Britse bank-app stopt met werken na downloaden van Bitwarden via F-Droid
De app van de Britse bank HSBC stopt met werken als het detecteert dat gebruikers wachtwoordmanager Bitwarden via de F-Droid appstore hebben gedownload. Volgens de bank heeft het aanvullende beveiligingsmaatregelen aan de eigen app toegevoegd om de accounts van klanten te beschermen. Zo wordt gecontroleerd of gebruikers geen apps van "onofficiële appstores" hebben gedownload.
Om de HSBC-app weer te kunnen gebruiken moeten gebruikers de betreffende app verwijderen en die opnieuw via de Google Play Store of andere "officiële" store downloaden. Neil Brown, een bestuurslid van F-Droid, deelde een screenshot waarop de melding van de HSBC-app te zien is. Vervolgens kwam Bitwarden met een reactie waarin het laat weten dat HSBC het gebruik van de bank-app blokkeert als het een Bitwarden-installatie via F-Droid detecteert. Tevens stelde Bitwarden dat de wachtwoordmanager ook beschikbaar is in de Google Play Store.
In een reactie tegenover The Register stelt de Britse bank dat de app controles uitvoert om mogelijke "malware risico's" te detecteren en gebruikers kan verplichten om aanvullende maatregelen te nemen om hun accounts te beschermen. "Het lijkt erop dat HSBC een veiligheidsniveau en permissies voor hun mobiele app heeft gekozen waardoor de HSBC-app kan zien of er andere apps op de telefoon staan die niet vanuit de Google Play Store zijn geïnstalleerd, en als er één wordt aangetroffen, de installatie van de HSBC-app weigert", aldus Bitwarden tegenover de website. Op Hacker News wordt gesteld dat de waarschuwing het gevolg is van Google services waarmee de integriteit van het toestel kan worden gecontroleerd.
Triodos
Vorig jaar juli kwam Triodos nog in het nieuws omdat het aanpassingen aan de eigen bank-app had doorgevoerd waardoor die weer werkte op telefoons met GrapheneOS. Dit is een op Android-gebaseerd besturingssysteem voor Pixel-telefoons. Google laat GrapheneOS geen gebruikmaken van de Play Integrity API, waarmee app-ontwikkelaars kunnen controleren dat hun app op een 'genuine' Androidtoestel draait. Zo wordt gecontroleerd of het toestel niet is geroot. App-ontwikkelaars maken gebruik van deze API, wat voor problemen kan zorgen bij gebruikers van GrapheneOS.Bij een eerdere versie van de Triodos-app voor Android werden gebruikers van GrapheneOS doorverwezen naar de website van de bank, met informatie waarom mobiel bankieren niet mogelijk is op een jailbroken of rooted apparaat. "Hoewel we officieel geen alternatieve Android-besturingssystemen ondersteunen, proberen we ze binnen onze mogelijkheden te ondersteunen en binnen de grenzen om onze app veilig te houden", aldus Menno Vogel, senior android developer van Triodos, over het doorvoeren van de aanpassingen destijds.
Fraai. Nou nog toegeven dat die beweging van hardwaretokens naar smartphones een verkeerde keuze was.
Fraai. Nou nog toegeven dat die beweging van hardwaretokens naar smartphones een verkeerde keuze was.
En dan zouden minder security minded mensen malware via een alternatieve app-store en dan hun rekening(en) ineens leeg zien. Waar zouden die toch gaan klagen?
Het is dan ook logisch dat vooral banken ergens een grens gaan zetten. Een blokkade op installeren en/of gebruiken van de een bank app is dan de meest gemakkelijke stap.
Bitwarden discrimineert F-Droid.org gebruikers, en daarmee ondermijnt het de ontwikkeling van vrije open source.
Fraai. Nou nog toegeven dat die beweging van hardwaretokens naar smartphones een verkeerde keuze was.
En dan zouden minder security minded mensen malware via een alternatieve app-store en dan hun rekening(en) ineens leeg zien. Waar zouden die toch gaan klagen?
Het is dan ook logisch dat vooral banken ergens een grens gaan zetten. Een blokkade op installeren en/of gebruiken van de een bank app is dan de meest gemakkelijke stap.
Nee. Het gaat een bank geen bal aan wat voor apps mensen op hun mobiel hebben draaien. Je moet dit niet willen normaliseren.
HSBC heeft dus echt helemaal niets met privacy. Exact volgens verwachting.
Fraai. Nou nog toegeven dat die beweging van hardwaretokens naar smartphones een verkeerde keuze was.
En dan zouden minder security minded mensen malware via een alternatieve app-store en dan hun rekening(en) ineens leeg zien. Waar zouden die toch gaan klagen?
Het is dan ook logisch dat vooral banken ergens een grens gaan zetten. Een blokkade op installeren en/of gebruiken van de een bank app is dan de meest gemakkelijke stap.
Nee. Het gaat een bank geen bal aan wat voor apps mensen op hun mobiel hebben draaien. Je moet dit niet willen normaliseren.
Ik denk dat een bank vanwege veiligheid dit wel mag en moet bepalen.
En dan zouden minder security minded mensen malware via een alternatieve app-store en dan hun rekening(en) ineens leeg zien. Waar zouden die toch gaan klagen?
Het is dan ook logisch dat vooral banken ergens een grens gaan zetten. Een blokkade op installeren en/of gebruiken van de een bank app is dan de meest gemakkelijke stap.
Ik weet dat er mensen met die apparaatjes ook in scams tuinen waarbij ze zich laten overhalen om een expliciete melding te negeren dat ze hun hele hebben en houden naar verweggistan overmaken. Die mensen laten zich ook overhalen om te negeren wat hun smartphone expliciet aangeeft dat er gebeurt. Ik heb daar geen oplossing voor. Maar malware kan je complete pc en smartphone overnemen en die apparaatjes laten nog steeds zien waar je werkelijk voor tekent. Niet iets om af te schaffen, juist iets om heel algemeen te gaan gebruiken.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?