- Es wurde ein Fall gemeldet, in dem die Ausführung der HSBC-Mobile-App wegen eines über F-Droid installierten Bitwarden blockiert wurde
- Der Nutzer hatte Bitwarden nicht in der offiziellen Google-Play-Version, sondern als F-Droid-Build installiert
- Die HSBC-App erkannte dies als Sicherheitsrisiko und verweigerte den Zugriff
- Es wurde bestätigt, dass selbst bei derselben Bitwarden-App je nach Installationsquelle unterschiedliche Sicherheitsrichtlinien angewendet werden
- Der Fall zeigt den Trend, dass Finanz-Apps die Prüfung von Drittanbieter-Apps und Sicherheitsrichtlinien verschärfen
Fall der HSBC-App-Blockierung
- Die HSBC-Mobile-Banking-App erkannte über F-Droid installiertes Bitwarden und blockierte die Ausführung
- Bitwarden ist ein Open-Source-Passwortmanager, F-Droid ist ein Open-Source-App-Store
- Die HSBC-App stufte diese Kombination als sicherheitstechnisch riskante Umgebung ein
- Obwohl es sich um dieselbe Bitwarden-App handelt, wird die Google-Play-Version nicht blockiert
- Allein wegen der unterschiedlichen Installationsquelle werden verschiedene Sicherheitsrichtlinien angewendet
Unterschiede in den Sicherheitsrichtlinien
- Die HSBC-App scheint Root-Erkennung oder die Erkennung inoffiziell installierter Apps zu enthalten
- Apps aus der F-Droid-Version bestehen die Sicherheitsprüfung nicht, weil Signaturschlüssel oder Distributionspfad abweichen
- Dadurch erleben Nutzer die Einschränkung bei der normalen App-Nutzung als Unannehmlichkeit
Bedeutung und Implikationen
- Der Fall zeigt, dass Apps von Finanzinstituten Open-Source-Vertriebskanälen tendenziell nicht vertrauen
- Sowohl Entwickler als auch Nutzer sollten die Unterschiede in den Vertrauensmodellen je nach App-Signatur und Distributionspfad kennen
- Dies ist ein Beispiel für das Konfliktpotenzial zwischen dem Open-Source-Ökosystem und Sicherheitsrichtlinien im Finanzbereich
Noch keine Kommentare.