Bankovní aplikace s rootem
Zdar,
hledám na netu, jak to mají české banky s používáním bankovní aplikace na telefonu s rootem, nebo-li administrátorským přístupem. Jde mi o to, že banky jsou čím dál víc neochotné ověřovat uživatele pomocí SMS na jeho telefonní číslo a na ověřování přihlašování k IB nebo pro platby kartou požadují mobilní bankovní aplikaci.
Velmi špatně ale komunikují, zda taková mobilní aplikace poběží na každém telefonu nebo zda musí zákazník plnit ještě další podmínky. Proto bych v tomto témtau chtěl probrat zkušenosti uživatelů a získat doporučení na banky, kde mobilní aplikace funguje i na rootlých zařízeních nebo zjistit, jaké neobvyklé podmínky si banky pro používání mobilní bankovní aplikace kladou?
Ještě jsem v dotazu možná mohl zmínit, že dříve šlo root zařízení před aplikacema skrýt, ale Google ve svém API navrhnul nový nástroj, který dokáže skrytí rootu obejít a tudíž už není šance na používání aplikací s rootem, pokud to neumožňují oficiálně.
FIO - mobilní aplikace funguje všude
AirBank - mobilní aplikace při spuštění uživatele informuje, že aplikaci používá na rootlém zařízení na vlastní nebezpečí, hláška se dá vypnout.
Equa bank - root zařízení nevadí, ale aplikace nefunguje na zařízení s alternativními frameworky, na Androidu se jedná například o Xposed framework
Moneta - aplikace rootlá zařízení nepodporuje a okamžitě se vypne.
mBank - aplikace funguje s rootem, mBanka akorát upozorňuje, že je to méně bezpečné.
Komerční banka - podle Google Play má dvě aplikace, mobilní banku a KB klíč, který slouží k ověřování uživatele. KB klíč má na GP přímo napsáno, že se aplikace nespustí na zařízeních s rootem.
Česká spořitelna - na svém webu píše, že jejich ověřovací aplikace George klíč nejde nainstalovat na rootlá zařízení.
1. Vzhledem k tomu, že si banky dělají PR na bezpečnost a do klientů rvou horem dolem jak mají nakládat s bezpečností v ovládání kompu, prohlížeče, hesel apod. tak by bylo chybou, aby apka postrádala kontrolu rootu a při jeho zjištění nepovolí vstup, mohlo by to být chápáno jako vizitka banky jak se sama stará o bezpečnost aplikací. Root je prostě fuj. Všechny telefony se stejně prodávají nerootované a má je tak většina lidí.
2. "Digitalizace služeb je trend" - lidi si zvyknou na aplikaci, skoro vše si zařídí přes telefon, a tak nepotřebují kamenné pobočky, ty zavřou, zaměstnance propustí, takže banka tím oseká náklady. Možná toho přes aplikaci banka prodá víc. Toto vnímám, že banky ženou klienty do používání smartfounu nátlakem, aby konkrétní služby fungovaly dál (takže to může v člověku vyvolat obavy, strach apod. co bude dál jako dělat?), pak si člověk musí do té banky zavolat a zeptat se co udělat, aby to fungovalo dál postaru (vlastní zkušenost z nedávné doby, že věci dál jedou postaru, ale neoficiálně, žádné PR kolem toho ).
Uplne to tak neni:
1. Klientum neznalym IT ten root nic nerekne, delat PR na neco, co je tem klientum ukradene, moc nedava smysl. Naopak lidi co se okolo bezpecnosti v IT pohybuji je pozadavek na telefon bez rootu k smichu, absolutne nic to neresi. Za me teda jedine profesionalni banky u kterych chci mit ucet, jsou ty, ktere umoznuji pouzivani rootu a alternativnich frameworku na Androidu. U FIO banky i AirBank ucet mam a doufam, ze se tyto dve banky budou i nadale chovat stejne IT profesionalne jako doted a nebudu muset problemy s uctem uz resit. Ucet u Monety kvuli te nepodpore rootleho smartphonu behem tydne zrusim.
2. Castecne si tema aplikacema delaji banky PR u mladsich rocniku, kde jsou lide uz na pouzivani mobilu zvykli a naopak by mohli od banky odejit, kdyby aplikaci nemela. Hlavne ale jsou banky tlacene do tech aplikaci Evropskou unii. Ta totiz vydava opatreni k ochrane nesvepravnych obcanu (aspon dle EU) a jedno z takovych je i ochrana jejich uctu a SMS jiz neni povazovana za bezpecne overeni. Ono to do urcite miry i dava smysl, ikdyz muj nazor je, ze se to zbytecne hroti. Banky by samozrejme mohly nahradit SMS ruznymi jinymi prvky a dat klientum na vyber, ale ta aplikace je nejlevnejsi reseni, takze by banky byly samy proti sobe, kdyby to nenabizely prioritne. Jisteze, kdyz si do banky dojdes, tak zvlast u tech vetsich ti nabidnou i dalsi reseni. Ovsem obavam se, ze po staru to pujde jen docasne, moment kdy EU vyda sve doporuceni jako zavazne se blizi.
Hello bank - podle webu a podle informaci na GP driv aplikace root nepodporovala, ale nova verze nekdy ted od dubna uz jo. Akorat se zobrazi bezpecnostni upozorneni a v obchodnich podminkach ma banka napsano, ze je root nebezpecny, coz samozrejme neni pravda, ale maji to tam a maji tam, ze pripadna ztrata penez kvuli rootnutemu zarizeni jde na vrub uzivatele. Jelikoz ztrata penez kvuli rootu je nesmysl, tak asi ok.
Creditas - dle obchodnich podminek neni pouzivani na zarizeni s rootem mozne, Creditas fungovani smartbankingu na nezabezpecenem zarizeni s rootem nebo jailbreakem nepodporuje. Dle pracovnika oddeleni pece o zakazniky je pouzivani obou aplikaci (Smartbankingu i autorizacniho klice) na rootlych zarizeni zcela funkcni a jedine, co musi klient udelat navic u smartbankingu, ze musi odklepnout, ze si uvedomuje rizika pouzivani bankovni aplikace na rootlem zarizeni, teda shodne s AirBank a mBank.
Přátelské banky směrem ke zkušeným uživatelům a hightech fanouškům teda zatím jsou: FIO, AirBank, Creditas, Hello Bank a mBank.
Pokud by sem napsal nekdo dalsi, přidám sem i banky, které jsem nezjišťoval: ČSOB, Oberbank, Sberbank, Raiffeisenbank, Unicredit Bank, žádnou další banku pro běžné občany neznám.
V seznamu ti chybí např. KB, ČS, Moneta, Trinity.
KB, ČS, Moneta jsou v prvni odpovedi, root neumi. Trinity mi nerika vubec nic.
Do reseni jsem psal je ty privetive, ktere root umi a ty, ktere by me jeste zajimaly, ale odpoved jsem nenasel a psat jim uz nechci.
Aha, já už odignoroval název threadu :) Jen jsem doplnil banky
Trinity používáme kvůli úrokům na spořicích účtech (patří k těm nejvyšším, co tu jsou), běžný účet či karty od nich nemáme..
Jejich web připomína tu Oberbank, je moderně příjemně udělaný, ovšem neposkytuje téměř žádné informace a banka po tobě chce sjednání osobní schůzky. To mě okamžitě odrazuje a klikám na záložce na křížek.
To je asi nějaká změna, protože já i manželka jsem zakládali účty (tedy jen spořicí, bez běžného či platební karty) online.
Ale to bylo v 6/2019.
Koukám na web, chtějí, aby sis vybral pobočku (Praha, Brno, Zlín), to jsme tam možná měli taky, ale je to možná jen místo, kde ti "přidělí" osobního bankéře. Zkus si zavolat na 800 678 678 jak to skutečně je, podle mě opravdu nikam jít netřeba.
Preci nepujdu do banky, kde me odradil uz vzhled webovych stranek.
Mozna zkusim ten Creditas, jeste to promyslim.
Vzhledem k tomu, že úrok je 0.21%, tak to není žádná hitparáda
0,21% je sazba pro masy
Existuje momentálně i sazba 2,5x lepší, 0,58%, "Výhoda+250".
Peníze lze přece snadno přesouvat z banky do banky, jen je potřeba mít v nich založená konta. V 2/2020 dávali v Trinity 2,08%.
ČSOB aktivně blokuje root. Takže jejich aplikace na zařízeních s rootem nefunguje. Jsem se u nich ptal.
Raiffeisenbank mi poslala neurčitou odpověď:
Ptal jsem se, zda mě budou pouze informovat o možné zranitelnosti na rootlém zařízení nebo zda mě nedovolí aplikaci spustit.
Takže jsem aplikace stáhnul a spustil bez přihlášení, což se povedlo a aplikace mě nijak neblokovaly. Nejspíš si udělám u Raifky účet a uvidím, jestli mi aplikace dovolí se přihlásit a bude to bez problémů. Zatím to teda vypadá, že Raiffeisenbank není zdaleka tak striktní a nepřátelská jako jiné banky (KB, ČSOB, ČS, ...) a na jinak zabezpečeném smartphonu dovoluje používat i root.
Do skupiny Creditas přibyla nová banka:
Maxbanka
Bohužel má tuto podmínku pro bankovní aplikaci:
Takže bohužel, kdo má rootnutý mobil, tuhle banku může vynechat.
S tím asi nic nenaděláš a spíše si myslím, že než aby tyto banky root začaly podporovat, z nepodpoře se přidají další.
Rizikovost/nebezpečnost rootu vůbec nedokážu posoudit, o telefony jsem se nikdy nijak moc nezajímal a pokud mám v něm bankovní apku, tak vyloženě z donucení, nechtěl bych je, mohl-li bych si vybrat.
Je to jednoduché:
Na počítači máš klasicky ve Windows oprávnění "User", ale můžeš libovolnou aplikaci spustit jako "Administrátor". Jenom to musíš potvrdit.
Na telefonu je to úplně stejné. root = Administrátor a před spuštěním je nutné to potvrdit.
Neexistuje žádný důvod se domnívat, že telefon "s rootem" je nebezpečnější než-li bez rootu.
Trochu jiná situace je s moduly typy Xposed, což se dá přirovnat k knihovnám typu Microsoft Visual C++ Redistributable. Vkládá to svůj kód do systému. Osobně si nemyslím, že to je nebezpečné, ale jsem schopen pochopit Raifku, že to nechce a kdyby to nechtěla Airbank nebo FIO, tak bych Xposed z telefonu dal pryč.
Odmítám se podřídit s rootem. Doufám, že FIO a Airbank nikdy root nebudou řešit, opravdu k tomu není žádný důvod, snad jen marketing, aby se klienti ostatních bank jako cítili bezpečně.
Rychlý update, třeba někomu pomůže. ČSOB i KB včetně aplikací pro klíče fungují s rootem díky Magisk (25.2)/UniversalSafetyNetFix (2.4.0)
U mě na magisk 27.0 + playintegrityfix 17.1 ČSOB nejde, dokonce ani se shamiko.
Ale mám také custom ROM.
Tak byl potřeba ještě Zygisk Next
Unicredit funguje s rootem bez problémů, pouze musíte potvrdit, že přebíráte odpovědnost