Triodos laat bank-app na aanpassingen weer op GrapheneOS werken
Triodos heeft aanpassingen aan de eigen bank-app doorgevoerd waardoor die weer op GrapheneOS werkt. Dit is een op Android-gebaseerd besturingssysteem voor Pixel-telefoons. Google laat GrapheneOS geen gebruikmaken van de Play Integrity API, waarmee app-ontwikkelaars kunnen controleren dat hun app op een 'genuine' Androidtoestel draait. Zo wordt gecontroleerd of het toestel niet is geroot.
App-ontwikkelaars maken gebruik van deze API, wat voor problemen kan zorgen bij gebruikers van GrapheneOS. Dat roept ontwikkelaars op om van de Android hardware attestation API gebruik te maken waarmee de authenticiteit en integriteit van de hardware ook is te controleren. Daarnaast zou deze API "onnodige afhankelijkheid van Google Play services en Google's Play Integrity servers" voorkomen.
Sinds een recente versie van de Triodos-app voor Android werden gebruikers van GrapheneOS doorverwezen naar de website van de bank met informatie waarom mobiel bankieren niet mogelijk is op een jailbroken of rooted apparaat. De bank laat via GitHub weten dat het inmiddels verschillende aanpassingen heeft teruggedraaid waardoor de Triodos-app weer voor gebruikers van GrapheneOS werkt.
"Hoewel we officieel geen alternatieve Android-besturingssystemen ondersteunen, proberen we ze binnen onze mogelijkheden te ondersteunen en binnen de grenzen om onze app veilig te houden", aldus Menno Vogel, senior android developer van Triodos. Welke aanpassingen zijn teruggedraaid laat de bank niet weten. Tevens stelt Vogel dat hij GrapheneOS op een testtoestel heeft geïnstalleerd om toekomstige problemen waardoor de app niet werkt te voorkomen. Daarnaast zal Triodos informatie over het niet mobiel kunnen bankieren via een jailbroken of rooted apparaat aanpassen, omdat die niet correct is, aldus Vogel.
Blijkbaar is 'de gebruiker' niet belangrijk en zijn andere belangen (dus) belangrijker.
Blijkbaar is 'de gebruiker' niet belangrijk en zijn andere belangen (dus) belangrijker.
Dat zou een verbetering zijn voor de bank. Graphene is meer secure dan die gatenkazen die Samsung levert bijvoorbeeld. Zeker als je daar niet verwijderbare gevaren als Facebook en Samsung apps ziet staan die ook zonder account steeds even naar huis moeten bellen (install pihole en schrik je een hartverzakking).
Gelukkig is Windows er ook nog. Dat is altijd waterdicht en is nooit lek, of zo. Ook niet met de "phone home" Chrome browser. Deeple (keylogger) even installeren. Dan is dat allemaal prima in orde, toch?!
Doen we daar toch bankzaken mee!
Daarnaast hebben ze gewoon hardware attestation API via Google Services als men Google Services op GrapheneOS installeert.
Wel goed dat Triodos dit erkent.
GrapheneOS is overigens geen "custom" ROM is, het is gewoon een legitiem besturingsysteem zoals die van Google, daarnaast is GrapheneOS niet geroot/jailbroken, en heeft zelfs geverifieerde boot.
Google sluit selectief besturingsystemen buiten al voldoen ze volledig aannde "eisen" van Google's safetynet. (Zoals GrapheneOS)
Het is erg discriminerend en anti-competitief, vraag me af of dit wel legaal is wat Google doet volgens de DSA.
Helaas heeft Google recentelijk ook de Pixel-bronnen ingetrokken, en hebben ontwikkeling moeilijker gemaakt voor ontwikkelaars die firmware voor Pixel-apparaten ontwikkelen. (Past dat wel binnen de vrije licentie?)
Nu is alleen de AOSP-bron beschikbaar, maar die bevat geen Pixel-specifieke code.
Blijkbaar is 'de gebruiker' niet belangrijk en zijn andere belangen (dus) belangrijker.
Je verwacht juist dat ze GEEN geroote distro accepteren.
Feitelijk slechte security dan.
Of anders lees je gewoon het nieuwsbericht en de Git comments, en dan kom je er achter dat je commentaar nergens op slaat. Als je de Github comments leest zie je juist dat het tegenovergestelde waar is. Maar ja, je kan weer lekker bashen, toch?
Feitelijk slechte security dan.
Het is alleen dat GrapheneOS vals werdt aangegeven als ongeschikt, en dat is onjuist, dat hebben ze gecorrigeerd, dat is alles.
Het is niet eens de schuld van Triodos, Google zorgt er voor dat ondanks het slagen van safetynet er toch bepaalde firmware wordt buitengesloten, al voldoen ze aan alle eisen, vandaar dat Google Pay niet werkt op GrapheneOS, hiermee overtreedt Google de DSA, Google moet dit corrigeren, maar dat doen ze niet dus moet Triodos zich aanpassen aan deze specifieke gevallen, erg teleurstellend van Google.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Netwerkbeheerder Netwerk Services
Ministerie van Binnenlandse Zaken
Betrouwbaarheid, optimale beveiliging en innovatie: eisen die we stellen aan onze infrastructuur die het belangrijke werk van de AIVD en de MIVD mogelijk maakt. Zorg jij ervoor dat gebruikers altijd op de systemen kunnen rekenen en dat er geen staatsgeheim ontsnapt?
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?