In de UK zijn ze "boned". Hier kunnen we zomaar de komende jaren een explosie gaan zien van alternatieve mobiele besturingssystemen. Apple zal altijd wel blijven maar er komen mooie nieuwe, EU-vriendelijke toestellen in de EU uit met veelal eigen systemen.

Terwijl banken nog bezig zijn met de overgang van door hen zelf aan klanten geleverde hardwaretokens naar apps, is er dus al een bank die zeggenschap claimt over wat je wel en niet mag installeren op je eigen computer (een smartphone is een kleine tabletcomputer met ingebouwde telefoon) omdat het platform zonder dat soort restricties op te leggen niet betrouwbaar genoeg is voor hun toepassing.

Fraai. Nou nog toegeven dat die beweging van hardwaretokens naar smartphones een verkeerde keuze was.

Zou Aurora met een anoniem account richting Google Play Store ook niet meer werken? Via Aurora kan ik op mijn GrapheneOS device zo goed als alles installeren. Soms verschijnt een app niet, maar de dag daarna wel (waaronder de NN app), waarna installatie alsnog vlekkeloos gaat, zowel in een apart profiel met de beperkende Google Services compatibility laag, alsmede zonder geinstalleerde Google Services in de private space.

En dan zouden minder security minded mensen malware via een alternatieve app-store en dan hun rekening(en) ineens leeg zien. Waar zouden die toch gaan klagen?

Het is dan ook logisch dat vooral banken ergens een grens gaan zetten. Een blokkade op installeren en/of gebruiken van de een bank app is dan de meest gemakkelijke stap.

Een uiterst schadelijke en ontoelaatbare vorm van digitale apartheid:

Bitwarden discrimineert F-Droid.org gebruikers, en daarmee ondermijnt het de ontwikkeling van vrije open source.

Nee. Het gaat een bank geen bal aan wat voor apps mensen op hun mobiel hebben draaien. Je moet dit niet willen normaliseren.

https://reports.exodus-privacy.eu.org/nl/reports/uk.co.hsbc.hsbcukmobilebanking/latest
HSBC heeft dus echt helemaal niets met privacy. Exact volgens verwachting.

Ik denk dat een bank vanwege veiligheid dit wel mag en moet bepalen.

Bij hardwaretokens is dat token zelf een endpoint waarop geen andere apps en geen malware geïnstalleerd kan worden. Rabo en ING verschaffen of verschaften scanners waarmee je op het display van het apparaatje ziet wat je ondertekent, en geen malware die daar tussen kan komen. Daar doelde ik op.

Ik weet dat er mensen met die apparaatjes ook in scams tuinen waarbij ze zich laten overhalen om een expliciete melding te negeren dat ze hun hele hebben en houden naar verweggistan overmaken. Die mensen laten zich ook overhalen om te negeren wat hun smartphone expliciet aangeeft dat er gebeurt. Ik heb daar geen oplossing voor. Maar malware kan je complete pc en smartphone overnemen en die apparaatjes laten nog steeds zien waar je werkelijk voor tekent. Niet iets om af te schaffen, juist iets om heel algemeen te gaan gebruiken.

Lijkt me voor de gemiddelde gebruiker prima zet. Mocht je dit niet op prijs stellen en meer vrijheid willen, zou ik als bank jou vragen een contract te tekenen dat wanneer jij slachtoffer wordt van cybercrime en je rekening geplunderd wordt, je geen claim kan indienen en de risico’s volledig bij jezelf liggen.
Win-win. Jij de lusten. De bank niet de lasten.

Ik zou niet weten waarom. Dus de shell mag bepalen welke muziek je op je autoradio draait anders mag je niet meer tanken?

De NS mag bepalen dat je alleen maar met Nike schoenen het station op komt?

Dit houdt in dat concurrentie via Android onmogelijk wordt. Een eigen store kan dus niet. Iedereen is verplicht in zee te gaan met Google? Vrije markt en concurrentie noemen ze dat. Wat als je Google niet wil ben je verplicht of geen bankzaken. Dit noemen ze westerse vrijheid.

Dan zit er niets anders op om die bank app eraf te gooien en Bitwarden erop laten.
Als eindgebruiker heb ik namelijk ook iets te zeggen over mijn eigen veiligheidsbeleid.

Zo wordt je dus gedwongen proprietary spyware te gebruiken; de Google rootkit.
De bank app spioneert duidelijk op je telefoon en kijkt wat je installeert.
De Bunq bank heeft zelfs Huawei-trackers ingebouwd. (Spyware van het Chinese leger)
Daarnaast is F-Droid een officiele appstore.

Met die gedachte is het einde zoek. Vooral dat het voor je bepaalt wordt.
Dan zou de brandweer of de verzekeraar camera's in mijn huis moeten ophangen om zo (door middel van AI oid) in de gaten te houden of ik niet brandgevaarlijk handel, dat is dan wel zo veilig voor u. Noem maar op.
Ik denk juist dat je hier fel op tegen moet zijn zodat dit soort acties niet geaccepteerd en genormaliseerd worden.

Stuur dan als bank een brief uit waar mensen op moeten letten.

Wil jij een malware infested telefoon gebruiken, prima . Alleen de bank app wil daar niet op draaien.
Mag je kiezen wat je het meeste mist .

Vooral omdat die hypocriete zeikstralen wel bij de bank komen jammeren voor "coulance' en "schadevergoeding" als hun centjes verdwenen zijn omdat ze zonodig moesten rooten en tweaken .

Goh, jij bent wel slim zeg. En zo trots dat je dat bedacht hebt dat je je keuze wilt delen.

Ik snap niet helemaal waarom je nu _juist_ een password manager van een untrusted source wilt installeren, maar dat mag je helemaal zelf weten. Je mag ook nog zelf kiezen wat je doet met een bankapp.

Misschien kan ik je helpen, reverse ik de bankapp,haal die check eruit, en die kun jij dan op je geroote telefoon gebruiken.
Trust me.

Dat zijn ze (ios en android) al vanuit de fabriek.

F-droid is net zo officieel als de Play Store.
Kijk, als je apparaat geroot is snap ik nog wel dat je de bank app niet kunt gebruiken, maar indien dit niet het geval is kunnen ze gewoon een goede sandboxed omgeving instellen en zorgen dat er geen screenshots binnenin de bank app kunnen worden gemaakt.
Zelfs apps op de Play Store kunnen gecompromoteerd zijn, daarom hebben ze gewoon ingerent een goede beveiliging nodig, maar jet blokkeren van alle apps die niet van ome Google vandaan komen ipv. rooted apparaten gaat wel erg ver en beperken ze de vrijheid van de gebruiker teveel.
Maar inderdaad, die bank app gaat er gewoon af. (-:

Weer een nieuwe manier van gatekeeping.
Je hebt eigenlijk ook helemaal geen bank apps nodig.
Met internet bankieren en scanner/random reader kom je er ook wel.
Ik gebruik zelf geen bankapps maar enkel internet bankieren om de kans en voetafdruk op misbruik te minimaliseren.
Een app is altijd actief namelijk dat korte moment van inloggen en overboeken met een veilige browser is minimaliseert die kans.

Mensen kunnen beter helemaal geen password manager gebruiken.
Je vertrouwd iets wat niet te vertrouwen is.
Daarbij is het beter je passwords te diversifiseren als je al ergens een password manager gebruikt bijvoorbeeld iets voor social media en je belangrijkste wachtwoorden gewoon in het hoofd

Dit inderdaad. Wie is de baas, de bank of jij!

Die apps zijn toch superveilig, zouden gewoon veilig op een geinfecteerde gsm moeten kunnen draaien.

Immers zijn er minstens 240 virussen in de officiele playstore in 2025.
Dus de officiele store is vies. Dus als je die WEL vertrouwt moet je app dus bestand er tegen zijn. Is die bestand, dan is er ook geen reden om geroote systemen te wantrouwen.

Hoeveel banken is dat overkomen?
Ik lees daar nooit wat over bij Kifid.

Die risico's liggen toch al volledig bij de gebruiker van het (zijn) apparaat?
Sinds wanneer houdt de bank zich bezig met het beschermen van het apparaat van de bankklant?
En dan nog iets: als de bank kan detecteren dat mijn apparaat (met bank-app) met malware besmet is, kan de bank mij dan ook even s.v.p. hierover inlichten? Of gaat de liefde niet zo ver?
Kàn de bank überhaupt detecteren dat er malware op mijn apparaat staat?

Als er bij mij thuis wordt ingebroken, en ik heb het slot gekocht via een Chinese tussenhandelaar als de Gamma, dan hoeft mijn verzekeraar natuurlijk ook niet uit te keren.
Had ik hetzelfde slot gekocht via een gerenommeerde ijzerwarenzaak uit de lijst die Verbond van Verzekeraars had gepubliceerd, dan wel. Eigen keuze. Ook al helpt het niet om over te stappen naar een andere verzekeraar, want ze stellen allemaal dezelfde voorwaarde. Heerlijk, onze liberale maatschappij waar je zelf je eigen keuzes mag maken.

Nee, dan je bank die bepaalt welke software jij wel of niet op je mobiel mag draaien, omdat ze jouw verantwoordelijkheid naar zichzelf trekken en jouw je keuzes afnemen die principieel jouw eigen keuzes zijn.
Weggaan bij die bank is een primaire reactie die weinig gaat helpen, want met een beetje pech gaan alle banken gaan dit op termijn doen. Het zal banken niet uitmaken zolang zij maar goedkoper uit zijn. De enige echte optie is om moeilijk te gaan doen bij je bank (hebben ze liever niet, maar ze proberen zich daar zo weinig mogelijk van aan te trekken). Of gewoon stoppen met een app en terug naar gewoon internetbankieren. Tot ze gaan bepalen dat internetbankieren niet meer werkt als je Linux gebruikt, of BSD of iets anders dan Windows / Apple. Dan blijft bitcoin over.

Even wat minder cynisch: we zouden er meer aan hebben wanneer HSBC heel precies zou aangeven WAAROM een installatie via F-Droid te onveilig is, dan kan dat gewoon opgelost. Open source zelf is niet onveilig, Microsoft haalt een hele sloot geld binnen met hun Linux cloud, dat wordt ook gewoon vertrouwd.
Maar HSBC is zelf het probleem volgens het artikel: "HSBC didn't provide The Register with a clear answer on why it won't allow a sideloaded Bitwarden installation to coexist with its app on the same device."
Laten we het HSBC vergeven dat ze niet weten wat ze doen. En overstappen naar een andere bank. Losers.
Ik bepaal zelf wel wie ik mag vertrouwen.

De Chinese communisten kijken inderdaad met Bunq mee, en uiteraard ook de Amerikaanse surveillance industrie:

Huawei Mobile Services (HMS) Core
location advertisement analytics

https://reports.exodus-privacy.eu.org/en/reports/com.bunq.android/latest/

Wegstappen bij banken is niet zo simpel omdat het bij IBAN beloofde nummerbehoud niet is toegepast.
Met de invoering van digitale identificatie is dat nu nog moelijker.
Het is dus echt een kwestie van een regering die ingrijpt of weer een soort staatsbank inricht waar iedere Nederlander standaard een rekening krijgt en plaatselijk toegankelijk is, bijvoorbeeld in gemeentehuizen.

Het is fout om heel veel verschillende redenen...
De appstores zijn allen even betrouwbaar, er wordt wekelijks een APP in de Google APP store ontdekt met rondom miljoenen installaties. Ook de applestore heeft z'n uitdagingen, waarbij de afgelopen 2 jaar iOS als landschap in het vizier is genomen.

Afhankelijkheid van US bedrijven... als ze de medewerking stoppen (bv. NL op de sanctie lijst wordt geplaatst ivm standpunt over Groenland) dan kan dat ook wissen van applicaties inhouden. (Ook APPLE).

Levering van transactie data aan US bedrijven omdat in toenemende mate gebruik wordt gemaakt van Google/Apple PAY...
wat ook zou stoppen bij sancties.

Verlies van toestel is verlies van ongeveer je hele doopceel inclusief toegangssleutels voor van alles.

Google als (Persoonlijke) DATA Hoarder (We gotta catch them all), als middle man in transactie en toevertrouwen met mogelijk toegang tot betaal gegevens?... Hoezo zijn banken bezig met het beschermen van privacy?... ze houden uitverkoop van data.

Betrouwbaarheid van apps:
Wie kan de apps werkelijk controleren.. (De app store).
Bij F-Droid heb je bij "reproducible builds" ten minste de mogelijkheid om behalve de time stamps identieke software te bouwen. De sources zijn beschikbaar.

Blijkbaar zijn banken bang dat hun apps teveel bagger code bevatten zodat ze die niet als Open Source beschikbaar durven te stellen. Je moet de banken op hun blauwe ogen geloven dat ze eerlijk zijn.... (tja...?)

Bedoel je dat cynisch ?

Het is in elk geval (ongeveer) waar : bij een bepaald niveau van verzekerde waarde eisen verzekeraars een bijpassend niveau van beveiliging of je recht op uitkering bij diefstal/schade vervalt .
Dat is niet precies de winkel waar je het koopt, maar wel de kwaliteit / certificatie (aantal sterren, meerpunts etc etc) van het hang en sluitwerk.

En helemaal terecht - wie (mee)betaalt, (mee) bepaalt . Want jij wilt wel centjes van de verzekeraar als het misgegaan is met jouw individuele keuze voor je sloten.



"ik zit op een security forum . Ik snap niet waarom zomaar software installeren van een verzamelsite die ongeveer alles van iedereen laat uploaden een risico is " .


"maar als ik dat verkeerd heb ingeschat laat ik graag anderen opdraaien voor de schade. Ik ben nog op zoek naar een club die daar mee akkoord gaat".

IBAN zat in 1997 (of eerder) al in de pijplijn. In dat jaar is de eerste versie ervan een ISO-standaard geworden (ISO 13616:1997), nadat het European Committee for Banking Standards (ECBS) het had vastgesteld. Dat is meer dan een jaar voordat nummerportabiliteit voor telefoonnummers mogelijk werd. Het idee om dat ook voor bankrekeningnummers te willen kwam pas opborrelen toen dat er al was. De kamer heeft in 2011 pas besloten dat nummerbehoud bij bankrekeningnummers mogelijk moet zijn. Toen was IBAN al ingevoerd, het werd in 2006 voor buitenlandse betalingen en in 2007 voor binnenlandse verplicht. Het heeft tot 2014 geduurd voordat het voor klanten ook verplicht was ook een IBAN op te geven bij een overboeking, dus kon je als klant makkelijk ontgaan hoe ver het al was, maar in de administratieve systemen van banken waren de oude rekeningnummers allang door IBANs vervangen. Ik heb zelf tot in 2008 als ontwikkelaar bij een bank gewerkt en die was toen ik daar wegging intern al lang en breed over op IBAN, al jaren.

Het gaat trouwens niet alleen om het aanpassen van het bankrekeningnummer, er is ook een herstructurering van het Europese betalingsverkeer (SEPA, Single European Payments Area) op de IBAN gebaseerd, de projecten daarvoor liepen nog toen ik eruit stapte. Je hebt het hier over serieus grote programma's van projecten met doorlooptijden van bij elkaar vele jaren. Onderschat het niet, dit is echt een grote structurele verbouwing van het complete betalingsverkeer van Europa geweest, terwijl dat betalingsverkeer tijdens de verbouwing betrouwbaar en foutloos door moest blijven lopen. Je merkte er als klant niets van omdat je dat soort dingen ook niet moet merken, je moet er geen last van hebben. Daardoor lijkt het van buitenaf gezien veel kleiner dan het feitelijk is.

Als dan de Nederlandse politiek reageert op ideeën die in de samenleving opkomen is dat mooi, maar dat zou in dit geval even nonchalant een fundament onder een Europese mega-operatie wegslaan die al jaren gaande was. Ik vind het niet zo gek dat dat geen kans had, je neemt niet even heel Europa daarin mee, en als je het quick&dirty even over een heel andere boeg gooit dan gaat je betalingsverkeer onderuit en dan heb je een crisis.

En dat wegstappen bij een bank valt nog best mee. Er is al vele jaren een overstapservice die 13 maanden lang betalingen die naar je oude rekening worden gedaan doorsluist naar je nieuwe, je nummerwijziging voor je doorgeeft aan allerlei partijen en nog wat dingen. Niet zo makkelijk als nummerbehoud, maar het is zeker niet ondoenlijk.

De baas betekent hier: de bank bepaald.
Regels zijn belangrijk en als de bank dit zo wil zul je het moeten accepteren, anders een andere bank nemen of je geld in een sok bewaren.
De bank mag toch bepalen wat zij voor de veiligheid wil.
Net zoals de overheid eisen stelt aan een vervoermiddel zoals de auto.
APK,deugdelijke remmen,bestuurder welke een rijbewijs bezit,verzekerd,niet onde invloed van een of ander middel.enz…
Ja dan is de overheid de baas, maar niet om de baas te willen spelen maar omdat we een overheid hebben om o.a wetgeving te maken en te handhaven.

Eigenlijk is dit toch compleet de omgedraaide wereld? Juist al die apps zouden geïsoleerd moeten draaien van elkaar en dus mekaars aanwezigheid nooit moeten kunnen zien, dat is veiligheid. Dit geeft ook meteen aan hoe veilig Android is.

Sinds wanneer is de overheid tegen een vrije markt?
En bepaalt is met een t.

Ja.De situatie is vergelijkbaar Windows of OSX dat certificaten van ontwikkelaars controleert bij installatie. Maar Microsoft en Apple laten gebruikers tenminste zelf de keuze of ze alsnog iets willen installeren. Leveranciers van het OS nemen daarvoor ook juridisch geen verantwoordelijkheid, voor zover ik weet ben je ultiem zelf verantwoordelijk voor wat je installeert. En dat is bij Android niet anders.
Het zou wat anders zijn als ik de bank of een andere partij opdracht zou kunnen geven om de veiligheid van mijn apparaat te verhogen, tegen een vergoeding. Maar ook dan heb ik zelf nog keuze om dat wel of niet te doen, of om dat bij een andere partij dan de bank te beleggen. In deze situatie trekt 1 partij het naar zich toe en blokkeert andere partijen waaronder de eigenaar en verantwoordelijke van het apparaat.
Het is chantage.


Wat een ordinaire gedachte, dat iedereen er altijd op uit is om iedereen te naaien. Zoals de waard is...

Dat is ook van mijn problemen met Android, namelijk dat je geen idee hebt wat zich daar achter jouw rug om allemaal afspeelt.

Zo ben ik er onlangs achter gekomen dat mijn zoekopdrachten en e-mails bij Google die ik verwijderd had, nog gewoon op mijn telefoon staan. Ook mijn YouTube "geschiedenis" blijkt gewoon te worden bijgehouden ook al heb ik dat uitgezet.
Maar dat "uitzetten" betekent in werkelijkheid dus alleen dat ik het niet meer zie, maar Google het dus blijft bewaren...
En dit zijn dus nog vrij triviale voorbeelden (tenzij je naar de VS moet).

In dit geval heeft het aandringen op verandering bij individuele banken en bedrijven geen zin.

Google geeft bedrijven een gemakkelijke manier om veiligheid (dan wel niet schijnveiligheid) op te schroeven en te voldoen aan bepaalde veiligheidseisen binnen de desbetreffende sector. Het is deze bedrijven niet kwalijk te nemen dat ze gebruiken wat ze tot hun beschikking hebben. De Google Play Store is daar een van, net zoals de Play Integrity API.

De oorzaak is dat Google een monopolie heeft binnen o.a. het Android-ecosysteem. Google gebruikt bedrijven om indirect de keuzevrijheid van de consument te beperken tot het Google-ecosysteem door deze schijnveiligheid aan te bieden.

Dit gezegd hebbende, er zijn genoeg manieren voor bedrijven om buitensluiten te voorkomen. Rabobank heeft er bijvoorbeeld voor gekozen dat de Rabo-app niet geïnstalleerd mag worden op telefoons die geen "gecertificeerd" besturingssysteem draaien. Dit sluit gebruikers van GrapheneOS en andere alternatieve besturingssystemen uit.

Ze hadden ook een middenweg kunnen kiezen. De Rabo-app toestaan op "niet gecertificeerde" besturingssystemen maar de Rabo Scanner vereisen voor het overmaken van geld naar een onbekende rekening. De Rabo Scanner ligt buiten de controle van de telefoon en eventuele malafide code die daarop draait en dient als multi-factor authenticatie zoals vereist in de PSD2 (SCA).

Je kunt op deze manier blijven mobiel bankieren en de lopende rekening controleren als je boodschappen gaat doen of als je net te weinig op je rekening hebt staan om te pinnen bij het tankstation en snel wat overmaakt. Je bent tevens de eigenaar van beide rekeningen, een nihiel risico vanuit het eerder besproken oogpunt en dus is een Rabo Scanner niet nodig.

Het is ook deels de keuze om mobiele telefoons te gebruiken als multi-factor authenticatie dat ons hier heeft gebracht. Sommige vergelijken het gebruik van een alternatief besturingssysteem op een mobiele telefoon met het gebruik van Linux of een ander dergelijke besturingssysteem op de computer. Dit is echter niet te vergelijken. In het geval van online bankieren via de website diende een hardware-token (zoals de Rabo Scanner, ING Scanner e.t.c) en pinpas als multi-factor authenticatie. Dit is tegenwoordig de mobiele telefoon met de app en een pincode.

Heden
Iets dat je hebt - Telefoon
Iets dat je weet - Pincode (App)
Iets dat je bent - Gezichtsherkenning / Vingerafdruk (stiekem is het geen eigenwaardige factor, maar een uitbreiding van "iets dat je weet", dat is opgeslagen en wordt ontgrendeld middels biometrie)

Vroeger
Iets dat je hebt - Digipass (Rabo Scanner, ING Scanner e.t.c) & Pinpas
Iets dat je weet - Pincode (Pinpas)
Iets dat je bent - n.v.t

De digipass was onder de controle van de desbetreffende bank en dus een verkleind risico vergeleken met vandaag waar de mobiele app als digipass fungeert en waar de bank geen volledige controle meer over heeft.

Maak een extra gebruiker aan, zet daar je bank app, doe de rest in de andere gebruikersongeving.. Niet de beste oplossing, maar tijdelijk tot je iets beters weet.

Wil je dat wel..?

maar goed, als de app attestation gebruikt dan klopt het certificaat pad zeer waarschijnlijk niet omdat de google certificaten ontbreken.