Danske Bankin ja Nordean sovellukset kieltäytyvät toimimasta liikaa oikeuksia hamuavien tuntemattomista lähteistä asennettujen sovellusten rinnalla

Vastaan tähän lainauksena oman viestin toisesta ketjusta:



Boomer-väki joo. Ja kun katsoo kansakunnan ikäjakaumaa, niin niitä kyllä riittää.
Toisaalta tietokoneissa (joita puhelimetkin imo ovat) on ”sideloadattu” eli siis ihan vaan asennettu ohjelmia ilman, että siellä olisi jokin keskitetty taho välissä kuratoimassa sisältöä yms. iät ajat ja hyvä niin.

Toki jotkut ovat asennelleet haittaohjelmia tai muuten sotkeneet laitteensa solmuun ja sillä on sitten ollut ainakin heille itselleen (ja välillä muillekin) ikäviä seurauksia. Näitä ehkäisemään on ollut jonkinlaisia tietoturvatuotteita jotka lienevät toimineen vaihtelevalla menestyksellä tai esim. eri käyttäjien oikeuksia on muokattu, eli esim kaikilla käyttäjätileillä ei ole admineita.

Olen sitä mieltä, että ”normikäyttäjän” ei kuuluisi olla tietokonelaitteen ylläpitäjä, oli se sitten mobiili tai ei, vaan mikäli osaaminen tai itseluottamus ei riitä niin tämä rooli tulisi sitten ulkoistaa ja käyttäjä ajelkoon sellaisilla oikeuksilla, että mitään supermassiivista tietoturvaongelmaa ei asenteluilla saa aikaiseksi. (Meillä tosin ei vielä taida olla mitään fiksua palvelua, jolla toteuttaa tätä, jos lähipiiristä ei satu löytymään nörttiä, jolle tällaiset voi ulkoistaa. Ehkä tässä olisi sitten liikeideaa 🤔)

Olen itse vakaasti sitä mieltä, että laitteen ylläpitäjä päättäköön mitä niihin laitteisiin on asennettuna ja mistä ja jos pankkiapin toimimattomuudelle ei mitään teknistä estettä ole niin sitten sen kuuluisi toimia. Jos mietin, että kenen sen laitteen tietoturvasta tulisi vastata niin kyllä se on admini, eikä Danske Bank (varsinkaan, kun pankkien metodit ovat osastoa ”ammutaan kärpästä singolla”) ja jos ylläpitäjän mielestä tietoturvariskit ovat huomioitu tarpeeksi hyvin niin eikun kovaa ajoa vain. Jos appi kompromissina haluaa varoittaa, että laitteessa on havaittu asioita X, jotka voivat heikentää tietoturvaa niin sekin on ok. Se on sitten ylläpitäjän vastuulla arvioida onko riski minkä suuruinen ja mahdollinen hyöty sen riskin realisoitumiseen nähden riittävän suuri. 🤷‍♂️

Ei minusta siis pankillakaan korvausvelvollisuutta tulisi olla, jos käyttäjä omalla huolimattomuudellaan aiheuttaa omaan laitteeseensa isoja tietoturvaongelmia esim aiheuttamalla tilanteen, että laitteen ruudun sisältö on ulkopuolisen urkittavissa yhtään sen enempää kuin jos käyttäjä ns. face to face antaisi tunnuksensa jollekin. ( Mutta toki normaali rikosprosessi ja mitä virkavalta voikaan tehdä rahojen takaisin saamiseksi tietenkin kuuluu asiaan, kun eihän se, että ovet on auki tarkoita, että kaiken siellä olevan saa viedä, mutta mitä mä haen takaa on, että jos mä jättäisin vaikka fillarini keskelle katua lukitsematta sitä niin ihan ymmärrettävää, että syytä olisi sen verran paljon peilissä vastassa, että vakuutusyhtiöltä korvauksia ei kuuluisi tulla, mutta toki jos pöllijä saadaan kiinni niin hänen tulisi pyörä palauttaa. 😅)

Nää siis näkemykset, jos käyttäjä halutessaan menee ”hyväksyttyjen sovelluskauppojen ulkopuolelle”. Jos noista kaupoista ladatut sovellukset osoittautuvat haittaohjelmiksi niin silloin vastuiden kuuluisi mennä niiden kauppojen suuntaan.

Toisaalta sideloadauksen hyväksymisen olisi oltava riittävän vaikeaa ”pahimmalle töhölle”, jotta häntä saadaan edes vähän suojeltua itseltään, mutta silti riittävän mutkatonta, että se sujuu ”keneltä vaan”.

Oisko esim jokin salasanalukitus, joka olisi jotenkin sidoksissa siihen laitteeseen, tyyliin imei/mac-osoite tms? Tavallaan houkuttaisi joku laitteen ohjekirjaan laitettu avain, kun se on yleensä se vihoviimeinen paikka, johon nuo suurimmat käyttäjäperäisiä ongelmia aiheuttavat ihmiset vilkaisevat, mutta se olisi vähän ikävä käytettyjen puhelimien suhteen. 🙈

Siitä mä olen varma, että jos siellä vaan lukisi: ”Jos et täysin tiedä mitä teet ÄLÄ KOSKE TÄHÄN!”, niin kaikilla olisi sideloadaukset asetuksista hyväksyttynä välittömästi. 🤭
 
Olisko tälle jotain ihan omaa ketjua.
Tai jos perustaa uutta ketjua, niin aiheeksi joku yleinen. missä keskustelua laite ja alusta/käyttöjärjestelmä valmistajien kontrollsita mitä saa asentaa, ilman valmistajan/alustan haltijan hyväksyntää. ja miten se sallia. yleensä ja miten määräävässä markkina-asemassa olevan turvatta kilpailu.
Tein nyt
 
Sain muuten kierrettyä ainakin Danske Bankin rajoituksen MacroDroidilla. Todennäköisesti toimii Nordeallakin mutta en nyt jaksanut testata sitä. Tein automaation, joka poistaa sideloadatun sovelluksen oikeudet esteettömyyspalveluihin, kun mobiilipankki avataan. Vastaavasti oikeudet menee takaisin päälle, kun mobiilipankki suljetaan. Välillä joutuu avaamaan mobiilipankin kahteen kertaan, kun MacroDroid ei ehdi muuttaa asetuksia mutta testailujen mukaan vähintään toisella avaamiskerralla kerralla onnistuu.

Edit: Alla olevassa viestissä ohjeet viiveen tekemiseen tuohon automaation, niin pitäisi toimia paremmin (poistuu ongelma, että MacroDroid ei välillä kerkeä muuttaa asetusta), credits @Leatherman

Screenshot_20240922_123527_MacroDroid.jpg


MacroDroidille täytyy antaa WRITE_SECURE_SETTINGS oikeudet ADB:n kautta mutta ei siis vaadi roottia tms. Ihan vakiona voi siis käyttää puhelinta.
Saakohan vastaavan tehtyä Taskerilla, se olisi valmiiksi asennettuna?
Mulla ei Nova aiheuta mitään ongelmia vaikka on tuo accessibility näytönsammutus aina ollut käytössä, mutta Bitwarden sen sijaan disabloi Nordean pankin. Kun otan Bitwardenin esteettömyysluvat pois niin pankki aukeaa, ja sen jälkeen voin palauttaa Bitwardenin luvat. Nordea ei edes lakkaa toimimasta heti tuon jälkeen, vaan useamman kerran antaa kirjautua sisään hienosti, ennen kuin yhtäkkiä taas huomaa että iso paha Bitwarden vakoilee.
Nordea on mun "kakkospankki" jota en kovin usein käytä, mutta sen verran usein että tuo häiritsee joka tapauksessa. Kunhan ei OP tuohon sortuisi...
 
Saakohan vastaavan tehtyä Taskerilla, se olisi valmiiksi asennettuna?
Mulla ei Nova aiheuta mitään ongelmia vaikka on tuo accessibility näytönsammutus aina ollut käytössä, mutta Bitwarden sen sijaan disabloi Nordean pankin. Kun otan Bitwardenin esteettömyysluvat pois niin pankki aukeaa, ja sen jälkeen voin palauttaa Bitwardenin luvat. Nordea ei edes lakkaa toimimasta heti tuon jälkeen, vaan useamman kerran antaa kirjautua sisään hienosti, ennen kuin yhtäkkiä taas huomaa että iso paha Bitwarden vakoilee.
Nordea on mun "kakkospankki" jota en kovin usein käytä, mutta sen verran usein että tuo häiritsee joka tapauksessa. Kunhan ei OP tuohon sortuisi...
Taskerin AutoTools lisäosan SecureSettings toiminnolla ilmeisesti onnistuisi mutta siinäkin pitää antaa ADB:llä lisää oikeuksia. Oliko sinulla siis Play Kaupasta asennettu molemmat sovellukset (Nova ja Bitwarden).
 
Viimeksi muokattu:
  • Tykkää
Reactions: Hcc
Taskerin AutoTools lisäosan SecureSettings toiminnolla ilmeisesti onnistuisi mutta siinäkin pitää antaa ADB:llä lisää oikeuksia. Oliko sinulla siis Play Kaupasta asennettu molemmat sovellukset (Nova ja Bitwarden).
Luulin että Bitwarden olisi Playsta, mutta ei näköjään ollut jostain syystä, liekö sitten suoraan valmistajan sivuilta aikoinaan ladattu. Kokeilen vaihtaa.
 
En tiedä sovelluksista, mutta tänään hävinnyt Nordeasta kokonainen tili, ja sen myötä n. 3000€ käteistä.
Olisi syytä alkaa pankin pikkuhiljaa toimimaan...
 
Nordean yleiset ongelmat ovat jatkuneet jo useita viikkoja, mutta toi tilien näkymättömyys oli uusi ongelma, joka pitäisi olla korjaantunut
Tilien näkymättömyys oli itselleni nyt toinen kerta. Vuosi tai kaksi sitten oli hetken aikaa tilejä kateissa. Molemmilla kerroilla näkyi pelkkä käyttelytili ja luottokortti. Muistaakseni tästäkin uutisoitiin, niin en silloinkaan hermoillut. Eli näinköhän tuli nytkään lopullisesti kuntoon? :hmm:
 
Olen itse vakaasti sitä mieltä, että laitteen ylläpitäjä päättäköön mitä niihin laitteisiin on asennettuna ja mistä ja jos pankkiapin toimimattomuudelle ei mitään teknistä estettä ole niin sitten sen kuuluisi toimia. Jos mietin, että kenen sen laitteen tietoturvasta tulisi vastata niin kyllä se on admini, eikä Danske Bank (varsinkaan, kun pankkien metodit ovat osastoa ”ammutaan kärpästä singolla”) ja jos ylläpitäjän mielestä tietoturvariskit ovat huomioitu tarpeeksi hyvin niin eikun kovaa ajoa vain. Jos appi kompromissina haluaa varoittaa, että laitteessa on havaittu asioita X, jotka voivat heikentää tietoturvaa niin sekin on ok. Se on sitten ylläpitäjän vastuulla arvioida onko riski minkä suuruinen ja mahdollinen hyöty sen riskin realisoitumiseen nähden riittävän suuri. 🤷‍♂️

Ei pankit mistään sun tietoturvasta ole kiinnostunut, vaan omista rahoistaan.

Ei minusta siis pankillakaan korvausvelvollisuutta tulisi olla, jos käyttäjä omalla huolimattomuudellaan aiheuttaa omaan laitteeseensa isoja tietoturvaongelmia esim aiheuttamalla tilanteen, että laitteen ruudun sisältö on ulkopuolisen urkittavissa yhtään sen enempää kuin jos käyttäjä ns. face to face antaisi tunnuksensa jollekin.

Kun pankkia kuitenkin vaaditaan korvaamaan, niin se on nimenomaan pankilla velvollisuus näyttää käyttäjän toimineen huolimattomasti. Pankit eivät voi vedota sun mielipiteeesi.
Kun koko ajan erilaisia huijauksia tehdään suuremmalla tahdilla, ja täten pankkia vaaditaan korvaavaan milloin mitäkin, niin en näy kovin yllättävänä että pankit pyrkivät kaihtamaan kaikenlaisia riskejä. Kaikenlainen selvitystyökin maksaa, ja pankki ei helpolla saa siitä asiakkaalta mitään korvausta.

Odottaisin että muutkin pankit ottavat samanlaisen linjan.
 
Ei pankit mistään sun tietoturvasta ole kiinnostunut, vaan omista rahoistaan.



Kun pankkia kuitenkin vaaditaan korvaamaan, niin se on nimenomaan pankilla velvollisuus näyttää käyttäjän toimineen huolimattomasti. Pankit eivät voi vedota sun mielipiteeesi.
Kun koko ajan erilaisia huijauksia tehdään suuremmalla tahdilla, ja täten pankkia vaaditaan korvaavaan milloin mitäkin, niin en näy kovin yllättävänä että pankit pyrkivät kaihtamaan kaikenlaisia riskejä. Kaikenlainen selvitystyökin maksaa, ja pankki ei helpolla saa siitä asiakkaalta mitään korvausta.

Odottaisin että muutkin pankit ottavat samanlaisen linjan.

Noissa huijaustilanteissa aivan varmasti korvausvaatimuksia pankeille tulee paljon, mutta toisaalta niiden torppaamisenkin luulisi onnistuvan melko vedenpitävästi, kun lähtökohtaisesti noissa asiakas on itse huijarille ne pankkitunnukset antanut käyttöön. (Vaikkakin tahattomasti toki.) Kauheasti ei ole tullut vastaan, että niissä olisi varsinaisesti mitään edistyneitä tietoteknisiä menetelmiä käytetty vaan yleensä vaan kalasteltu asiakkaalta tiedot esimerkiksi jollain tekstarilla, jossa on linkki huijaussivulle. (Ps. Voin ylpeydellä ilmoittaa, että omalle iäkkäälle äitilleni on selvästi paasaus mennyt perille ja hän ei enää uskalla avata linkkejä edes, jos ne tulee minulta. 🥹)

Eli siis jos tilanne on vaatinut, että huijarilla on tiedossaan/hallussaan jotain, jonka kuuluisi olla vain asiakkaan itsensä tiedossa/hallussa niin luulisi huolimattomuuden täyttyvän ihan sillä, että selvästikin ne jonkun toisen tietoon/haltuun ovat päätyneet ja todistustaakka, että ne olisivat sieltä pankin puolelta vuotaneet jäisi mitä todennäköisimmin asiakkaalle.

Varmasti jotakin selvittämistyötä voi syntyä (vaikkakin enemmän ”asiakaspalvelullisista syistä”), jos asiakas kiven kovaan väittää, että hän ei mitään ole minnekään syöttänyt tms (eli hänen korvausvaateensa perustuisi siihen, että joku olisi päässyt sinne pankin puolelle murtautumaan ilman asiakkaan mitään inputtia), mutta oletettavasti ihan ”perusaspa” tarvittaessa voisi järjestelmistä saada selville, että täältä on lähtenyt tunnistautumispyyntö aikana x ja se on hyväksytty samalla laitteella kuin yleensäkin ja vaatinut PIN-koodia/mitä varmennetta noi nyt milläkin pankilla vaatiikaan yms.

Jotkut asiakkaat toki varmasti jäävät vänkäämään, mutta niinhän osa jää aina, jos jokin ratkaisu ei mene asiakkaan mielestä niin kuin hän tahtoisi. 😅

Toinen suht. pitävä argumentti pankin näkökulmasta olisi vedota siihen, että asiakasta on ohjeistettu/on yleinen tietoturvakäytäntö, että pankkipalveluihin ei mennä minkään viestilinkin kautta vaan navigoidaan suoraan siihen osoitteeseen. Tuo toki riippuu siitä, että onko jotakin tuollaista asiakkaille viestitty tai onko esim. palveluehdoissa jotain yms.

Ja sit tosiaan se kolmas, että asiakkaan laitteen tietoturvasta vastaa aina asiakas, eikä ainakaan pankki ja jos se ei ole ollut kunnossa niin pankilla ei siinä ole osaa eikä arpaa. 🤷‍♂️

Aika normaali tilanne monessa muussakin yrityksessä aspatilanteessa on, että asiakkaalla on jotain vaateita yrityksen suuntaan ja aspantäti/setä saa selvitellä, että onko vaatteessa jotain perää ja mikäli ei ole niin kertomaan asiakkaalle tämän (ja yrittää perustella miksi kanta on tämä).

Omat kokemukset tältä saralta (vaikkakaan eivät pankkialaan liity) ovat, että yleensä jos asiakas on itse myötävaikuttanut omalla toiminnallaan kuvioon niin korvausvelvollisuutta harvemmin on tai se vähintäänkin pienenee, kun ymmärrettävästi yritykset ovat velvollisia korvaamaan, jos haitta johtuu yrityksen virheestä. Yleensä todistustaakka siitä, että virhe on tapahtunut yrityksen puolella on melkolailla asiakkaalla.

Esimerkiksi vaikka palvelunumeroveloituksista operaattorille reklamoivat, jotka kiistävät, että minnekään ei ole soitettu niin silloin jos ne puhelut siltä asiakkaan laitteelta ovat lähteneet niin kyllä ne yleensä asiakkaan maksettavaksikin jäävät. Jotkut toki vänkäävät, että ei ole hänen laitteella tehty yms., mutta silloin jos ne järjestelmän mukaan ovat ja vielä vaikka esimerkiksi asiakkaan kotiosoitteen hujakoilla yms. niin asiakkaan puolelta pitäisi kyllä sitten saada jo jotain näyttöä, että miten tuo olisi mahdollista ilman että hän on itse käyttänyt puhelinta tai luovuttanut sitä jonkun toisen käyttöön. 😅

Olen erittäin yllättynyt, jos pankeilla vastuu asiakkaan puolelta tapahtuvalle mokailulle olisi jotenkin olennaisesti suurempi kuin mitä yleensä yrityksillä on, todistustaakasta puhumattakaan. Ainakin oma mielikuva on, että pankit ja vakuutusyhtiöt ovat niitä, jotka kaikkein parhaiten osaavat laatia sopimusehtonsa siten, että saavat kätensä pestyä about kaikesta. 😅

Ymmärrän tavallaan sen näkökulman, että tahtovat tehdä kaikkensa, etteivät asiakkaat turhaan aspaan soittelisi kiukutellakseen, koska jollekin pitää maksaa palkkaa siitä, että siihen puhelimeen vastataan, mutta päättämällä mistä omille laitteilleen asiakkaat saavat ohjelmia asentaa, jotta pääsevät pankkipalveluihin on aika outo veto ja jollain pankilla ei kuuluisi sellaista valtaa olla.
 
Noissa huijaustilanteissa aivan varmasti korvausvaatimuksia pankeille tulee paljon, mutta toisaalta niiden torppaamisenkin luulisi onnistuvan melko vedenpitävästi, kun lähtökohtaisesti noissa asiakas on itse huijarille ne pankkitunnukset antanut käyttöön....
Pankin tahto tila luulisi olevan se että asiakkaat voivat asioida turvallisesti ja että pankki voi olla riittävän varma että jokainen toimenpide on nimenomaan asiakkaan itsensä tekemä ja tahtoma. Ja myös se että pankin tunnistaminen on luetettavaa.

Kyse palveluista joiden käyttäjistä karkeasti puolet on heikompia kuin keskimääräinen täysvaltainen. Autolla ajaminen vaatii paljon enemmän, mutta autonkin pitää täyttää sitä sun tätä. vaikka olisi millainen osaaja ratissa.

Vähän toistoa aiemmista, mutta ei pankin kannata ihan 99,99999 varmaan tehdä, vaan hakea kustannustehokasta kompromissiä, missä pohditaan "hävikin", käytettäyyven, hinnan suhdetta. Suomessa pankki joutuu myös miettimään niiden tunnistuspalveluiden käyttäjiä, ei ne voi skipata vastuuta siellä että emme vastaa onko tunnistettu se mikä tieto me välitetään. Vaan se tunnistuksen on oltava myös luotettava.

Pankit voi toki söhlätä, joku tiukka tieturva johtaja hännystelijöineen voi ajaa huonoja ideoita läpi. "Ennakoimalla" uhkia, mutta tiettävästi valinnoissa/päätöksissä on taustalla ihan aitoa reagointia.

Ajatus että yksittäinen yksityisasiakas voisi pyytämällä hakea "isännän oikeuksia", niin miettiä kaksi asiaa.
- Miten asiakkaan kyky ja luotettavuus varmistetaan (se että kyvyt riittää ja että myös luotettava, ja pystyykö kantaa vastuun)
- Onko kuitenkaan kysyntää
 
Tulipa testattua uudelleen tuota KDE Connectia ja nyt näyttäis toimivan Danske Bankin kanssa. Taisin olla antanu liikaa käyttöoikeuksia sovellukselle viimeksi. Outoa kyllä ettei pankkisovellus silloin alkanut mitään kitisemään kun tuota viimeksi asettelin. Toimi pitkään kumpikin sovellus ilman ongelmia.
 
Kaksi asennusta on Play kaupan ulkopuolelta, toinen on Huawein kelloihin menevä Huawei Health.
Ainakaan vielä ei ole verkkopankista mitään viestiä tai ilmoitusta.
 
GrapheneOS foorumilla joku oli ollut yhteydessä Nordean kehitystiimiin ja sovellus tosiaan blokkaa oletuksena kaikki Play Kaupan ulkopuolelta ladatut sovellukset, joilla oikeus esteettömyyspalveluihin. Järjestelmäsovellukset saattavat kuitenkin aiheuttaa ongelmia, sillä ne eivät välttämättä ole peräisin Play Kaupasta (kts. Tietoturvajärjestöt vaativat Googlea poistamaan bloatwaren Android-laitteista). Ainakin Talkback aiheutti keväällä blokkauksen mutta se korjattiin alla olevan henkilön yhteydenoton ansiosta.
Update: by (ab)using personal connections I was able to reach the team in Nordea that develops this app and explained the situation. I don't know if the systemic issue of blacklisting system apps was addressed, but specifically in the case of Talkback they agreed it was a false positive and changed it. The rules are stored server-side so the app is already fixed. I checked with Talkback both on and off in the accessibility settings and the app no longer complains.

At least for GrapheneOS this will be enough to fix the problem.

I also confirmed with them that the app is blacklisting any accessibility app that is turned on and the installation source is not the Play Store. This is by design.
 
Järjestelmäsovellukset saattavat kuitenkin aiheuttaa ongelmia, sillä ne eivät välttämättä ole peräisin Play Kaupasta (kts. Tietoturvajärjestöt vaativat Googlea poistamaan bloatwaren Android-laitteista).
Integrity-APIn dokumentaatiossa järjestelmäosiolle esiasennetut sovellukset rinnastetaan Play-kauppaan:
  • Play or system apps: Apps that are installed by Google Play or preloaded by the device manufacturer on the device's system partition (identified with FLAG_SYSTEM). Responses for such apps are prefixed by KNOWN_.
Valmistaja voi toki latailla sovelluksia automaattisesti myös dataosiolle, tällaiset jäänevät seulaan. Järjestelmäosio tarkoittaa päivittäiskäytössä muuttumatonta osiota, joka muuttuu vain järjestelmäpäivityksellä.
 
Huawei Health, kellon sovellus ja pari peliä on ladattu play kaupan ulkopuolelta. Ei vaikutusta pankkisovelluksen toimintaan.
 
Huawei Health, kellon sovellus ja pari peliä on ladattu play kaupan ulkopuolelta. Ei vaikutusta pankkisovelluksen toimintaan.

Ei kuulukkaan vaikuttaa, taisit lukea ylempää viestit turhan hätäseen. Se mikä vaikuttaa on jos play kaupan ulkopuoliselle ohjelmalle antaa enemmän oikeuksia, kuten Nordean tapuksessa "Accessibility" oikeus, mitä tuskin sinun ohjelmat tarvitsevat, ja sen takia sinulla pankki ohjelmat toimivatkin.
 
Tällaisten älykkäiden yksilöiden takia pankit joutuvatkin rakentamaan näitä esteitä... Käsittämätöntä, että pankki joutui korvaamaan tuon. Toivottavasti hovissa päätös kääntyy.
 
Tällaisten älykkäiden yksilöiden takia pankit joutuvatkin rakentamaan näitä esteitä... Käsittämätöntä, että pankki joutui korvaamaan tuon. Toivottavasti hovissa päätös kääntyy.
Tämä oli jo hovissa. On tosin mahdollista, että tämä ja Omakanta-tapaus pääsevät korkeimpaan oikeuteen, jotta saadaan yhtenäinen tulkinta.
 
Viimeksi muokattu:
Tämä oli jo hovissa. On tosin mahdollista, että tämä ja Omakanta-tapaus pääsevät korkeimpaan oikeuteen, jotta saadaan yhtenäinen tulkinta.
Äh, piti kirjoittaa että menee korkeimpaan oikeuteen ja kaatuu siellä, mutta jotenkin tuli tuo hovi tuohon laitettua. Mutta näköjään Suomessa paapotaan ihmisiä oikein urakalla, ettei varmasti näillä ole mitään vastuuta omista teoistaan.
 
Äh, piti kirjoittaa että menee korkeimpaan oikeuteen ja kaatuu siellä, mutta jotenkin tuli tuo hovi tuohon laitettua. Mutta näköjään Suomessa paapotaan ihmisiä oikein urakalla, ettei varmasti näillä ole mitään vastuuta omista teoistaan.
Niin no, joku tasapaino siinä on löydettävä.

Vaikka se on kiva korostaa omaa tietämystään (ja vaikka allekirjoittanutkin on aivan varmasti keskimääräistä paremmin perillä tietoturva-asioista ja nettihuijauksista) niin katson kyllä ihan omaksi eduksenikin, että joltain vasemmalta sukulaiseltaan ei voida viedä uuden henkilöauton hintaa kun tämä klikkaa ”verkkopankkiin” väärästä linkistä. Tai ylipäätään katson omaksi edukseni senkin ettei Suomesta ylipäätään kupata kovin paljon rahaa johonkin nigerialaiskirjetahoille.

Joku vastuu pitää olla yksilöllä juu, mutta joku vastuu pitää olla pankeillahan, koska muuten heillä ei olisi taloudellista intressiä estää näitä huijauksia, ja heillä on kuitenkin siihen parhaiten työkaluja.
 
Tietoturvan merkittävä parantaminen vaatisi esim. FIDO2-avainten käyttöönottoa. Niissä on suoja valesivuja vastaan niin, että käyttöjärjestelmä tai selain tarkastaa, millä sivulla ollaan, eikä avain toimi väärällä sivulla. Tällöin älypuhelin olisi melkeinpä pakollinen, mistä varmasti joku valittaisi.
 
https://www.kauppalehti.fi/uutiset/...stuuseen/bc6cc839-21c8-4e8e-8a71-7039a9e2435a
Tällaisten älykkäiden yksilöiden takia pankit joutuvatkin rakentamaan näitä esteitä... Käsittämätöntä, että pankki joutui korvaamaan tuon. Toivottavasti hovissa päätös kääntyy.
Jutussa ei selvinnyt kuinka älykkäitä uhrit oli, ja jos ketjun aiempaan keskusteluun liittyen että olisivat käyttäneet jotain vain älykkäille annettuja palveluita.

Lainaus jutusta
Käräjäoikeus katsoi, ettei kuluttaja ole antanut suostumustaan tilisiirtoon ja ettei hänen toimintaansa voitu pitää asiassa törkeänä huolimattomuutena.
Tuota ei pidä tulkita muuten kannanotoksi kuluttajan huolimattomuteen, kun oleellista ollut vain se ettei tuo raja ylittynyt.

Pankin vastuulla on se että järjestelmät on varmoja, ja se sitten taiteilee kustannus, käytettävyys, jutuissa. jos puhe vain rahasta niin perinteisesti edullisempaa hyväksyä jokin määrä läpimenneitä väärinkäytöksiä.

Jos pankki ei tee varmoja systeemeitä ja sysää vastuun kuluttajalle, niin ei kuluttaja uskalla pitää pankissa isoja summia, joita ei ole valmis menettämään.

Ymmärsin että selainpohjainen se hyökkäys sivusto, ehkä puhelimella menty tai sitten ei.

Toivottavasti hovissa päätös kääntyy.

Kuluttajana toivon ettei kerrotun perusteella muutu. Se että pankit on vastuussa johtaa siihen että pankit kehittää turvallisia tunnistautumisia.
 
Nordealla hyvä idea.. Ite käytän siis tuota Cube ACR puheluiden tallennukseen ja Nordean verkkopankki ei suostu toimimaan jos tuo on päällä. Ennen se ilmoitti, että missä vikaa ja avaa asetukset ja ota tämä pois päältä. Niin nyt kun yrittää kirjautua verkkopankkiin niin tulee vain "sinut on kirjattu ulos automaattisesti" jos tuo Cube ACR on päällä :facepalm:
 
Nordealla hyvä idea.. Ite käytän siis tuota Cube ACR puheluiden tallennukseen ja Nordean verkkopankki ei suostu toimimaan jos tuo on päällä. Ennen se ilmoitti, että missä vikaa ja avaa asetukset ja ota tämä pois päältä. Niin nyt kun yrittää kirjautua verkkopankkiin niin tulee vain "sinut on kirjattu ulos automaattisesti" jos tuo Cube ACR on päällä :facepalm:
Katsoin ohjelmaa, onko sinulla se asennettu jostain muualta kuin Play Kaupasta, tai Samsung kaupasta, ja annettu lupia, jolloin luonollisesti esto.

Tai jos noista niin sen lisäksi jokin lisäosa noiden kauppojen ulkopuolelta, ja sille lisäosaohjelmalle annettu lupia, jolloin luonollisesti esto.


Edit:
Ydin kritiikkisi taisi olla se että ohjelma ei ilmoita käyttäjälle syytä, esim laite ei ole turvallinen.
 
Viimeksi muokattu:
Katsoin ohjelmaa, onko sinulla se asennettu jostain muualta kuin Play Kaupasta, tai Samsung kaupasta, ja annettu lupia, jolloin luonollisesti esto.

Tai jos noista niin sen lisäksi jokin lisäosa noiden kauppojen ulkopuolelta, ja sille lisäosaohjelmalle annettu lupia, jolloin luonollisesti esto.

Tuo Cube ACR vaatii "helper" ohjelman asennuksen kotisivuilta toimiakseen (oman pääohjelman lisäksi google playsta), ja se helper appi tarvitsee Accessibility oikeudet josta Nordea ei tykkää koska Playn ulkopuolinen ohjelma + Accessibiility combo on punanen flägi. Accessibilityn tarvii siis siihen että ohjelma aloittaa automaattisesti puhelun tallennuksen.

Mutta tähän on helppo fixi joka löytynee sivu tai pari takaisin. Eli Macrodoidin (tai taskerin) avulla voit luoda Nordean kuvakkeella olevan pikakuvakkeen joka ottaa Cube ACR helperiltä Accessibility oikeudet pois ja avaa Nordean, niin kauan kuin Nordean ohjelma on auki, Nordea toimii normaalisti. Kun Nordean sulkee, nauhoitus saa accessibility oikeudet automaattisesti takaisin ja toimii niinkuin normaalisti.
 
Edit:
Ydin kritiikkisi taisi olla se että ohjelma ei ilmoita käyttäjälle syytä, esim laite ei ole turvallinen.

Juurikin se, ennen Nordea ilmotti suoraan mikä on vialla ja nyt vaan kirjautuu ulos automaattisesti.
No ongelma on "korjattu" nyt tuolla Macrodroidilla :tup:

Kun Nordean sulkee, nauhoitus saa accessibility oikeudet automaattisesti takaisin ja toimii niinkuin normaalisti.

Pitääkö tuohon macroon mitä muutoksia tehdä, että se toimii noin?

Tein siis tän macron itellekin. Toki piti tehdä sitten toinen mikä laittaa tuon Cuben taas päälle :hmm:
 
Joo, helpointa varmaan luoda uusi ja näinkin simppeli:

-Application closed (Nordea Mobile)
-Accessibility service (enable Cube ACR app connector)

Ainut pieni "huono puoli" tässä workaroundissa on että jos hyppäät pois Nordeasta, niin Nordean pitää avata sen ekan pikakuvakkeen kautta, eikä "task listin" kautta. Ei paha ongelma ja pystyy kuitenkin jatkamaan siitä jos jotain jäi kesken Nordeassa, eli sinäänsä mitään ei "menetä".
 
Onkos kukaan testannut miten Nordean pankkisoftat reagoivat noihin jos Nordean softat on laittettu Samsungin "Secure Folderiin"?
 
Mistäs kohtaa tämmönen löytyy Macrodroidissa? Yritin hakua ja ainoa mikä löytyy on tuo 'Launch application' muttei mitään mikää viittaisin sovelluksen sulkemiseen?
Uusi trigger -> Applications -> Application launched/closed -> Application Closed
 
Pystytkö laittamaan vaikka kuvakaappauksen? Laitoin tuon ja nyt Nordea jäi looppiin ja avaa verkkopankin joka kerta vaikka sen sulkee :lol:

Alla. Tuon shortcutin (Nordean käynnistämisen) voi luoda käyttämällä Macrodroid widgettiä ja siihen voi valita Nordean oman kuvakkeen.

1732565153637.png
 
Puhelin tarjosi päivityksiä sovelluksille ja päivitin kaikki. Tuon jälkeen ei MacroDroidi enää toimi? Kokeilin tehdä uudet makrot, mutta sama tulos.
 
Puhelin tarjosi päivityksiä sovelluksille ja päivitin kaikki. Tuon jälkeen ei MacroDroidi enää toimi? Kokeilin tehdä uudet makrot, mutta sama tulos.

Itselläni ohjelmat ajantasalla ja toimii normaalisti. Varmista että sun shortcutti triggeröi tuon makron etkä esim vahingossa käytä tavallista Nordean kuvaketta.
 
Itselläni ohjelmat ajantasalla ja toimii normaalisti. Varmista että sun shortcutti triggeröi tuon makron etkä esim vahingossa käytä tavallista Nordean kuvaketta.

Löyty se vika, tuossahan on näemmä joku trial-aika jonka jälkeen pitäis ostaa tuo sovellus :facepalm: Oli tuo aika täyttyny ja mainoksia kattomalla sai näköjään pari päivää lisää aikaa.
 
Löyty se vika, tuossahan on näemmä joku trial-aika jonka jälkeen pitäis ostaa tuo sovellus :facepalm: Oli tuo aika täyttyny ja mainoksia kattomalla sai näköjään pari päivää lisää aikaa.
Itse olen sen ostanut. Pieni hinta ja tuota käyttää lopun ikänsä eri puhelimilla. Tuolla voi automatisoida vaikka mitä hommia. Esim itselläni:
yöllä asettaa puhelimen virransäästötilaan ja katkaisee kaikki BT yhteydet (ja aamulla takas) yms tai esim google walletin avaus laittaa NFC:n päälle 10 sekunniksi (en siis halua että NFC on jatkuvasti päällä) etc
 
Viimeksi muokattu:
Googlen uusi päivitys tehnee tietoturvapäivityksistä pakollisia muun muassa pankkiasiointiin:
Now, we’re updating the “meets-strong-integrity” response to require a security update within the last year on devices running Android 13 and above.
 
Siis, tuota, täh??? Pitänee sitten katsoa perheelle jotkin halvat Samsungit jotka saa hyvin päivityksiä. Nämä halvat kiinaluurit mitä meillä on ovat saaneet viimeiset päivityksensä jo vuosia sitten.
 
Siis, tuota, täh??? Pitänee sitten katsoa perheelle jotkin halvat Samsungit jotka saa hyvin päivityksiä. Nämä halvat kiinaluurit mitä meillä on ovat saaneet viimeiset päivityksensä jo vuosia sitten.
Toisaalta voi mennä aikaa, ennen kuin strong-integrity ja Android 13 tulevat pakollisiksi pankkien puolelta. Sitä ennen päivittämätönkin toimii. Ennen pitkää muutos on kuitenkin edessä.
 
Googlen uusi päivitys tehnee tietoturvapäivityksistä pakollisia muun muassa pankkiasiointiin:
Ymmärsin lainauksesi niin että Android "meets-strong-integrity" tarkistaa/sisältää sen että laitteessa on viimeisen vuoden aikana tietoturvapäivitys. Siis tuosta en vielä saanut käsitystä miten Google tekee pakolliseksi pankkiasiointiin jotain ?

Ne kehittäjät jotka taasen hyväksyneet vanhoja Android versioita joita ei ole tuettu vuosikausiin, niin muuttaako tuo jotain ?
 
Ymmärsin lainauksesi niin että Android "meets-strong-integrity" tarkistaa/sisältää sen että laitteessa on viimeisen vuoden aikana tietoturvapäivitys. Siis tuosta en vielä saanut käsitystä miten Google tekee pakolliseksi pankkiasiointiin jotain ?

Ne kehittäjät jotka taasen hyväksyneet vanhoja Android versioita joita ei ole tuettu vuosikausiin, niin muuttaako tuo jotain ?
Ei muuta mitään, jos meets-strong-integrityä ja Android 13:a ei vaadita kuitenkaan. Sovelluskehittäjä lopulta päättää.

Toisaalta jos on vaadittu strong integrity, tietoturvapäivitysten vaatimus koskee jatkossa Android 13:sta alkaen. Kuvauksen perusteella käyttäjä ei voi palata vanhaan käytäntöön, vaan strong integrity menetetään, kun vuosi päivityksestä on kulunut.

Android 13:sta alkaen integrity-vastausten väärentämistä on myös vaikeutettu. Vaatimukseksi tulee laitteistopohjainen attestation. Oletettavasti tämä estää kustomoiduissa romeissa käytetyt kierto-ohjelmat.
 
Viimeksi muokattu:
Ei muuta mitään, jos meets-strong-integrityä ja Android 13:a ei vaadita kuitenkaan. Sovelluskehittäjä lopulta päättää.

Android 13:sta alkaen integrity-vastausten väärentämistä on myös vaikeutettu. Vaatimukseksi tulee laitteistopohjainen attestation. Oletettavasti tämä estää kustomoidoissa romeissa käytetyt kierto-ohjelmat.
Miten kehittäjä voi hyödyntää "meets-strong-integrity" ? siis onko se nyt joku vastaus joka tai ? jolloin turvauttava muihin menetelmiin selvittää asioita, vai ?
 
Miten kehittäjä voi hyödyntää "meets-strong-integrity" ? siis onko se nyt joku vastaus joka tai ? jolloin turvauttava muihin menetelmiin selvittää asioita, vai ?
Peruskäyttötapa on sellainen, että laite tuottaa integrity-vastauksen, joka on allekirjoitettu Googlen hyväksymällä avaimella. Vastaus lähetetään palvelimelle, ja jos vastaus ei täytä vaatimuksia, palvelin kieltäytyy palvelemasta. Vastauksen tarkastaminen palvelinpäässä tarkoittaa, että tarkastusta ei voi vain poistaa sovelluksesta.
 
Eli naulaa arkkuun custom rommeille, ainakin sellaisilla laitteissa joita käytetään pankkijuttuihin.

Sinänsä ihan hyvä, että kaikki jutut missä raha liikkuu ovat mahdollisimman turvattuja, mutta olisi kiva tietää vähän statistiikkaa, että kuinka suuri osa varallisuudesta on menetetty vanhentuneen Androidin käytön takia vai onko valtaosa vain perinteisiä tunnusten kalasteluja pankin nimissä ja nigerialaiskirjeitä jossa rakkauden kipeä suomalainen vanhapiika tai peräkammarinpoika lähettää avosylin rahaa jotta miljoonaperijä voi ostaa lentolipun Suomeen. Eli miten vaarallinen minun Android 11 onkaan?
 
Peruskäyttötapa on sellainen, että laite tuottaa integrity-vastauksen, joka on allekirjoitettu Googlen hyväksymällä avaimella. Vastaus lähetetään palvelimelle, ja jos vastaus ei täytä vaatimuksia, palvelin kieltäytyy palvelemasta. Vastauksen tarkastaminen palvelinpäässä tarkoittaa, että tarkastusta ei voi vain poistaa sovelluksesta.
Tarkoitat että vastaus on joko tai ?
 
Tarkoitat että vastaus on joko tai ?
Googlen ohje on, että osa sovelluksen toiminnoista voi toimia lievemmillä ehdoilla kuin toiset. Eli välttämättä ei vaadita strong integrityä kaikkeen. Käytännön tulkinta jää sovelluksen kehittäjälle.

Strong integrityn lisäksi voidaan pyytää muitakin varmennuksia, esimerkiksi käytetyn sovelluksen allekirjoituksen voi tarkastaa tai kysyä näitä tässä ketjussa mainittuja tietoja, onko käytössä kiellettyjä accessibility-sovelluksia.
 
Viimeksi muokattu:

Statistiikka

Viestiketjuista
262 266
Viestejä
4 550 384
Jäsenet
74 950
Uusin jäsen
Kampamaneetti

Hinta.fi

Back
Ylös Bottom