, eli se ei vaadi Googlen verkkopalveluiden käyttämistä.

 

[pulatunnus]

Tuohon ei voi luottaa. Eli sovelluksen tekijä voi tehdä sovelluksesta uuden/toisen version, ja allekirjoittaa sen samalla allekirjoituksella kuin mitä hän käyttää Google Playssä (oletuksella siis, että kyseessä on noita 2021 vuoden tai vanhempia allekirjoitusavaimia), jonka jälkeen hän voi jaella kahta eri asennuspakettia.

Ok, eli oletin asiayhteydessä että nimenomaan tunnistaa jostain sormenjäjestä että on sama versio kuin hyväksytty.
No jos ei, niin pankki sovellus ei voi siihen luotaa.

Tuo aiemmassa viestissäni mainitsemani packageManager.getInstallSourceInfo on Androidiin sisäänrakennettuna, eli se ei vaadi Googlen verkkopalveluiden käyttämistä.

Sori tyhmäily. tipotellen vastauksia.

Eli tuolla saa tietää oikeuksia vaativat sovellukset ja sillä saa tiedon millä asennettu.
Ja pankki sovellus ensin tsekkaa listan oikeuksia vaativista sovelluksista jos lista, niin sitten tsekkaa millä asennettu. Jos on luotettu asentaja niin jatkaa toimintaa, jos ei ole luotettu asentaja niin ei jatka. (*

Ilmeisesti pystyy tsekkaan myös varmenteen, että asentaja on aito.

Mutta se mistä lähti liikkeelle niin ei ole alusta estettä sille että pankki voisi hyväksy vaikka sen F-droin jos sille luotettavat prosessit ja sillä olisi asiakas kunnassa kysyntää. Käytännössä Nordean markkina-alueella ei taida olla valmistajasta riippumattomia sovelluskauppoja joilla olisi kysyntää ja vielä prosessit kunnossa, tai pinkka kunnossa vauhdittaan sitä.

(*
Siis haen sitä että pankkiohjelma saa luotettavan tiedon millä asentajalla ne oikeuksia vaatineet/saanet ohjelmat asennettu.
Onko jossain vaiheessa se on kadonnut että saa tiedon asennetuista paketeista.

 

[mahead]

Eli tuolla saa tietää oikeuksia vaativat sovellukset ja sillä saa tiedon millä asennettu.

Faktatietoa ei ole, joten joku voi korjata tarvittaessa. Olen kuitenkin kohtalaisen varma, ettei se Android jaa pankkisovellukselle mitään listaa asennetuista sovelluksista ja niiden allekirjoituksista tms., vaan se pankkisovellus kysyy puhelimelta että "Onko tämä puhelin luotettava kriteereillä X, Y ja Z", ja puhelin vastaa siihen kysymykseen joko "Kyllä" tai "Ei".

Pankkisovellus ei missään vaiheessa saa tietää mitään yksityiskohtia puhelimen muista sovelluksista.

 

[pulatunnus]

Faktatietoa ei ole, joten joku voi korjata tarvittaessa. Olen kuitenkin kohtalaisen varma, ettei se Android jaa pankkisovellukselle mitään listaa asennetuista sovelluksista ja niiden allekirjoituksista tms., vaan se pankkisovellus kysyy puhelimelta että "Onko tämä puhelin luotettava kriteereillä X, Y ja Z", ja puhelin vastaa siihen kysymykseen joko "Kyllä" tai "Ei".

Pankkisovellus ei missään vaiheessa saa tietää mitään yksityiskohtia puhelimen muista sovelluksista.

Vähän tipotellen tietoa tippuu.

No oleellista on että saa ainakin sen tiedon että millä asentajilla oikeuksia saaneet sovellukset on asennettu. ja nimenomaan sen että ne on sillä asennettu.

Aiemmin

Jos sovellus on julkaistu Play-kaupassa ja saanut sieltä accessibility-hyväksynnän, sovellusta ei ilmoiteta vaaratekijänä, vaikka sovellus olisi asennettu muualta kuin Play-kaupasta.

Eli tuollaisella rajapinnalla ei voi tsekata. jos se softa voi olla toiminnallisuudeltaan iha eri.

Kiitos vastauksista.

Tosin heruttelun sijaan, ehkä se vastauskin. Siis miten pankki ohjelma tarkistaa oikeuksia vaativan sovelluksen asentajan luettavasti. Ilman että siitä menee läpi Googlen Play kaupassa hyväksytyt, mutta muualta asennetut.

Se kerrottu että pankki sovellus ei saa tietoonsa mikä sovellus saa oikeuksia, saati että saisi siitä paketista jonkin sormenjäljen minkä voisi tarkistaa.

 

[leripe]

Asensit välissä kuitenkin Novan Play Kaupasta? Voisikohan se backupin tuominen aiheuttaa sen herjan ? Tai sitten Nordea laittaa herjan myös Play Kaupasta ladatusta sovelluksesta, jos on vaan liikaa oikeuksia.

Se on aina ollut asennettuna play kaupasta.
Noo se toimi backupin tuomisenkin jälkeen ja backup ei aktivoi tuota accessbility ominaisuutta kuitenkaan.

 

[Agent_007]

Pankkisovellus ei missään vaiheessa saa tietää mitään yksityiskohtia puhelimen muista sovelluksista.

Toisten sovellusten sisään ei tosiaan pääse (eli tiedostoja ei voi lukea, tai muistia skannata), mutta Android kyllä kertoo aika paljon tietoa muista sovelluksista (esim. tuo aiemmin mainittu Package Manager antaa ApplicationInfo:n ja PackageInfo:n) ja sovellukset voivat kutsua toisten sovellusten toimintoja (ja samalla saada listan noista tarjotuista toiminnoista).

How to start activity in another application?

I have application A defined as below: <application android:icon="@drawable/icon" android:label="@string/app_name"> <activity android:name="com.example.MyExampleActivity"

stackoverflow.com

 

[mahead]

Toisten sovellusten sisään ei tosiaan pääse (eli tiedostoja ei voi lukea, tai muistia skannata), mutta Android kyllä kertoo aika paljon tietoa muista sovelluksista (esim. tuo aiemmin mainittu Package Manager antaa ApplicationInfo:n ja PackageInfo:n) ja sovellukset voivat kutsua toisten sovellusten toimintoja (ja samalla saada listan noista tarjotuista toiminnoista).

Kiitos, seison korjattuna.

 

[leripe]

Asensit välissä kuitenkin Novan Play Kaupasta? Voisikohan se backupin tuominen aiheuttaa sen herjan ? Tai sitten Nordea laittaa herjan myös Play Kaupasta ladatusta sovelluksesta, jos on vaan liikaa oikeuksia.

Noo kokeilin ensiki poistaa nordean sovelluksem ja asentaa takaisin. Ei auttanut.
Reinstall nova launcher ja backup palautus sekä accessibility päälle. Nordean sovellus ei herjaa.
Vaikea sanoa mikä tuon tunnistuksen tuhoaa.

 

[Sommite]

Toisten sovellusten sisään ei tosiaan pääse (eli tiedostoja ei voi lukea, tai muistia skannata), mutta Android kyllä kertoo aika paljon tietoa muista sovelluksista (esim. tuo aiemmin mainittu Package Manager antaa ApplicationInfo:n ja PackageInfo:n) ja sovellukset voivat kutsua toisten sovellusten toimintoja (ja samalla saada listan noista tarjotuista toiminnoista).

Tätä on rajoitettu Android 11:stä alkaen, eli muiden pakettien näkyvyyteen pitää olla peruste: tietyt paketit näkyvät automaattisesti, toiset saa näkymään pyynnöstä, esim. luettelemalla tarvittavat paketit nimeltä tai toteutetun intentin mukaan, ja erityisestä syystä voi saada oikeuden nähdä kaikki asennetut paketit, jos on vaikka järjestelmänhallintasovellus.

 

[Teura]

Olen aina ihmetellyt tätä pankkien sekoilua sovellustensa kanssa, että miksi noita pitää rajoittaa.
Minä kirjoitan tätäkin viestiä Windows-koneeltani, jonne minulla on täydet admin-oikeudet ja asennettuna ties mitä, ja silti pääsen kaikkiin verkkopankkeihin tekemään aivan mitä haluan ilman että kukaan valittaa mitään. Puhelimessa? Kaikki sovellukset ovat uhkia joiden takia pitää estää täysin pääsy minnekään, vaikka puhelimet ovat (ainakin käsittääkseni) yhä ympäristöinä huomattavasti turvallisempia kuin peruskäyttäjän Windows-asennus.

 

[pulatunnus]

Olen aina ihmetellyt tätä pankkien sekoilua sovellustensa kanssa, että miksi noita pitää rajoittaa.
Minä kirjoitan tätäkin viestiä Windows-koneeltani, jonne minulla on täydet admin-oikeudet ja asennettuna ties mitä, ja silti pääsen kaikkiin verkkopankkeihin tekemään aivan mitä haluan ilman että kukaan valittaa mitään. Puhelimessa? Kaikki sovellukset ovat uhkia joiden takia pitää estää täysin pääsy minnekään, vaikka puhelimet ovat (ainakin käsittääkseni) yhä ympäristöinä huomattavasti turvallisempia kuin peruskäyttäjän Windows-asennus.

Jos selainpohjaista ei tarvitsisi niin pankit sen varmaan sulkisi. Se on ihan riski, ja jatkuvasti tapahtuu, se on hinta mikä kannattaa maksaa.

Se että joudutaan sietään selain pohjaisissa tappioita, niin ei vähennä tarvetta muualla vähentää riskejä, varsinkin jos niiden torjumisella on pieni hinta.

Monella pankin asiakkaalla se mobiili on osa sen selainpohjaisen käyttön turvallisuutta, tunnistukset, vahvistukset jne. Eli sen mobiilin tilkitseminen lisää sen työpöydän turvallisuutta.

 

[ROG]

Onko raportoitu Suomessa yhtää tapausta jossa rahat olisi viety, ilman että käyttäjä itse hyväksyy siirron? Toki S-Pankin buginen verkkopankki poislukien.

 

[pulatunnus]

Onko raportoitu Suomessa yhtää tapausta jossa rahat olisi viety, ilman että käyttäjä itse hyväksyy siirron? Toki S-Pankin buginen verkkopankki poislukien.

On.

Spoileri

Siis pankkien verkkopankeista, enemmän ja vähemmän isoja summia, varmaan ihan kokonaan putsauksiakin.
Sitten päälle ne missä uhria itseään on harhautettu hyväksymään siirto, tai jopa harhautettu tekemään koko siirto
Kaikki ei ole ylittäneet uutiskynnystä, harva uhri haluaa uutisoitavan tapaustaan, ja kaikki ei muutakautta päädy toimittajien eteen ja siitä vielä jullkaisuun

 

[ROG]

On.

Spoileri

Siis pankkien verkkopankeista, enemmän ja vähemmän isoja summia, varmaan ihan kokonaan putsauksiakin.
Sitten päälle ne missä uhria itseään on harhautettu hyväksymään siirto, tai jopa harhautettu tekemään koko siirto
Kaikki ei ole ylittäneet uutiskynnystä, harva uhri haluaa uutisoitavan tapaustaan, ja kaikki ei muutakautta päädy toimittajien eteen ja siitä vielä jullkaisuun

No annatko linkin tälläiseen tapaukseen. Raportoimisella tarkoitan että on tuotu julkisuuteen, en johonkin pankin omaan intraan.

 

[pulatunnus]

No annatko linkin tälläiseen tapaukseen. Raportoimisella tarkoitan että on tuotu julkisuuteen, en johonkin pankin omaan intraan.

Pitäisi varmaan googlettaa.

Mutta menetelmät siis tyyliin, saatu haltuun käyttäjätunnus ja avain listat, se ihan se syy miksi niistä pyritty luopuun.
Isoa julkisuutta on saaneet varoittava tapaus missä uhria harhauttamalla saatu itselle mobilitunnistamiseen tarvittavat jutut.
Saatu haltuun uhrin mobiililaite tarvittavilla pääsykoodeilla.
Jos mennään kauemmaksi niin sitten lisää

Jos muistan niin täytyy jossain välissä googlettaa

 

[Grez]

Olen aina ihmetellyt tätä pankkien sekoilua sovellustensa kanssa, että miksi noita pitää rajoittaa.
Minä kirjoitan tätäkin viestiä Windows-koneeltani, jonne minulla on täydet admin-oikeudet ja asennettuna ties mitä, ja silti pääsen kaikkiin verkkopankkeihin tekemään aivan mitä haluan ilman että kukaan valittaa mitään. Puhelimessa? Kaikki sovellukset ovat uhkia joiden takia pitää estää täysin pääsy minnekään, vaikka puhelimet ovat (ainakin käsittääkseni) yhä ympäristöinä huomattavasti turvallisempia kuin peruskäyttäjän Windows-asennus.

Nykyisinhän nuo pankkien mobiiliapit toimivat myös tunnuslaitteena. Pankit eivät tarjoa tunnistuslaitteena toimimista Windows-koneille. En tosin tiedä saisiko sen kikkailtua asentamalla vaikka android-emulaattorin.

 

[Leatherman]

Sain muuten kierrettyä ainakin Danske Bankin rajoituksen MacroDroidilla. Todennäköisesti toimii Nordeallakin mutta en nyt jaksanut testata sitä. Tein automaation, joka poistaa sideloadatun sovelluksen oikeudet esteettömyyspalveluihin, kun mobiilipankki avataan. Vastaavasti oikeudet menee takaisin päälle, kun mobiilipankki suljetaan. Välillä joutuu avaamaan mobiilipankin kahteen kertaan, kun MacroDroid ei ehdi muuttaa asetuksia mutta testailujen mukaan vähintään toisella avaamiskerralla kerralla onnistuu.

Android 15 ja Nordealla ei auttanut vaikka uudelleen availi, mutta tämä alla toimii.
Shortcutin voi luoda kun painaa kotinäyttöä pohjassa -> widget -> Macrodroid Shortcut (huom älä ota widgettejä, vaan shortcut) -> valitse sille Nordean kuvake.
Ja jos pitää hyppää pois hetkellisesti ohjelmasta ja tulla takaisin, niin voi aukasta uudelleen työpöydältä kuvakkeen ja Nordea jatkaa siitä mihin viimeks jäit.

 

[FlyingAntero]

Android 15 ja Nordealla ei auttanut vaikka uudelleen availi, mutta tämä alla toimii.
Shortcutin voi luoda kun painaa kotinäyttöä pohjassa -> widget -> Macrodroid Shortcut (huom älä ota widgettejä, vaan shortcut) -> valitse sille Nordean kuvake.
Ja jos pitää hyppää pois hetkellisesti ohjelmasta ja tulla takaisin, niin voi aukasta uudelleen työpöydältä kuvakkeen ja Nordea jatkaa siitä mihin viimeks jäit.

Mietin tuohon jotain viive ratkaisua aiemmin mutta en jaksanut alkaa hieromaan, kun vaikutti toimivan itsellä vähintään toiselle kokeilulla. Mutta tuo vaikuttaa varsin näppärältä fiksiltä. Editoin sinun viestin minun aiemman viestin kylkeen, niin löytyy parempi ratkaisu ketjua lukeville .