Britse bank-app stopt met werken na downloaden van Bitwarden via F-Droid
De app van de Britse bank HSBC stopt met werken als het detecteert dat gebruikers wachtwoordmanager Bitwarden via de F-Droid appstore hebben gedownload. Volgens de bank heeft het aanvullende beveiligingsmaatregelen aan de eigen app toegevoegd om de accounts van klanten te beschermen. Zo wordt gecontroleerd of gebruikers geen apps van "onofficiële appstores" hebben gedownload.
Om de HSBC-app weer te kunnen gebruiken moeten gebruikers de betreffende app verwijderen en die opnieuw via de Google Play Store of andere "officiële" store downloaden. Neil Brown, een bestuurslid van F-Droid, deelde een screenshot waarop de melding van de HSBC-app te zien is. Vervolgens kwam Bitwarden met een reactie waarin het laat weten dat HSBC het gebruik van de bank-app blokkeert als het een Bitwarden-installatie via F-Droid detecteert. Tevens stelde Bitwarden dat de wachtwoordmanager ook beschikbaar is in de Google Play Store.
In een reactie tegenover The Register stelt de Britse bank dat de app controles uitvoert om mogelijke "malware risico's" te detecteren en gebruikers kan verplichten om aanvullende maatregelen te nemen om hun accounts te beschermen. "Het lijkt erop dat HSBC een veiligheidsniveau en permissies voor hun mobiele app heeft gekozen waardoor de HSBC-app kan zien of er andere apps op de telefoon staan die niet vanuit de Google Play Store zijn geïnstalleerd, en als er één wordt aangetroffen, de installatie van de HSBC-app weigert", aldus Bitwarden tegenover de website. Op Hacker News wordt gesteld dat de waarschuwing het gevolg is van Google services waarmee de integriteit van het toestel kan worden gecontroleerd.
Triodos
Vorig jaar juli kwam Triodos nog in het nieuws omdat het aanpassingen aan de eigen bank-app had doorgevoerd waardoor die weer werkte op telefoons met GrapheneOS. Dit is een op Android-gebaseerd besturingssysteem voor Pixel-telefoons. Google laat GrapheneOS geen gebruikmaken van de Play Integrity API, waarmee app-ontwikkelaars kunnen controleren dat hun app op een 'genuine' Androidtoestel draait. Zo wordt gecontroleerd of het toestel niet is geroot. App-ontwikkelaars maken gebruik van deze API, wat voor problemen kan zorgen bij gebruikers van GrapheneOS.Bij een eerdere versie van de Triodos-app voor Android werden gebruikers van GrapheneOS doorverwezen naar de website van de bank, met informatie waarom mobiel bankieren niet mogelijk is op een jailbroken of rooted apparaat. "Hoewel we officieel geen alternatieve Android-besturingssystemen ondersteunen, proberen we ze binnen onze mogelijkheden te ondersteunen en binnen de grenzen om onze app veilig te houden", aldus Menno Vogel, senior android developer van Triodos, over het doorvoeren van de aanpassingen destijds.
Reacties (21)
Gisteren, 11:31 door
e.r.
In de UK zijn ze "boned". Hier kunnen we zomaar de komende jaren een explosie gaan zien van alternatieve mobiele besturingssystemen. Apple zal altijd wel blijven maar er komen mooie nieuwe, EU-vriendelijke toestellen in de EU uit met veelal eigen systemen.
Gisteren, 11:53 door
Anoniem
Terwijl banken nog bezig zijn met de overgang van door hen zelf aan klanten geleverde hardwaretokens naar apps, is er dus al een bank die zeggenschap claimt over wat je wel en niet mag installeren op je eigen computer (een smartphone is een kleine tabletcomputer met ingebouwde telefoon) omdat het platform zonder dat soort restricties op te leggen niet betrouwbaar genoeg is voor hun toepassing.
Fraai. Nou nog toegeven dat die beweging van hardwaretokens naar smartphones een verkeerde keuze was.
Fraai. Nou nog toegeven dat die beweging van hardwaretokens naar smartphones een verkeerde keuze was.
Gisteren, 13:01 door
Anoniem
Zou Aurora met een anoniem account richting Google Play Store ook niet meer werken? Via Aurora kan ik op mijn GrapheneOS device zo goed als alles installeren. Soms verschijnt een app niet, maar de dag daarna wel (waaronder de NN app), waarna installatie alsnog vlekkeloos gaat, zowel in een apart profiel met de beperkende Google Services compatibility laag, alsmede zonder geinstalleerde Google Services in de private space.
Gisteren, 14:06 door
Anoniem
Door Anoniem: Terwijl banken nog bezig zijn met de overgang van door hen zelf aan klanten geleverde hardwaretokens naar apps, is er dus al een bank die zeggenschap claimt over wat je wel en niet mag installeren op je eigen computer (een smartphone is een kleine tabletcomputer met ingebouwde telefoon) omdat het platform zonder dat soort restricties op te leggen niet betrouwbaar genoeg is voor hun toepassing.
Fraai. Nou nog toegeven dat die beweging van hardwaretokens naar smartphones een verkeerde keuze was.
Fraai. Nou nog toegeven dat die beweging van hardwaretokens naar smartphones een verkeerde keuze was.
En dan zouden minder security minded mensen malware via een alternatieve app-store en dan hun rekening(en) ineens leeg zien. Waar zouden die toch gaan klagen?
Het is dan ook logisch dat vooral banken ergens een grens gaan zetten. Een blokkade op installeren en/of gebruiken van de een bank app is dan de meest gemakkelijke stap.
Gisteren, 15:35 door
Anoniem
Een uiterst schadelijke en ontoelaatbare vorm van digitale apartheid:
Bitwarden discrimineert F-Droid.org gebruikers, en daarmee ondermijnt het de ontwikkeling van vrije open source.
Bitwarden discrimineert F-Droid.org gebruikers, en daarmee ondermijnt het de ontwikkeling van vrije open source.
Gisteren, 16:03 door
Anoniem
Door Anoniem:
En dan zouden minder security minded mensen malware via een alternatieve app-store en dan hun rekening(en) ineens leeg zien. Waar zouden die toch gaan klagen?
Het is dan ook logisch dat vooral banken ergens een grens gaan zetten. Een blokkade op installeren en/of gebruiken van de een bank app is dan de meest gemakkelijke stap.
Door Anoniem: Terwijl banken nog bezig zijn met de overgang van door hen zelf aan klanten geleverde hardwaretokens naar apps, is er dus al een bank die zeggenschap claimt over wat je wel en niet mag installeren op je eigen computer (een smartphone is een kleine tabletcomputer met ingebouwde telefoon) omdat het platform zonder dat soort restricties op te leggen niet betrouwbaar genoeg is voor hun toepassing.
Fraai. Nou nog toegeven dat die beweging van hardwaretokens naar smartphones een verkeerde keuze was.
Fraai. Nou nog toegeven dat die beweging van hardwaretokens naar smartphones een verkeerde keuze was.
En dan zouden minder security minded mensen malware via een alternatieve app-store en dan hun rekening(en) ineens leeg zien. Waar zouden die toch gaan klagen?
Het is dan ook logisch dat vooral banken ergens een grens gaan zetten. Een blokkade op installeren en/of gebruiken van de een bank app is dan de meest gemakkelijke stap.
Nee. Het gaat een bank geen bal aan wat voor apps mensen op hun mobiel hebben draaien. Je moet dit niet willen normaliseren.
Gisteren, 17:57 door
Anoniem
https://reports.exodus-privacy.eu.org/nl/reports/uk.co.hsbc.hsbcukmobilebanking/latest
HSBC heeft dus echt helemaal niets met privacy. Exact volgens verwachting.
HSBC heeft dus echt helemaal niets met privacy. Exact volgens verwachting.
Gisteren, 18:36 door
Anoniem
Door Anoniem:
Nee. Het gaat een bank geen bal aan wat voor apps mensen op hun mobiel hebben draaien. Je moet dit niet willen normaliseren.
Door Anoniem:
En dan zouden minder security minded mensen malware via een alternatieve app-store en dan hun rekening(en) ineens leeg zien. Waar zouden die toch gaan klagen?
Het is dan ook logisch dat vooral banken ergens een grens gaan zetten. Een blokkade op installeren en/of gebruiken van de een bank app is dan de meest gemakkelijke stap.
Door Anoniem: Terwijl banken nog bezig zijn met de overgang van door hen zelf aan klanten geleverde hardwaretokens naar apps, is er dus al een bank die zeggenschap claimt over wat je wel en niet mag installeren op je eigen computer (een smartphone is een kleine tabletcomputer met ingebouwde telefoon) omdat het platform zonder dat soort restricties op te leggen niet betrouwbaar genoeg is voor hun toepassing.
Fraai. Nou nog toegeven dat die beweging van hardwaretokens naar smartphones een verkeerde keuze was.
Fraai. Nou nog toegeven dat die beweging van hardwaretokens naar smartphones een verkeerde keuze was.
En dan zouden minder security minded mensen malware via een alternatieve app-store en dan hun rekening(en) ineens leeg zien. Waar zouden die toch gaan klagen?
Het is dan ook logisch dat vooral banken ergens een grens gaan zetten. Een blokkade op installeren en/of gebruiken van de een bank app is dan de meest gemakkelijke stap.
Nee. Het gaat een bank geen bal aan wat voor apps mensen op hun mobiel hebben draaien. Je moet dit niet willen normaliseren.
Ik denk dat een bank vanwege veiligheid dit wel mag en moet bepalen.
Gisteren, 22:03 door
Anoniem
Door Anoniem:
En dan zouden minder security minded mensen malware via een alternatieve app-store en dan hun rekening(en) ineens leeg zien. Waar zouden die toch gaan klagen?
Het is dan ook logisch dat vooral banken ergens een grens gaan zetten. Een blokkade op installeren en/of gebruiken van de een bank app is dan de meest gemakkelijke stap.
Bij hardwaretokens is dat token zelf een endpoint waarop geen andere apps en geen malware geïnstalleerd kan worden. Rabo en ING verschaffen of verschaften scanners waarmee je op het display van het apparaatje ziet wat je ondertekent, en geen malware die daar tussen kan komen. Daar doelde ik op.Door Anoniem: Fraai. Nou nog toegeven dat die beweging van hardwaretokens naar smartphones een verkeerde keuze was.
En dan zouden minder security minded mensen malware via een alternatieve app-store en dan hun rekening(en) ineens leeg zien. Waar zouden die toch gaan klagen?
Het is dan ook logisch dat vooral banken ergens een grens gaan zetten. Een blokkade op installeren en/of gebruiken van de een bank app is dan de meest gemakkelijke stap.
Ik weet dat er mensen met die apparaatjes ook in scams tuinen waarbij ze zich laten overhalen om een expliciete melding te negeren dat ze hun hele hebben en houden naar verweggistan overmaken. Die mensen laten zich ook overhalen om te negeren wat hun smartphone expliciet aangeeft dat er gebeurt. Ik heb daar geen oplossing voor. Maar malware kan je complete pc en smartphone overnemen en die apparaatjes laten nog steeds zien waar je werkelijk voor tekent. Niet iets om af te schaffen, juist iets om heel algemeen te gaan gebruiken.
Gisteren, 23:01 door
Anoniem
Lijkt me voor de gemiddelde gebruiker prima zet. Mocht je dit niet op prijs stellen en meer vrijheid willen, zou ik als bank jou vragen een contract te tekenen dat wanneer jij slachtoffer wordt van cybercrime en je rekening geplunderd wordt, je geen claim kan indienen en de risico’s volledig bij jezelf liggen.
Win-win. Jij de lusten. De bank niet de lasten.
Win-win. Jij de lusten. De bank niet de lasten.
Vandaag, 02:24 door
Anoniem
Door Anoniem:
Ik denk dat een bank vanwege veiligheid dit wel mag en moet bepalen.
Door Anoniem:
Nee. Het gaat een bank geen bal aan wat voor apps mensen op hun mobiel hebben draaien. Je moet dit niet willen normaliseren.
Door Anoniem:
En dan zouden minder security minded mensen malware via een alternatieve app-store en dan hun rekening(en) ineens leeg zien. Waar zouden die toch gaan klagen?
Het is dan ook logisch dat vooral banken ergens een grens gaan zetten. Een blokkade op installeren en/of gebruiken van de een bank app is dan de meest gemakkelijke stap.
Door Anoniem: Terwijl banken nog bezig zijn met de overgang van door hen zelf aan klanten geleverde hardwaretokens naar apps, is er dus al een bank die zeggenschap claimt over wat je wel en niet mag installeren op je eigen computer (een smartphone is een kleine tabletcomputer met ingebouwde telefoon) omdat het platform zonder dat soort restricties op te leggen niet betrouwbaar genoeg is voor hun toepassing.
Fraai. Nou nog toegeven dat die beweging van hardwaretokens naar smartphones een verkeerde keuze was.
Fraai. Nou nog toegeven dat die beweging van hardwaretokens naar smartphones een verkeerde keuze was.
En dan zouden minder security minded mensen malware via een alternatieve app-store en dan hun rekening(en) ineens leeg zien. Waar zouden die toch gaan klagen?
Het is dan ook logisch dat vooral banken ergens een grens gaan zetten. Een blokkade op installeren en/of gebruiken van de een bank app is dan de meest gemakkelijke stap.
Nee. Het gaat een bank geen bal aan wat voor apps mensen op hun mobiel hebben draaien. Je moet dit niet willen normaliseren.
Ik denk dat een bank vanwege veiligheid dit wel mag en moet bepalen.
Ik zou niet weten waarom. Dus de shell mag bepalen welke muziek je op je autoradio draait anders mag je niet meer tanken?
De NS mag bepalen dat je alleen maar met Nike schoenen het station op komt?
Vandaag, 10:10 door
Anoniem
Dit houdt in dat concurrentie via Android onmogelijk wordt. Een eigen store kan dus niet. Iedereen is verplicht in zee te gaan met Google? Vrije markt en concurrentie noemen ze dat. Wat als je Google niet wil ben je verplicht of geen bankzaken. Dit noemen ze westerse vrijheid.
Vandaag, 10:23 door
Anoniem
Ik denk dat een bank vanwege veiligheid dit wel mag en moet bepalen
Dan zit er niets anders op om die bank app eraf te gooien en Bitwarden erop laten.Als eindgebruiker heb ik namelijk ook iets te zeggen over mijn eigen veiligheidsbeleid.
Vandaag, 11:14 door
Anoniem
Zo wordt je dus gedwongen proprietary spyware te gebruiken; de Google rootkit.
De bank app spioneert duidelijk op je telefoon en kijkt wat je installeert.
De Bunq bank heeft zelfs Huawei-trackers ingebouwd. (Spyware van het Chinese leger)
Daarnaast is F-Droid een officiele appstore.
De bank app spioneert duidelijk op je telefoon en kijkt wat je installeert.
De Bunq bank heeft zelfs Huawei-trackers ingebouwd. (Spyware van het Chinese leger)
Daarnaast is F-Droid een officiele appstore.
Vandaag, 14:26 door
Anoniem
Door Anoniem:Ik denk dat een bank vanwege veiligheid dit wel mag en moet bepalen.
Met die gedachte is het einde zoek. Vooral dat het voor je bepaalt wordt.
Dan zou de brandweer of de verzekeraar camera's in mijn huis moeten ophangen om zo (door middel van AI oid) in de gaten te houden of ik niet brandgevaarlijk handel, dat is dan wel zo veilig voor u. Noem maar op.
Ik denk juist dat je hier fel op tegen moet zijn zodat dit soort acties niet geaccepteerd en genormaliseerd worden.
Stuur dan als bank een brief uit waar mensen op moeten letten.
Vandaag, 14:52 door
Anoniem
Door Anoniem:
Het is dan ook logisch dat vooral banken ergens een grens gaan zetten. Een blokkade op installeren en/of gebruiken van de een bank app is dan de meest gemakkelijke stap.
Nee. Het gaat een bank geen bal aan wat voor apps mensen op hun mobiel hebben draaien. Je moet dit niet willen normaliseren.
Het is dan ook logisch dat vooral banken ergens een grens gaan zetten. Een blokkade op installeren en/of gebruiken van de een bank app is dan de meest gemakkelijke stap.
Nee. Het gaat een bank geen bal aan wat voor apps mensen op hun mobiel hebben draaien. Je moet dit niet willen normaliseren.
Wil jij een malware infested telefoon gebruiken, prima . Alleen de bank app wil daar niet op draaien.
Mag je kiezen wat je het meeste mist .
Vooral omdat die hypocriete zeikstralen wel bij de bank komen jammeren voor "coulance' en "schadevergoeding" als hun centjes verdwenen zijn omdat ze zonodig moesten rooten en tweaken .
Vandaag, 14:57 door
Anoniem
Door Anoniem:
Als eindgebruiker heb ik namelijk ook iets te zeggen over mijn eigen veiligheidsbeleid.
Ik denk dat een bank vanwege veiligheid dit wel mag en moet bepalen
Dan zit er niets anders op om die bank app eraf te gooien en Bitwarden erop laten.Als eindgebruiker heb ik namelijk ook iets te zeggen over mijn eigen veiligheidsbeleid.
Goh, jij bent wel slim zeg. En zo trots dat je dat bedacht hebt dat je je keuze wilt delen.
Ik snap niet helemaal waarom je nu _juist_ een password manager van een untrusted source wilt installeren, maar dat mag je helemaal zelf weten. Je mag ook nog zelf kiezen wat je doet met een bankapp.
Misschien kan ik je helpen, reverse ik de bankapp,haal die check eruit, en die kun jij dan op je geroote telefoon gebruiken.
Trust me.
Vandaag, 19:21 door
Anoniem
Door Anoniem: Wil jij een malware infested telefoon gebruiken, prima .
Dat zijn ze (ios en android) al vanuit de fabriek.
Vandaag, 20:35 door
Anoniem
Door Anoniem:
Goh, jij bent wel slim zeg. En zo trots dat je dat bedacht hebt dat je je keuze wilt delen.
Ik snap niet helemaal waarom je nu _juist_ een password manager van een untrusted source wilt installeren, maar dat mag je helemaal zelf weten. Je mag ook nog zelf kiezen wat je doet met een bankapp.
Misschien kan ik je helpen, reverse ik de bankapp,haal die check eruit, en die kun jij dan op je geroote telefoon gebruiken.
Trust me.
F-droid is net zo officieel als de Play Store.Door Anoniem:
Als eindgebruiker heb ik namelijk ook iets te zeggen over mijn eigen veiligheidsbeleid.
Ik denk dat een bank vanwege veiligheid dit wel mag en moet bepalen
Dan zit er niets anders op om die bank app eraf te gooien en Bitwarden erop laten.Als eindgebruiker heb ik namelijk ook iets te zeggen over mijn eigen veiligheidsbeleid.
Goh, jij bent wel slim zeg. En zo trots dat je dat bedacht hebt dat je je keuze wilt delen.
Ik snap niet helemaal waarom je nu _juist_ een password manager van een untrusted source wilt installeren, maar dat mag je helemaal zelf weten. Je mag ook nog zelf kiezen wat je doet met een bankapp.
Misschien kan ik je helpen, reverse ik de bankapp,haal die check eruit, en die kun jij dan op je geroote telefoon gebruiken.
Trust me.
Kijk, als je apparaat geroot is snap ik nog wel dat je de bank app niet kunt gebruiken, maar indien dit niet het geval is kunnen ze gewoon een goede sandboxed omgeving instellen en zorgen dat er geen screenshots binnenin de bank app kunnen worden gemaakt.
Zelfs apps op de Play Store kunnen gecompromoteerd zijn, daarom hebben ze gewoon ingerent een goede beveiliging nodig, maar jet blokkeren van alle apps die niet van ome Google vandaan komen ipv. rooted apparaten gaat wel erg ver en beperken ze de vrijheid van de gebruiker teveel.
Maar inderdaad, die bank app gaat er gewoon af. (-:
Vandaag, 20:55 door
Anoniem
Weer een nieuwe manier van gatekeeping.
Je hebt eigenlijk ook helemaal geen bank apps nodig.
Met internet bankieren en scanner/random reader kom je er ook wel.
Ik gebruik zelf geen bankapps maar enkel internet bankieren om de kans en voetafdruk op misbruik te minimaliseren.
Een app is altijd actief namelijk dat korte moment van inloggen en overboeken met een veilige browser is minimaliseert die kans.
Je hebt eigenlijk ook helemaal geen bank apps nodig.
Met internet bankieren en scanner/random reader kom je er ook wel.
Ik gebruik zelf geen bankapps maar enkel internet bankieren om de kans en voetafdruk op misbruik te minimaliseren.
Een app is altijd actief namelijk dat korte moment van inloggen en overboeken met een veilige browser is minimaliseert die kans.
Vandaag, 20:58 door
Anoniem
Door Anoniem:
Goh, jij bent wel slim zeg. En zo trots dat je dat bedacht hebt dat je je keuze wilt delen.
Ik snap niet helemaal waarom je nu _juist_ een password manager van een untrusted source wilt installeren, maar dat mag je helemaal zelf weten. Je mag ook nog zelf kiezen wat je doet met een bankapp.
Misschien kan ik je helpen, reverse ik de bankapp,haal die check eruit, en die kun jij dan op je geroote telefoon gebruiken.
Trust me.
Door Anoniem:
Als eindgebruiker heb ik namelijk ook iets te zeggen over mijn eigen veiligheidsbeleid.
Ik denk dat een bank vanwege veiligheid dit wel mag en moet bepalen
Dan zit er niets anders op om die bank app eraf te gooien en Bitwarden erop laten.Als eindgebruiker heb ik namelijk ook iets te zeggen over mijn eigen veiligheidsbeleid.
Goh, jij bent wel slim zeg. En zo trots dat je dat bedacht hebt dat je je keuze wilt delen.
Ik snap niet helemaal waarom je nu _juist_ een password manager van een untrusted source wilt installeren, maar dat mag je helemaal zelf weten. Je mag ook nog zelf kiezen wat je doet met een bankapp.
Misschien kan ik je helpen, reverse ik de bankapp,haal die check eruit, en die kun jij dan op je geroote telefoon gebruiken.
Trust me.
Mensen kunnen beter helemaal geen password manager gebruiken.
Je vertrouwd iets wat niet te vertrouwen is.
Daarbij is het beter je passwords te diversifiseren als je al ergens een password manager gebruikt bijvoorbeeld iets voor social media en je belangrijkste wachtwoorden gewoon in het hoofd
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?