Sideloaden vs. alternatieve appstores zal nog wel een verschil geven qua risico.

Sideloaden van apps (dus echt de APK zelf installeren en beveiligingen uitzetten): genoeg voorbeelden te vinden van bank malware (waar een gebruiker bijvoorbeeld via een site wordt opgeroepen iets te installeren dat een banking trojan blijkt te zijn).

Alternatieve appstores (wat dus van de wet nu moet): is het al voorgekomen dat het echt banking trojans waren?

Legitieme appstore: "En genoeg mensen worden slachtoffer van fraude ook met enkel 'officiële' apps.", wellicht goed een paar voorbeelden te kennen (op zowel Android als iOS)?

Middelvinger voor de bank. Dan maar geen app. Dag hoor.

"hoe laat je praktisch en onderbouwd zien dat sideloaden en alternatieve appstores niet meer risico introduceren dan de gewone appstore? "

Zijn er niet genoeg artikelen, waar op ieder platform mallware is gevonden, te vinden? Het risico is evenredig, zelfs met AV op je telefoon komen ze er doorheen ongeacht waar het vandaan komt. Het probleem zit 'm niet in waar het vandaan komt maar wat men er op zet zoals (domme) spelletjes en andere 'leuke' apps.

--n dan komen we weer bij het aloude probleem: hoe laat je praktisch en onderbouwd zien dat sideloaden en alternatieve appstores niet meer risico introduceren dan de gewone appstore?--
Volgens mij draait dit het probleem om. De bank wil afwijken van de wet, dus die heeft volgens mij de bewijsplicht en moet dus aantonen (aannemelijk maken) dat sideloaden extra risico's met zich meebrengt.

Ik snap de banken wel, maar ze zouden bij detectie van een gesideloade app ook kunnen vragen of de gebruiker de extra risico's kent en ze accepteert. Dan zou de bank bij een malafide transactie kunnen stellen dat de gebruiker daar eerder zelf voor verantwoordelijk is. Een gebruiker die een app sideload doet dat vaak bewust en kan dan het risico inschatten, mocht dat niet het geval zijn, dan is het melden door de bankapp dus een prima actie.

Een smartphone is een zeer persoonlijk appraat. Nog persoonlijker dan de Personal Computer. Als bank extra gegevens gaan verzamelen over het gebruik van een apparaat komt neer op het verwerken van persoonlijke gegevens over gedrag. Dat gedrag een risico kan vormen is geen reden om het maar preventief te gaan verwerken. Er hoort dan vooraf aantoonbaar te zijn dat recht op bescherming van persoonlijke gedrag ondergeschikt is aan het belang van de bank. En dat tonen de banken niet aan hun klanten aan. De banken voeren er zelfs vooraf geen discussie over met hun klanten, ze zijn gaan verzamelen omdat er gelegenheid was. En dat is niet hoe een bank met de rechten van klanten om hoort te gaan. En daar bestaat toezicht voor. De Autoriteit Persoonsgegevens hoort dat toezicht uit te voeren. Alleen blijkt dat toezicht weer niet uitgevoerd te worden. Met als gevolg dat banken van gelegenheid gebruik maken zolang niemand ze weet te stoppen. Ga dus naar de toezichthouder als je bank je niets vraagt voor ze je smartphone gebruiken alsof het hun apparaat is.

Een aantal jaren geleden dwong ABN Amro een nieuwere versie van Android af, waardoor bankieren met een oudere telefoon onmogelijk werd.
Op een recentere de-googled telefoon krijg ik de app ook niet aan de praat voor een familielid. ABN Amro gebruikt in haar app dus waarschijnlijk ook deze Android-permissie.

Sowieso vraag ik me af waarom mensen bij ABN Amro bankieren, maar dat terzijde.

Ik ben geen voor of tegenstander van deze controles.

Het gebied is zo grijs en zeker als het gaat om officiële Appstores dus niet van het darkweb gedownloade illegale apps.

Maar misschien moeten we niet zo "panisch" doen. Een bank heeft een verantwoordelijkheid om te voorkomen dat kwaadwillende ongewenst toegang tot de bankgegevens krijgt van hun klanten, daar kan je het niet mee oneens zijn toch?Hoe kunnen zij deze verantwoordelijkheid krijgen als ze geen preventieve maatregelen kunnen treffen?

En dan is het leuk dat er hier 5 personen reageren met wat belachelijk dat.... En vrijheid blijheid en wat een betutteling. Niet iedereen is zich zo bewust van alle risico's die we lopen bij het gebruik van sideloaden. De mensen die op dit forum zitten zijn over het algemeen iets bewuster en begrijpen wat er gebeurt als je bepaalde security maatregelen uitschakelt. Maar moet een bank rekening houden met een kleine groep die het wel begrijpt of met de massa die het niet begrijpt?

Voorbeeld: Een persoon die minder interesse en kennis heeft van hoe security werkt, wordt opgebeld door een fraudeur, die weet het vertrouwen van deze persoon te winnen en "helpt" de persoon om via sideloaden een stukje software te installeren die remote toegang geeft tot een apparaat en vervolgens weet hij daarmee de bank app te misbruiken. Wie is dan verantwoordelijk voor de geleden schade? Iemand waarvan je niet kan verwachten dit allemaal te snappen (oud mens van 80?)want ja we moeten internet bankieren...... De bank? Maar tja die mag geen maatregelen treffen....

Dus voordat we met z'n allen weer gaan klagen hoe verschrikkelijk banken zijn, denk eerst eens buiten je eigen kennisniveau en hou rekening met de uitdagingen waar bedrijven voor staan in een wereld waar cybercriminelen niets schuwen om maar slachtoffers te maken.

Was dit ook zo toen het internet bankieren begon tot het moment van de exclusieve App? ging de Bank ook onze PC's checken of eisen stellen? Nee, ze hebben ons de App omgeving door de strot geduwd, zonder App heb je niks meer en nu ineens (al is dit al langer het geval) gaan ze bepalen waar ik dat opzet? Men praat steeds vaker waar nu al die agressiviteit vandaan komt, DIT dus, afschuiven EN bepalen waarheen ZIJ jou op afschuiven en als het even kan gedreven door de politiek want dan hoeven zichzelf niet te verantwoorden.

Op je pc had je tenminste root rechten en was je de eigenaar van je systeem. Android daarentegen... Wie verzint zoiets

Dit is gewoon een overtreding van de computer criminaliteitswet 3.
De bank eigent zich toegang tot delen van de mobiele telefoon waar het niets te zoeken heeft en haalt informatie op waar het geen zak mee te maken heeft.
Dit is gewoon hacken, plain & simpel.
In de bak met die gasten.

Het probleem is wel mensen worden gedwongen met Google in zee te gaan. Het bedrijf ontwijken lukt voor mensen niet en concurrentie bedrijf maken met een app store kan ook niet. Klanten mogen bij jou niks halen. Zo spelen ze met veiligheid Apple en Google in de kaart. Kartelvorming dus.

Beveiliging is een afweging van de risico's en vrijheid. Het risico van de bank wordt hiermee verkleind terwijl de vrijheid van de klant wordt aangetast. Dit gaat dus te ver. Straks mag je ook niet meer bankieren vanaf linux zonder secure boot met remote attestation. Als je voor iedere transactie een selfie zou moeten maken vinden we daar ook wat van dus als de banken met andere rare digitale checks en vereisten komen dan moet dat ook aan de kaak worden gesteld.

Waarom zou je willen sideloaden?

Omdat een custom ROM zoals LineageOS op die activiteit gebouwd is en deze langer security-updates blijft leveren dan het origineel van de fabrikant.

Ook zitten er vaak minder dubieuze apps in van origine.

Bovendien geeft een dergelijke actie je vrijwel altijd meer functies en recentere versies van de software dan je uit de fabriek krijgt en kan je dus de functionaliteit van een goedkope telefoon van pakweg 200 euro op die manier upgraden naar die van eentje van meer dan duizend.

Dit lijken mij meer dan genoeg redenen voor rechters en juristen om het wel toe te staan en niet meer te zien als een rare activiteit.

OK, kunnen de banken dan ook stoppen met je naar het gebruik van de apps.
Sommige zijn daar in nogal dubbel, een hele tijd terug een opdracht gedaan voor een bank die toen al hun klanten heel erg naar het gebruik van de app stuurde maar we door heel wat hoepels heen moesten springen om intern apps te gebruiken binnen hun omgeving.

Google misbruikt banken als stromannen in een schaamteloze monopolietruc: klassieke 'veiligheid'-misleiding, waarbij ze banken sideload-gebruikers laten blokkeren onder het mom van 'bescherming'.

Realiteit? Niemand wint behalve Google – zij verstevigen hun greep, wij verliezen keuzevrijheid, privacy én innovatie. Pure misleiding. DNB, grijp in

Zoals ING mij deze week liet weten, dat v10 van Android niet meer ondersteund is binnenkort?

ABN AMRO gebruik deze permissie inderdaad. Zie https://reports.exodus-privacy.eu.org/en/reports/com.abnamro.nl.mobile.payments/latest/.

Hoe heb je dit device ge-degooglet? Toevallig door de bootloader te unlocken? Dat zorgt ervoor dat je Play Integrity faalt, en daar checken zowel alle bank-apps wel op.

Ik gebruik gewoon de ing-scanner en abn-amro reader, nergens last van en niet traceerbaar.

O ja de Play Integrity: de truc van Google met security als drogreden om een lockin bij de BigTech te introduceren.

Mensen die via een scam verleid worden om een app te side-loaden kun je 9 van de 10 keer ook wel verleiden om dat via de PC te doen. Het mes snijdt wat mij betreft aan twee kanten. Een bank dient ervoor te zorgen dat een app robuust genoeg is om misbruik middels andere apps nagenoeg onmogelijk te maken (100% veilig bestaat niet) en mensen dienen voldoende digitaal vaardig te zijn om hun zakcomputer te gebruiken. Eigenlijk net zoals we dat met auto's gedaan hebben. De auto moet zo veilig mogelijk gemaakt worden en de bestuurder moet een proeve van bekwaamheid afleggen alvorens hij of zij een auto mag besturen.

Maar ondertussen kan iedereen met een smartphone zijn hele hebben en houwen regelen, maar gaan we er maar automatisch vanuit dat iedereen ook precies weet waar hij of zij mee bezig is. Er ligt wat mij betreft een gedeelde verantwoordelijkheid waarbij banken prima een keuze kunnen inbouwen dat je wel degelijk gebruik kunt maken van side-loaden, maar de bank bij installatie van de app je verwittigd van het feit dat ze in dat geval minder beveiliging tegen fraude kunnen garanderen. Dan zorgt de bank dat de app zo veilig als mogelijk is en kiest de gebruiker er bewust voor meer of minder risico te lopen.

Als je je als gebruiker dan nog laat verleiden om allerlei apps te installeren via een side-load en je ook nog laat verleiden tot het negeren van de waarschuwingen van de bank, dan moet je je ook eens achter de oren krabben of je als gebruiker wel van een apparaat als een smartphone gebruik wilt maken voor het regelen van bijvoorbeeld je bankzaken.

Ah, ik wist niet dat ING (nog?) een scanner had. Goed idee. Ik ga er ook een aanvragen.

Het is een telefoon waarop iodéOS draait, gebaseerd op LineageOS.

Dat zouden ze dan wel vooraf moeten doen, want als die app er al opstaat zou die bijvoorbeeld ook het scherm kunnen beïnvloeden. Beetje net zoals ik niet kan pinnen buiten Europa, of m'n pinpas niet online kan gebruiken als debit/creditcard, tenzij ik het aanzet.

Maar zouden wij als gebruikers die risico's mogen wegwuiven? Zit vast wetgeving op?
En speelt dit wel in NL? De voorbeelden zijn uit het buitenland! (heeft iemand hier echt zelf ervaring mee?)



Dat is niet sideloaden van een app, dat is het hele OS vervangen. Zullen niet heel veel gebruikers doen zou ik mij kunnen voorstellen?

Die banken doen dus gewoon aan afpersing. Alsof zij gaan over de manier waarop je software mag installeren, over hoe jij je apparaat mag gebruiken.

En het betekent dat hun apps niet veilig genoeg zijn van zichzelf.

Of dat het hele ecosysteem (OS, hardware) niet veilig genoeg is, waardoor iedereen terug moet naar internetbankieren.

Tsja, een app is natuurlijk afhankelijk van het platform .

Noem dat je een baanbrekend inzicht ?


terug ?
Dat is nu juist de vooruitgang van mobiele devices - dat het hele ecosysteem (hardware, OS, gecontroleerde appstore) veel veiliger is dan de desktop .

"Sideloaden" is een misleidende term om het te doen lijken dat iemand iets verkeerds of raars doet. Op elke andere computer (en een telefoon is weinig meer dan een computer met een ingebouwde microfoon en een bel-app) zou je dit gewoon "installeren van software" noemen. Google noemt het "sideloaden" omdat Google eigenlijk wil dat iedereen alleen en uitsluitend via haar appstore apps kan installeren. Dat willen ze niet omdat ze zo onbaatzuchtig betrokken zijn bij jouw veiligheid, maar omdat dat beter is voor hun winst. Als het voor Google financieel voordeel op zou leveren als er tientallen appstores waren, dan zouden we uit tientallen appstores kunnen kiezen en zouden ze dat te vuur en te zwaard verdedigen met argumenten als persoonlijke keuze, diversiteit, vrijheid, open platform, concurrentie, en het voorkomen van een monopolie-positie.

In principe zou de desktop het altijd moeten winnen van de smartphone want die heeft niet de beperking van het kleine formaat, draadloos only, en een accu die leeg kan raken. Met andere woorden: als het met de smartphone kan, moet het zeker met de pc kunnen. Maar als software ontwikkelaars 90% van hun tijd besteden aan het maken van smartphone apps is het niet zo vreemd dat het hele desktop gebeuren wat achter blijft. Het is niet zo dat smartphones sowieso beter zijn dan desktop computers; alles staat of valt met de (door) ontwikkeling van software/hardware en operating systems.

Die apps werken ook via het internet, dat is nog steeds internetbankieren. Je bedoelt een webapplicatie met je webbrowser gebruiken, neem ik aan. Dat is world wilde web, http en html, dat is maar een van de vele dingen die via het internet lopen.

Het probleem is dat Android- en iOS-devices, want daar gaat het specifiek over, zowel veiliger en minder veilig zijn dan desktopcomputers, in verschillende opzichten.

Toegang tot data is op smartphones per app geregeld in plaats van per gebruiker, er zijn in smartphones allerlei security-devices ingebouwd die op een pc een apart randapparaat zouden zijn dat er niet per se is, de gebruiker moet het apparaat "rooten" om rechten te verkrijgen die die zaken kunnen doorbreken, terwijl een desktopcomputer vanuit dat perspectief gezien geroot geleverd wordt. Voor bank-apps levert dat een veel strikter gecontroleerde omgeving op waarin ze worden uitgevoerd, en in die zin is het veiliger.

Maar omdat jij minder de baas bent op je systeem is een tech-bedrijf juist meer de baas op jouw systeem. Google wordt stinkend rijk van dingen gratis leveren. Ra ra hoe kan dat? Dat kan omdat jij niet de klant bent, dat zijn de adverteerders. In wezen wordt jij geëxploiteerd, er worden gegevens over jou geoogst. Weet je zeker dat je dat bedrijf volledig kan vertrouwen en de baas op je systeem wilt laten zijn? Je wordt als gebruiker gedwongen een account bij zo'n tech-bedrijf aan te maken om die smartphone en die bank-app te kunnen gebruiken. Is dat zo'n geweldig idee qua veiligheid? Ik beschouw privacy hierbij voor de duidelijkheid als onderdeel van veiligheid, ik beperk dat niet alleen tot aspecten van de technische implementatie.

Dat banken ook strenger aan het worden zijn in hoe je die smartphone precies gebruikt komt omdat je er andere apps op kan installeren, inclusief malware die de sterkere beveiliging kan doorbreken. Met een apart fysiek securitytoken dat de bank levert heb je die kwetsbaarheid niet.

Een ander punt waar ik moeite mee heb qua veiligheid is dat volledige toegang tot bankzaken, inclusief spaarrekeningen, naar een apparaat toe getrokken wordt waarmee mensen over straat lopen, dat je overal op allerlei cafétafeltjes ziet liggen in de zomer. Natuurlijk staat het weggrissen van zo'n apparaat niet meteen gelijk aan alle sluizen open, de dief moet nog steeds binnen zien te komen, maar ik vind het een ongelukkige combinatie. Met die aparte fysieke security tokens, die ik nog steeds gebruik, heb ik geregeld dat ik alleen thuis, in een omgeving zonder pottenkijkers, toegang heb tot mijn spaargeld met een apparaatje dat niet door malware besmet kan worden.

Aan de manier waarop banken veiligheid benaderen zit een heel pragmatische kant. Ze kijken niet uitsluitend naar theoretische mogelijkheden, ze kijken ook naar hoe goed iets op dit moment in de praktijk uitpakt. Kennelijk hebben smartphone-apps een tijd lang goed gescoord. Kennelijk neemt de druk erop toe, anders zouden ze de eisen aan het gebruik ervan niet opschroeven (geen side-loaded apps, geen geroote toestellen).

Met hoe de VS zich aan het ontwikkelen is zouden ze in mijn ogen Apple en Google zelf als risico moeten onderkennen en als de donder moeten zorgen dat ze hun beleid om hun klanten die kant op te duwen herzien.

Ik zeg niet dat de hardwaretokens van banken allemaal ideaal zijn, trouwens. Ten eerste geldt voor allemaal dat bij een pc vol malware het hooguit bescherming kan geven tegen foutieve overboekingen, en niet tegen inzage van de malware in banksaldi en overboekingen, want die worden getoond op een mogelijk gecompromitteerd apparaat. Ten tweede zijn alleen de scanners, zoals Rabo en ING die gebruiken, van een schermpje voorzien waarop de gebruiker kan zien wat er werkelijk wordt overgeboekt. Daarbij heeft Rabo de zwakte dat je er je bankpas in moet steken en de pincode daarvan gebruikt, en die gebruik je ook buiten de deur, die is te makkelijk af te kijken. En zo'n schermpje lost natuurlijk niet op dat ontstellend veel mensen niet lijken te kunnen begrijpen dat wat op dat schermpje staat is wat ze ondertekenen, dat als de pc of iemand aan de telefoon iets anders zegt dat schermpje nog steeds is wat aangeeft wat er werkelijk gaat gebeuren als je het doorzet. Maar dat bezwaar heeft een smartphone zelf ook, dus dat is geen onderscheidend criterium.

Banken werken in zat dingen samen. iDeal en de opvolger ervan, Wero, zijn door banken samen opgezet. Ze delen tegenwoordig geldautomaten, en je kon altijd al met een pas van de ene bank geld opnemen bij een automaat van de andere bank. Nog veel ouder is het SWIFT-netwerk dat voor internationaal betalingsverkeer wordt gebruikt, dat doen banken al gezamenlijk sinds 1973, internationaal.

Dus wat weerhoudt banken ervan om samen te werken aan een gezamenlijk hardwaretoken, volgens een open standaard, dat geproduceerd kan worden door verschillende hardwarefabrikanten en waarvan goedgekeurde implementaties gebruikt mogen worden, meteen voor alle banken, en dat aan de hoogste eisen voldoet? Ze kunnen daarin samenwerken met overheden, die voor DigiD en equivalenten daarvan ook een vorm van sterke authenticatie nodig hebben. Ze kunnen ook samenwerken met organisaties als bijvoorbeeld FIDO voor het ontwikkelen van goede standaards. Het gaat er niet om dat dit smartphone-apps vervangt, het kan naast elkaar bestaan. Ik heb geen bezwaar om zelf een paar tientjes uit te geven aan een goedgekeurd apparaatje dat ik aan DigiD en verschillende bankrekeningen kan koppelen (op een goed gecontroleerde manier natuurlijk). Dat kost heel wat minder dan een smartphone en heeft bezwaren niet die je daar wel tegen kan hebben.

De bank neemt het risico om gebruik te willen maken van andermans computers om zelf te besparen op duur personeel, dure bankgebouwen en zo meer winst te maken. Hun apps zijn al decennia lang te gebruiken zonder het gedrag van klanten te willen weten. Het is iedere keer het zelfde liedje bij de banken. Als hun eigen keuzes tot besparen ze zelf niet bevalt dan beslissen ze tot maatregelen dat klanten maar met minder genoegen moeten nemen. Niet slechts in geld maar vooral in het afnemen van persoonlijke vrijheid.

Een bank heeft niets te maken met de persoonlijke levenssfeer van hun klanten. Klanten betalen hun bank niet zodat die nog eens extra aan hun persoonlijke levenssfeer kan gaan verdienen. Banken krijgen zelfs betaald om te mogen verdienen aan de miljardentegoeden van klanten. Lukt dat ze niet dan kunnen ze prima op hun miljardenwinsten interen en de topsalarissen naar beneden stellen. Die ze verdienen door zelf risico te nemen. Bij eigen risico zit ook eigen verlies. De apps willen laten gebruken is het risico van de banken. Geen van de klanten heeft de banken ooit gedwongen loketten te sluiten of apps te moeten gebruiken. Banken zijn niet zielig. Banken zijn niet onbeholpen. Inzicht in gedrag vragen om hun eigen risico's verder in te dekken is absoluut niet nodig. Er is dus geen enkele wettige reden om dat soort vragen wel acceptabel te vinden.