HSBC、F-Droid経由でインストールされたBitwardenが原因でアプリをブロック

Hacker Newsのコメント

• これはGoogleのSafeNetの問題。HSBCが特定のレベルを選んでいるため、こうした現象が起きている。Googleがアプリのブラックリストを管理している
  私たちはますます企業の意思次第で自由を失いつつある。法的に禁止されていなくても、彼らが望まなければ止められてしまう
  スイスやEUでも、米国の圧力によりUSDを使う銀行が制裁を受け、**「デバンキング」**が起きている。米国は表現の自由を理由に人々を制裁し、その結果として銀行口座を失うケースが生じている
  スイス法ではPostfinanceはすべての人に口座を提供しなければならないが、制裁を受けると送金システム、外貨、クレジットカード、Twintのすべてが使えず、事実上無意味になる。健康保険や家賃すら払えない

  • スイスでは銀行がPlay Integrityを使わないこともあり得るが、たいていはそうしたがらない。
    PostfinanceとSwissquoteが共同所有していたYuhはPlay Integrityなしで動作し、GrapheneOS対応が確認されている
    問題は、ほとんどの既存銀行が規制対応のためにこうした非効率な解決策を選ぶ点にある。結局、Google Play Integrityを有効にするのが最も簡単なのでそうしている
    米国の制裁問題も事実だ。ロシアなどの制裁対象国の人々も同様の制約を受けている
    スイスでは米国市民が口座開設で大きな困難に直面するが、これは過去に銀行秘密主義を利用してIRSを回避した事例があったためだ
  • EU市民として、そのような事例は聞いたことがない。米国の圧力でEUの銀行が顧客を追い出すというのは初耳だ。関連する記事や出典があれば知りたい
  • 私は今年から2台のスマホを使っている
    1. iPhone SE 2022 — TOTP、銀行、認証専用で使い、普段は機内モードにしている。2032年までセキュリティアップデート対応予定
    2. Pixel + GrapheneOS — 日常用（インターネット、通話、メッセージなど）
       2025年時点では、この組み合わせが最も現実的な方法だと思う
  • 「企業の意思で自由を失う」という話については、Googleだけの問題ではないと思う。Postfinance、Twint、保険会社、大家なども第三者なしで取引する方法を提供すべきだ
    政府もまた、市民が仲介者なしで商取引できるようにすべきだ
    みなが「我々は規則に従っているだけだ」と言って責任を回避する。結局Googleが非難されるのは、皆が便利さに甘んじてきたからだ
  • SafetyNetやPlay Integrity APIのドキュメントでは、こうした機能を見つけられなかった。関連する出典や詳細を知りたい

• 英国にはこうした制限のない銀行も多い。たとえばMonzoはroot化された端末でも警告を出すだけで、ユーザーが自分で選べるようにしている
  Current Account Switching Serviceのおかげで、HSBCのような既存銀行から移るのも簡単だ

  • 私の経験は違った。主要な銀行アプリの大半はroot化端末では動かなかった
    Chipはroot検出を強化するので利用停止を勧めると言っていたが、実際にはそのまま使えた
    Barclaycard、Nationwideなどはアクセス自体をブロックする。他にも銀行アプリはあるが、製品品質が低いと感じる
  • この1年ほどで、BarclaysとLloydsのアプリが私のスマホで動かなくなった。
    TSBはまだ使えるが、技術力が足りず追随が遅いだけだと思う
    今後もMonzoだけが例外として残りそうだ

• モバイル向けWebサイトを作るなら、**PWA(Progressive Web App)**を知らない場合はぜひ知っておくべきだ
  manifest.jsonとservice workerの2ファイルを追加するだけで、ブラウザからインストール可能になり、オフラインキャッシュも設定できる
  複雑でないアプリなら、開発コストを大幅に下げられる。HTML、JS、CSSだけで作れて、ストア登録なしで配布できる
  MDNチュートリアルを参照

  • しかしFirefoxデスクトップですらPWAをサポートしていないので、先行きが明るいとは言いがたい
  • PWAは何年も前から存在するが、一般ユーザーには依然として定着していない技術だ。アプリストア問題を解決する代替策ではあるが、大衆性に欠ける

• 妻が懐かしさから折りたたみ式携帯を使おうとしたが、Android Go 14なのに銀行アプリが「画面共有を検出した」として動かなかった
  POSBアプリは原因を「android system」と表示する。おそらく補助画面のレンダリングを誤検知したのだろう
  POSBに問い合わせたが解決しなかった。シンガポールで金融セキュリティの本当の脅威は**詐欺(pig butchering)**なのに、銀行は発生確率の低いマルウェアに過剰反応している

• HSBCは今でもまともなWebサイトバンキングを提供している
  より多くのユーザーがWebを使うほど、顧客が閉鎖的なモバイルアプリよりオープンなWebを好むというシグナルになる
  私は今でもアプリベースの2FAの代わりに物理RSAトークンを使っている

  • 英国ではWebバンキングを使うには物理トークンが必要だ。アプリとトークンを同時に持つことはできないので、アプリがブロックされたらトークンを再発行してもらう必要がある

• Googleは他のアプリを照会できるAPIを削除したのだと思っていた

  • まだ可能だ。アプリがどのパッケージを照会するかを明示すればよい。HSBCアプリは<uses-permission android:name="android.permission.QUERY_ALL_PACKAGES"/>権限を使っている
    Googleのポリシー文書によれば、金融取引関連アプリはセキュリティ目的でこの権限を取得できる
  • Google Playで配布されるアプリは、特定目的に限ってこの権限を要求できる。HSBCはおそらく**「アンチウイルス」用途**として承認を得たのだろう
    関連文書リンク
  • 実際にはほぼすべてのアプリが、あなたのインストール済みアプリ一覧を知っている
    関連投稿とHacker Newsでの議論を参照

• 一部の銀行アプリは独自の仮想キーボードを実装し、パスワードマネージャーを使えなくしている

  • 私の銀行もそうだ。フランスの銀行は特に並びが毎回変わる数字キーボードが好きだ。6〜8桁の数字パスワードをマウスでクリックしなければならない
    生体認証の代わりに定期的にパスワード入力を求められるが、地下鉄のような公共の場で入力しなければならず非常に不便だ
    こうした方式は昔はキーロガー対策だったが、今ではむしろセキュリティより不便さだけが残っている
  • 昔の銀行は数字のみの6〜8桁パスワードを強制していた。今は変わったのかもしれないが分からない

• 開発者モードが有効だとHSBCアプリが動かない。あまりに過剰な措置だと思う

  • 私の国のmygov.beアプリもまったく同じだ。開発者である私はadbや開発者設定をよく使うので、毎回オフにしなければならず非常に不便だ
    mygov.beサイトを参照
  • シンガポールの多くの銀行アプリにも開発者モード制限がある。大半は監査を通すためのセキュリティフレームワークによるものだが、実際には非効率だ

• 皮肉なことに、銀行アプリはこうした**「セキュリティ」機能**を強要する一方で、Webバンキングには依然として信頼の置ける方法がない

  • こうした要件はしばしばセキュリティコンサルタントのチェックリストによるものだ。以前「アプリ削除後もkeychainに認証情報が残る」と指摘されたことがあるが、アプリ削除時にはコードを実行できないことすら理解していないレベルだった

• 最近**Open Web Advocacy(OWA)**を知ったのだが、モバイルプラットフォームの問題をうまく要約している
  彼らの主な目標は次の通りだ

  1. Appleのサードパーティブラウザ禁止は反競争的である
  2. Webアプリをネイティブアプリと同等に扱うべきだ
  3. プラットフォーム事業者が作った人為的な障壁の撤廃
     Webアプリが認められれば、より高いプライバシーとセキュリティを提供できる
     公式サイト