Pankkisovellukset ja custom ROM/root

[MiloS]

Laitan privaan. En nyt luota yhtään ettei opn koodarit lue

Laittaisitko mullekkin.

Luinkin juuri noita play-kaupan arvosteluita kun en saanut toimimaan että enemmänkin ollut porukalla nyt ongelmia.

 

[zoppe]

Kyllä, koodissa on "vikaa". Palautin ensin 69 version joka toimi, ja toimii 70 mutta 71 enää ei toiminut, ei tainnut toimia myöskää ilman mitää rootteja usealla ja sit tuli tuo 71.0.1 joka ainakin playkaupan mukaan toimii niillä joilla ei toiminut. Pl. muutama root käyttäjä.
Minä luen koodiviaksi että appi ei käynnisty jos on roottaus, mutta sano mun sanoneen että ne ei sitä tuosta enempää tule korjaamaan. Nehän on vain tyytyväisiä kun kerranki osuivat oikeaan ja saivat joukon roottajia ajettua nurkkaan. Tätähän pankit ovat ikuisuuden hakenut takaa, niin ei tämä nyt vaan ole virhe koodissa. Asiakaspalvelu nyt väittää taukoomatta että tyhjennä välimuisti ja asenna uusin päivitys. Mulla nyt siis toimii uusin versio kahdessa puhelimessa, ja jotenki menetin uskoni kaikkeen. Ne hiton valopäät lukee tätäkin foorumia, niin ei jostai syystä tee mieli jakaa mitää tietoa kellekkää ettei mun monen päivän duuni mene hukkaan kun taas joku idiootti keksii uuden päivityksen siihen appiin.

Mulla ei toiminut 69 -versiokaan. Herjaa että "vanha versio, päivitä Play-kaupasta" tms ja sulkeutuu.
Todella ärsyttävää. S-Pankin kanssa tappelin joskus viime vuonna viimeksi, mutta sen sain toimimaan. Tätä en vielä.

Laitan privaan. En nyt luota yhtään ettei opn koodarit lue

Jaksaisitko mullekin laittaa?

 

[Hiikeri]

Vai ei OP:n ohjelma enää toimi noissa customRom käyttiksissä, ainakaan ilman vuosien tietämystä ja kikkailuja eri ohjelmien kautta?

Mitään kokemusta ei Customeista ole eikä näköjään tulekkaan.

Vaikka just 4 päivää sitten ostin Pixel 8a luurin ja ajatuksena näin noobiena laittaa siihen GrapheneOS:n anonyymiyden, tietoturvan ja bai-bai guukelin takia mutta jos ei toimi OP niin antaa sitten olla.

 

[throwlyfe]

Vai ei OP:n ohjelma enää toimi noissa customRom käyttiksissä, ainakaan ilman vuosien tietämystä ja kikkailuja eri ohjelmien kautta?

Mitään kokemusta ei Customeista ole eikä näköjään tulekkaan.

Vaikka just 4 päivää sitten ostin Pixel 8a luurin ja ajatuksena näin noobiena laittaa siihen GrapheneOS:n anonyymiyden, tietoturvan ja bai-bai guukelin takia mutta jos ei toimi OP niin antaa sitten olla.

Riippuu romista, root-statuksesta, ns. Gappseistä, siitä onko kehittäjäasetukset päällä vai ei ja muista mahdollisista modauksista.

Mulla on Oneplus 6T jossa virallinen LineageOS 22.1, Google appsit (NikGapps Core) ja on roottaamaton. Nordea, S-Pankki ja myös OP toimii täydellisesti ilman mitään kikkailuja.

McDonaldsin sovellus on ainut toimimaton johon olen törmännyt. Niillä on jostain syystä maailman tiukimmat turvavaatimukset, niin koomiselta kuin se kuulostaakin. Alkuvuodesta huomasin myös, että en pysty enää lataamaan Jodelia Play-kaupasta. Siinä vain lukee, että "This app won't work for your device". Aurora storesta sen pystyi kuitenkin lataamaan ja toimii ihan normaalisti.

GrapheneOS:llä on jossain oma lista toimivista pankkisovelluksista ja suomalaisten pankkien sovellukset löytyy sieltä. Muistaakseni kaikki oli merkitty toimiviksi.

 

[Hiikeri]

Joo kyllä kasetti menee näiden pakotteiden kanssa, kaiken maailman AI paskaa, Pilvi palveluita, message juttuja yms. koko ajan pakotetaan ihmisille.

Just luin viestiäsi niin joku paska halusi että voidaan vaikka jutella mukavia...

Samalla tein päätöksen, nyt lähtee moiset roskat tästä luurista eli suunnittelen kyllä tapahtuman kerta toi 'Gemini' niin halusi.

 

[Hiikeri]

Kiitos ja näkemiin 'Gemini', tuttavuutemme oli lyhyt mutta niin tarkoituksen mukainen.

PUF ja sinut on deletoitu nyt bittiavaruuteen mistä esiin ryömitkin.
Pakene takaisin luojasi eli Googlen luokse.

Android deletoitu 4pvää vanhasra luurista ja uusi käyttis (GrapheneOS) työpöydällä nyt.

Aika tuore versio käyttöjärjestelmästä koska asennus filessä (OS+firmware) oli merkintä 5.2.2025.

 

[pulatunnus]

Joo kyllä kasetti menee näiden pakotteiden kanssa, kaiken maailman AI paskaa, Pilvi palveluita, message juttuja yms. koko ajan pakotetaan ihmisille.

Just luin viestiäsi niin joku paska halusi että voidaan vaikka jutella mukavia...

Samalla tein päätöksen, nyt lähtee moiset roskat tästä luurista eli suunnittelen kyllä tapahtuman kerta toi 'Gemini' niin halusi.

Mietin asiayhteyttä custom rommeihin ja pankkisovelluksiin

Joo yleinen custom rom ja, roottailu keskustelu täällä aika vähäistä. joku ketju voi viimevuodelta löytyä

Edit, taisikin liittyä tähän


.

Vaikka just 4 päivää sitten ostin Pixel 8a luurin ja ajatuksena näin noobiena laittaa siihen GrapheneOS:n anonyymiyden, tietoturvan ja bai-bai guukelin takia mutta jos ei toimi OP niin antaa sitten olla.

 

[acid_]

Se oli siinä.
Ei toimi edes kikkailemalla 71.0.2 versio joka julkaistu eilen. Kun palauttaa 71.01 niin toimii.
Play kaupassa OP perustelee näin:
Kasvaneen verkkorikollisuuden vuoksi OP-mobiilin turvatoimia on tiukennettu. OP-mobiili toimii vain virallisissa käyttöjärjestelmissä, eikä laitteen tietoturvaa saa olla murrettu. Päivitä puhelimesi viralliseen käyttöjärjestelmään ja poista epäluotettavat sovellukset. Seuraamme tilannetta ja pahoittelemme mahdollisesti aiheutunutta haittaa.

Joten kyllä, kyse ei ole virhe koodissa, vaan tämä kaikki oli tarkoituksella tehty

 

[Lolo]

En ole itse ehtinyt asiaa tutkimaan vielä tarkemmin (ehkä viikonloppuna), mutta en usko, että tuossa OP:n päivityksessä on oikeasti tullut mitään fundamentaalisesti erilaista tarkistusmenetelmää, jota ei jo jossain muussa vastaavassa sovelluksessa käytettäisi. Veikkaan, että ovat korkeintaan saattaneet ottaa käyttöön Play Integrity ‑rajapinnan MEETS_STRONG_INTEGRITY-tarkistuksen. Tätä ei käsittääkseni pysty pelkällä PlayIntegrityFixillä ohittamaan, vaan lisäksi vaaditaan avainkikkailua Tricky Storen avulla. Mutta en ole tuota jälkimmäistä tosiaan itse vielä kertaakaan mihinkään tarvinnut, ja olen pärjännyt PlayIntegrityFixillä, Shamikolla ja Shelterillä.

 

[acid_]

En ole itse ehtinyt asiaa tutkimaan vielä tarkemmin (ehkä viikonloppuna), mutta en usko, että tuossa OP:n päivityksessä on oikeasti tullut mitään fundamentaalisesti erilaista tarkistusmenetelmää, jota ei jo jossain muussa vastaavassa sovelluksessa käytettäisi. Veikkaan, että ovat korkeintaan saattaneet ottaa käyttöön Play Integrity ‑rajapinnan MEETS_STRONG_INTEGRITY-tarkistuksen. Tätä ei käsittääkseni pysty pelkällä PlayIntegrityFixillä ohittamaan, vaan lisäksi vaaditaan avainkikkailua Tricky Storen avulla. Mutta en ole tuota jälkimmäistä tosiaan itse vielä kertaakaan mihinkään tarvinnut, ja olen pärjännyt PlayIntegrityFixillä, Shamikolla ja Shelterillä.

 

[Hiikeri]

Tällä käyttiksellä toimii OP, S-Pankki, MobilePay ja S-Mobiili.

Kuten ennenkin, VPN:ääni piti lisätä noi apit > Split Tunnelingiin, ei riitä vaikka VPN servu olisi määritelty Suomessa olevaksi, pitää mennä suora IP jonka toi Splittaus tekee eli ohittaa VPN.

Edit. Lisäys että selaimella (Brave) jos menen S-Pankkiin niin pitää saada sama suora kotimainen ISP:ni IP eli VPN pitää disabloida (tai lisätä koko selain split tunneliin). Onneksi toimii toi S-mobiili splitissä suoraan.

 

[acid_]

Tuota VPN kikkailua vois kans testaa, jos vaikka futais wireguardin kanssa

Tuli mieleen, että onkohan OP yhtään miettinyt mitä ne tekee ja miksi.
On edelleen olemassa puhelinvalmistajia ja malleja joissa ei ole sitä 18vuoden tukea päivityksille. Jos en nyt aivan väärin muista, niin saattoi olla aikoinaan ihan suomalaisessa mediassa ohjeet ja suositus asentaa joku toinen käyttis, jotta tosiaan edes ne käyttiksen tietoturvapäivitykset ovat ajantasalla. Ne kun ovat hyvin paljon tärkeämmät kuin se itse root tai joku muu erillinen ohjelma. Nyt OP käytännössä pakottaa ihmisiä ostamaan uusia laitteita jotta heidän palvelujaan voi käyttää.

 

[M0nde]

Kerta toimii ilman root oikeuksia, epäilen että op on vain hommannut jonkin antiroot ratkaisun. Jollain tuon varmaan pystyy piilottamaan, jos ei muuten niin sovellusta paikkaamalla. Onko joku kokeillut kernelsu + susfs komboa, entä apatch etc.? Googlella on play integrity rajapinnassa uusia toimintoja myös, jotka saattaa vaikuttaa.

En jaksa uskoa että OP:lla on joku android velho löytänyt täysin uuden tunnistuskeinon.

 

[xHyperion]

En ole itse ehtinyt asiaa tutkimaan vielä tarkemmin (ehkä viikonloppuna), mutta en usko, että tuossa OP:n päivityksessä on oikeasti tullut mitään fundamentaalisesti erilaista tarkistusmenetelmää, jota ei jo jossain muussa vastaavassa sovelluksessa käytettäisi. Veikkaan, että ovat korkeintaan saattaneet ottaa käyttöön Play Integrity ‑rajapinnan MEETS_STRONG_INTEGRITY-tarkistuksen. Tätä ei käsittääkseni pysty pelkällä PlayIntegrityFixillä ohittamaan, vaan lisäksi vaaditaan avainkikkailua Tricky Storen avulla. Mutta en ole tuota jälkimmäistä tosiaan itse vielä kertaakaan mihinkään tarvinnut, ja olen pärjännyt PlayIntegrityFixillä, Shamikolla ja Shelterillä.

En usko, että on integritystä kyse päätellen siitä kuinka monta "viatonta" 71.0.0 nappasi. Mm. antivirussoftat ja esteettömyyspalvelut aiheuttivat false positiveja. Joku mainitsi jopa JBL:n kuulokkeiden hallinnan. Itse veikkaan, että tiukennettu blacklistiä sovelluksille ja sekä kaikelle mikä lukee ruutua tai piirtää päälle.

 

[pulatunnus]

Tuota VPN kikkailua vois kans testaa, jos vaikka futais wireguardin kanssa

Tuli mieleen, että onkohan OP yhtään miettinyt mitä ne tekee ja miksi.
On edelleen olemassa puhelinvalmistajia ja malleja joissa ei ole sitä 18vuoden tukea päivityksille. Jos en nyt aivan väärin muista, niin saattoi olla aikoinaan ihan suomalaisessa mediassa ohjeet ja suositus asentaa joku toinen käyttis, jotta tosiaan edes ne käyttiksen tietoturvapäivitykset ovat ajantasalla. Ne kun ovat hyvin paljon tärkeämmät kuin se itse root tai joku muu erillinen ohjelma. Nyt OP käytännössä pakottaa ihmisiä ostamaan uusia laitteita jotta heidän palvelujaan voi käyttää.

En tiedä OPn ajatuksia, mutta noin yleisesti suht korkeaa luotettavuutta/suojaa haluavat ohjelmat/palvelut halutaan kohtuudella suojata.
Ilmeisesti tuettuna on Google Android 9, joka tullut jakeluun 5-6 vuotta sitten, joo tiedän että kentällä on viellä seiskallakkin ajavia, mutta silti, jos ei ole tuolloin ostanut jotain uutena kasilla olevaa jonka versio tuki loppunut siihen, niin aika vanhaa kamaa viellä tuettuna. Nykyään toki markkinoilla puhelimia joille luvataan jopa neljän vuoden versiopäivityksiä, osaan vielä sitäkin enemmän.

Yritän sanoa että jos ei aja jotain erikoislaitetta niin harvoin se puukottaminen, saati uuden rommin asentaminen on vaivan arvoinen vaan uutta laitetta.


Ja markkinatilanteessa missä lähes kaikilla potenttiaalisilla asiakkailla on Google Android ja Apple Iphone/iPad, niin niitä on tuettava, ja kun loput on niin hajanainen joukko niin noihin se jää, Huweinkin tuki tainnut hiippua, jos siihen joku lähti.

Jos kyse pankkiohjelmasta millä tunnistuskin, niin kyllä koodari haluaa mahdollisuuksien mukaan varmistaa riskitekijät, jos tunnistaa roottauksen, tai muokatun rommin, riskin näytön lukemiseen, riskin ohjelman ohjelmalliseen käyttöön, riskin tunnistamisessa, niin ei kai sillä koodarilla ole vaihtoehtoja.

Tietoturvatasostakin nykyään herjaavat, mutta siinä sitten tasapainoilla riskitason kanssa, ja siinä voidaan reakoida dynaamisesti jos ilmenee jotain riskejä kyseisellä alustalla.

Silti minulla on täysi oikeus myös omaan laitteeseeni admin oikeus, samalla tavalla kun käyttää tietokonettakin admin oikeudella. Ja kaiken tän päälle maksan vielä itse op-mobiilin käytöstä, se kun kuuluu yhtenä niihin päivittäispalveluihin mitä maksan joka kuukausi pankille. Voisi siis olettaa että mulla on oikeus sovellukseen vaikka rootattu laite.

Jos ei mennä johonkin lisenssi ja mobiili CE vaatimuksiin, niin on toki oikeus, eikä sitä pankit ole kieltämässä. Eivät vaan tarjoa samoja palveluita kuin heidän tukemilla käyttöjärjestelmillä ja niiden tasoilla.

Ja selain pohjaiset palvelut ei ymmärtääkseni pysty tarkistaan onko käyttöjärjestelmä rootattu, muokattu. ja selaimen versiota, ym voi kysellä, ja ominaisuus vaatimuksia olla että toimii.



Edellä olevalla en tarkoita että olisin jotenkin tyytyväinen, en lainkaan ole tyytyväinen siihen että kotimaiset pankit jotka kaapanneet mm tunnistatumis markkina niin heidän tunnistus ohjelmat toimii vain kahdella hallitsevalla alustalla. Toistaiseksi mm OP on avainlukulistat, joilla pankeilla erilliset tunnistuslaitteet , ja mobiilivaermennekkin toimii laajalla puhein mallistolla, tosin pankissa sillä ei paljoa asioida. Henkikortti vähiten tuettu

 

[jkaart]

Se oli siinä.
Ei toimi edes kikkailemalla 71.0.2 versio joka julkaistu eilen. Kun palauttaa 71.01 niin toimii.
Play kaupassa OP perustelee näin:
Kasvaneen verkkorikollisuuden vuoksi OP-mobiilin turvatoimia on tiukennettu. OP-mobiili toimii vain virallisissa käyttöjärjestelmissä, eikä laitteen tietoturvaa saa olla murrettu. Päivitä puhelimesi viralliseen käyttöjärjestelmään ja poista epäluotettavat sovellukset. Seuraamme tilannetta ja pahoittelemme mahdollisesti aiheutunutta haittaa.

Joten kyllä, kyse ei ole virhe koodissa, vaan tämä kaikki oli tarkoituksella tehty

Kiinostaisi tietää, että miten suuressa roolissa rootattu puhelin on oikein verkkorikollisuudessa?
En oikein ymärrä tätä holhoamista näissä pankkisovelluksissa, että millä tahansa (ajantaisella) selaimella (ja käyttöjärjestelmällä) voi käyttää pankkia ihan vapaasti mutta sovelluksesta pitää olla viimesin versio ja sen päälle vielä laite ja käyttis pitää olla tuettu ja ajantasalla.
Eivätkö pankit luota omien tietokantojensa (missä asiakkaiden "rahat" loppupelissä sijaitsee) turvallisuuteen, että joku burteforcettaa rootatulla puhelimella sisään ja vie tietokannasta ykköset ja nollat? Mutta sama vaarahan se pitäisi selaimellakin käytettäessä olla...

 

[M0nde]

OP-mobiili ainakin käy läpi asennetut sovellukset ja etsii kaikenlaisia vähänkin koskettuun puhelimeen viittaavaa. Lisäksi tarkistelee kansioita yms. Vittu mikä työmaa. Pitää tutkiskella mikä kosahtaa myöhemmin, ehkä OP:n jätkät voisi samalla tyhjentää täysin aiheettomat sovellukset listalta. Esim. Kingroot ei liene enää ajankohtainen.

 

[pulatunnus]

Kiinostaisi tietää, että miten suuressa roolissa rootattu puhelin on oikein verkkorikollisuudessa?

Suomessa julkisuudessa olleista jutuista ei heti muistu tapauksia joissa puhelimen tieturva-aukkoa olisi hyödynnetty. Mutta se tiedetään että julkisuuteen tulee vain jotain tapauksia ja aina niissäkään ei kerrota yksityiskohtia, lähinnä niissä missä käräjillä riidelty vastuista.

Pankille se on vastuukysymys, jos se pystyy tukkiin sen aukon, vielä ihan Googlen ohjeilla niin siinä saa vastaava sitten selittää miksi niin ei ole tehty. Ehkä riskiarvioissa ei ole ainostaan muutama nörtti , vaan myös isot kohteet. missä ei enään puhuta jostain kymppitonneista.

En oikein ymärrä tätä holhoamista näissä pankkisovelluksissa, että millä tahansa (ajantaisella) selaimella (ja käyttöjärjestelmällä) voi käyttää pankkia ihan vapaasti mutta sovelluksesta pitää olla viimesin versio ja sen päälle vielä laite ja käyttis pitää olla tuettu ja ajantasalla.
Evätkö pankit luota omien tietokantojensa (missä asiakkaiden "rahat" loppupelissä sijaitsee) turvallisuuteen, että joku burteforcettaa rootatulla puhelimella sisään ja vie tietokannasta ykköset ja nollat? Mutta sama vaarahan se pitäisi selaimellakin käytettäessä olla...

Pankin puolella toki tehostettu menetelmiä miten tunnistaa asiakkaan tunnistus(*, aito asiakas, aito asiakkaan toimeksianto. silti jatkuvasta tapahtuu väärinkäytöksiä. Bruteforce ei taida olla käypä menetelmä mihinkään muuhun kuin palvelun estohyökkäykseen, ja siihen tuskin muutamalla sadalla luurilla pitkälle päästään näill isoilla.

Pankinpäässä pitää yrittää tunnistaa ne toimet mitkä ei sovi asiakas profiiliin, mutta jos se toiminta sopii, asiakkaan laite, yhteys, asiakkaan tahdilla, ajankohtaan, ympäristöön jne. Jos mietit tunnistautumista, niin ei pankki tiedä mitä teet, jos tunnistautuminen tapahtuu asiakkaan laitteella, yhteydellä ja palveluun mikä nyt on sopimuskumppani, niin saa siinä vähän AI käyttää että erottaa. Oikean käyttäjänkin sähläys noissa niin tavallista että useaan kertaan peräkkäin tunnistautuminen samaan palveluun voi estää palvelun käyttöä.


(*
Mobiili tunnistuksen idea olla suht vahva. Muistettava että asiakkaat taasen odottaa nopeutta, toimeksiannot ym jätetään viimetinkaan, myös ne tavallisesta profiilista poikkeavat. Joskus oli ok että rahat lähti eräajossa kerran pari vuorokaudessa ja sitten olivat vastaanottajan tilillä parin työpäivän päästä, viikkokin kotimaassa. Niitä pysty perumaan seuraavana päivänä jne.