HSBC chặn ứng dụng vì Bitwarden được cài qua F-Droid

Ý kiến trên Hacker News

• Đây là vấn đề của SafeNet của Google. HSBC đã chọn một mức thiết lập nhất định nên mới xảy ra hiện tượng này. Google quản lý danh sách đen ứng dụng
  Chúng ta đang dần mất đi tự do theo ý chí của các tập đoàn. Dù không bị cấm về mặt pháp lý, nếu họ không muốn thì họ vẫn có thể chặn
  Ngay cả ở Thụy Sĩ và EU, do áp lực từ Mỹ, các ngân hàng sử dụng USD cũng bị trừng phạt, dẫn đến tình trạng “debanking”. Mỹ trừng phạt con người với lý do tự do ngôn luận, và kết quả là có những người bị mất tài khoản ngân hàng
  Theo luật Thụy Sĩ, Postfinance phải cung cấp tài khoản cho mọi người, nhưng nếu bị trừng phạt thì hệ thống chuyển tiền, ngoại tệ, thẻ tín dụng, Twint đều không dùng được nên trên thực tế trở nên vô dụng. Thậm chí không thể trả bảo hiểm y tế hay tiền thuê nhà

  • Ở Thụy Sĩ, ngân hàng có thể không dùng Play Integrity, nhưng đa số không muốn vậy.
    Yuh, từng do Postfinance và Swissquote đồng sở hữu, hoạt động mà không cần Play Integrity, và đã được xác nhận hỗ trợ GrapheneOS
    Vấn đề là phần lớn ngân hàng truyền thống chọn các giải pháp kém hiệu quả như vậy để đáp ứng quy định. Cuối cùng, bật Google Play Integrity là cách dễ nhất nên họ làm thế
    Vấn đề trừng phạt từ Mỹ cũng là có thật. Người dân ở các nước bị trừng phạt như Nga cũng đang gặp các hạn chế tương tự
    Ở Thụy Sĩ, công dân Mỹ gặp rất nhiều khó khăn khi mở tài khoản, do trước đây từng có nhiều trường hợp lách IRS nhờ chế độ bí mật ngân hàng
  • Với tư cách là công dân EU, tôi chưa từng nghe về trường hợp như vậy. Đây là lần đầu tôi nghe chuyện ngân hàng EU đuổi khách hàng vì áp lực từ Mỹ. Tôi muốn biết có bài báo hay nguồn nào liên quan không
  • Từ năm nay tôi dùng hai điện thoại
    1. iPhone SE 2022 — chỉ dùng cho TOTP, ngân hàng và xác thực, bình thường để chế độ máy bay. Dự kiến được hỗ trợ cập nhật bảo mật đến năm 2032
    2. Pixel + GrapheneOS — dùng hằng ngày (internet, cuộc gọi, tin nhắn, v.v.)
       Tính đến năm 2025, tôi cho rằng đây là cách thực tế nhất
  • Về câu “mất tự do theo ý chí của doanh nghiệp”, tôi nghĩ không chỉ là vấn đề của Google. Postfinance, Twint, công ty bảo hiểm, chủ nhà... cũng phải cung cấp cách giao dịch mà không cần bên trung gian thứ ba
    Chính phủ cũng phải bảo đảm công dân có thể giao dịch thương mại mà không cần trung gian
    Ai cũng né trách nhiệm bằng cách nói “chúng tôi chỉ tuân thủ quy định”. Cuối cùng Google bị chỉ trích là vì tất cả đều an phận với sự tiện lợi
  • Tôi không tìm thấy tính năng này trong tài liệu của SafetyNet hay Play Integrity API. Tôi muốn biết nguồn hoặc chi tiết liên quan

• Ở Anh có nhiều ngân hàng không có hạn chế như vậy. Ví dụ Monzo chỉ hiện cảnh báo trên thiết bị đã root và để người dùng tự quyết định
  Nhờ Current Account Switching Service, việc chuyển khỏi các ngân hàng cũ như HSBC cũng rất dễ

  • Trải nghiệm của tôi thì khác. Hầu hết ứng dụng của các ngân hàng lớn đều không chạy trên thiết bị đã root
    Chip từng khuyến nghị ngừng sử dụng vì nói sẽ tăng cường phát hiện root, nhưng thực tế vẫn dùng được
    Barclaycard, Nationwide và một số nơi khác thì chặn truy cập hoàn toàn. Cũng có ứng dụng ngân hàng khác, nhưng tôi thấy chất lượng sản phẩm kém
  • Trong khoảng 1 năm gần đây, ứng dụng Barclays và Lloyds đã không còn chạy trên điện thoại của tôi.
    TSB thì vẫn còn dùng được, nhưng tôi nghĩ chỉ là vì năng lực kỹ thuật yếu nên theo chậm hơn thôi
    Có lẽ sau này chỉ còn Monzo là ngoại lệ

• Nếu đang làm website di động mà chưa biết PWA(Progressive Web App) thì rất nên tìm hiểu
  Chỉ cần thêm hai tệp manifest.json và service worker là có thể cài đặt từ trình duyệt và thiết lập cache offline
  Nếu ứng dụng không quá phức tạp thì có thể giảm đáng kể chi phí phát triển. Có thể làm chỉ với HTML, JS, CSS và phân phối mà không cần đưa lên store
  Xem hướng dẫn của MDN

  • Nhưng ngay cả Firefox trên desktop cũng không hỗ trợ PWA, nên khó mà nói tương lai sáng sủa
  • PWA đã tồn tại nhiều năm nhưng với người dùng phổ thông thì vẫn là một công nghệ chưa thật sự phổ biến. Nó là phương án thay thế để giải quyết vấn đề app store, nhưng độ phổ cập còn thấp

• Vợ tôi từng muốn dùng điện thoại gập kiểu cũ vì hoài niệm, nhưng dù chạy Android Go 14 thì ứng dụng ngân hàng vẫn không hoạt động vì “phát hiện chia sẻ màn hình”
  Ứng dụng POSB hiển thị nguyên nhân là “android system”. Có lẽ việc render màn hình phụ đã bị nhận diện nhầm
  Tôi đã liên hệ POSB nhưng không giải quyết được. Ở Singapore, mối đe dọa thực sự với an ninh tài chính là lừa đảo (pig butchering), nhưng các ngân hàng lại phản ứng quá mức với malware ít khả năng xảy ra hơn

• HSBC vẫn cung cấp dịch vụ ngân hàng web đúng nghĩa
  Càng nhiều người dùng web thì đó càng là tín hiệu cho thấy khách hàng ưa chuộng web mở hơn ứng dụng di động khép kín
  Tôi vẫn dùng token RSA vật lý thay vì 2FA dựa trên ứng dụng

  • Ở Anh, muốn dùng web banking thì cần token vật lý. Không thể có cả ứng dụng lẫn token cùng lúc, nên nếu ứng dụng bị chặn thì phải xin cấp lại token

• Tôi tưởng Google đã xóa API cho phép xem các ứng dụng khác rồi

  • Vẫn làm được. Ứng dụng chỉ cần khai báo những package mà nó muốn truy vấn. Ứng dụng HSBC dùng quyền <uses-permission android:name="android.permission.QUERY_ALL_PACKAGES"/>
    Theo tài liệu chính sách của Google, các ứng dụng liên quan đến giao dịch tài chính có thể được cấp quyền này vì mục đích bảo mật
  • Ứng dụng phát hành trên Google Play có thể yêu cầu quyền này cho một số mục đích nhất định. HSBC có lẽ đã được chấp thuận theo diện “antivirus”
    Liên kết tài liệu liên quan
  • Trên thực tế gần như mọi ứng dụng đều biết danh sách app bạn đã cài
    Xem bài viết này và thảo luận trên Hacker News

• Một số ứng dụng ngân hàng tự triển khai bàn phím ảo khiến bạn không thể dùng trình quản lý mật khẩu

  • Ngân hàng của tôi cũng vậy. Các ngân hàng Pháp đặc biệt thích bàn phím số trộn ngẫu nhiên. Bạn phải dùng chuột bấm mật khẩu số 6~8 chữ số
    Thay vì sinh trắc học, họ định kỳ yêu cầu nhập mật khẩu, rất bất tiện vì đôi khi phải nhập ở nơi công cộng như tàu điện ngầm
    Kiểu này trước đây là để đối phó keylogger, nhưng giờ thì chỉ còn lại sự bất tiện hơn là bảo mật
  • Ngân hàng trước đây của tôi từng bắt buộc mật khẩu 6~8 chữ số chỉ gồm số. Giờ có thay đổi hay chưa thì tôi không rõ

• Nếu chế độ nhà phát triển được bật thì ứng dụng HSBC sẽ không hoạt động. Tôi thấy đây là biện pháp quá mức

  • Ứng dụng mygov.be ở nước tôi cũng hoạt động y hệt. Là lập trình viên, tôi thường xuyên dùng adb và các thiết lập dành cho nhà phát triển, nên việc phải tắt đi mỗi lần thật sự rất bất tiện
    Xem trang mygov.be
  • Nhiều ứng dụng ngân hàng ở Singapore cũng có hạn chế với chế độ nhà phát triển. Phần lớn là do framework bảo mật để vượt kiểm toán, nhưng thực tế rất kém hiệu quả

• Trớ trêu là, các ứng dụng ngân hàng ép buộc những tính năng “bảo mật” như vậy, trong khi web banking vẫn không có cách đáng tin cậy để xác minh

  • Những yêu cầu như thế thường xuất phát từ checklist của tư vấn bảo mật. Tôi từng thấy người ta chỉ ra vấn đề “sau khi xóa app, thông tin xác thực vẫn còn trong keychain”, ở một mức độ thiếu hiểu biết đến nỗi họ không biết ứng dụng không thể chạy mã khi bị xóa

• Gần đây tôi mới biết đến Open Web Advocacy(OWA), tổ chức này tóm tắt rất tốt các vấn đề của nền tảng di động
  Các mục tiêu cốt lõi của họ là như sau

  1. Việc Apple cấm trình duyệt bên thứ ba là phản cạnh tranh
  2. Cần đối xử với web app ngang hàng với native app
  3. Loại bỏ các rào cản nhân tạo do nhà cung cấp nền tảng dựng lên
     Nếu web app được cho phép đúng nghĩa, nó có thể mang lại quyền riêng tư và bảo mật cao hơn
     Trang chính thức