HSBC blockiert App wegen über F-Droid installiertem Bitwarden

 (mastodon.neilzone.co.uk)
2 Punkte von GN⁺ 2026-01-01 | 1 Kommentare | Auf WhatsApp teilen
  • Es wurde ein Fall gemeldet, in dem die Ausführung der HSBC-Mobile-App wegen eines über F-Droid installierten Bitwarden blockiert wurde
  • Der Nutzer hatte Bitwarden nicht in der offiziellen Google-Play-Version, sondern als F-Droid-Build installiert
  • Die HSBC-App erkannte dies als Sicherheitsrisiko und verweigerte den Zugriff
  • Es wurde bestätigt, dass selbst bei derselben Bitwarden-App je nach Installationsquelle unterschiedliche Sicherheitsrichtlinien angewendet werden
  • Der Fall zeigt den Trend, dass Finanz-Apps die Prüfung von Drittanbieter-Apps und Sicherheitsrichtlinien verschärfen

Fall der HSBC-App-Blockierung

  • Die HSBC-Mobile-Banking-App erkannte über F-Droid installiertes Bitwarden und blockierte die Ausführung
    • Bitwarden ist ein Open-Source-Passwortmanager, F-Droid ist ein Open-Source-App-Store
    • Die HSBC-App stufte diese Kombination als sicherheitstechnisch riskante Umgebung ein
  • Obwohl es sich um dieselbe Bitwarden-App handelt, wird die Google-Play-Version nicht blockiert
    • Allein wegen der unterschiedlichen Installationsquelle werden verschiedene Sicherheitsrichtlinien angewendet
Anzeige

Unterschiede in den Sicherheitsrichtlinien

  • Die HSBC-App scheint Root-Erkennung oder die Erkennung inoffiziell installierter Apps zu enthalten
    • Apps aus der F-Droid-Version bestehen die Sicherheitsprüfung nicht, weil Signaturschlüssel oder Distributionspfad abweichen
  • Dadurch erleben Nutzer die Einschränkung bei der normalen App-Nutzung als Unannehmlichkeit

Bedeutung und Implikationen

  • Der Fall zeigt, dass Apps von Finanzinstituten Open-Source-Vertriebskanälen tendenziell nicht vertrauen
  • Sowohl Entwickler als auch Nutzer sollten die Unterschiede in den Vertrauensmodellen je nach App-Signatur und Distributionspfad kennen
  • Dies ist ein Beispiel für das Konfliktpotenzial zwischen dem Open-Source-Ökosystem und Sicherheitsrichtlinien im Finanzbereich

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2026-01-01
Hacker-News-Kommentare

  • Das ist ein Problem von Googles SafeNet. HSBC hat eine bestimmte Stufe ausgewählt, wodurch dieses Verhalten entsteht. Google verwaltet die Blacklist der Apps
    Wir verlieren zunehmend unsere Freiheit durch den Willen von Unternehmen. Selbst wenn etwas nicht gesetzlich verboten ist, kann es blockiert werden, wenn sie es nicht wollen
    Auch in der Schweiz und der EU kommt es unter US-Druck zu „Debanking“, weil Banken, die USD verwenden, Sanktionen ausgesetzt sind. Die USA sanktionieren Menschen unter Berufung auf die Meinungsfreiheit, was dazu führen kann, dass sie ihre Bankkonten verlieren
    Nach Schweizer Recht muss Postfinance jedem ein Konto anbieten, aber bei Sanktionen können Überweisungssysteme, Fremdwährungen, Kreditkarten und Twint nicht genutzt werden, wodurch das Konto faktisch wertlos wird. Man kann dann nicht einmal die Krankenversicherung oder die Miete bezahlen

    • In der Schweiz müssen Banken Play Integrity nicht unbedingt verwenden, die meisten wollen das aber nicht.
      Yuh, das sich einst im gemeinsamen Besitz von Postfinance und Swissquote befand, funktioniert ohne Play Integrity, und die Unterstützung für GrapheneOS wurde bestätigt
      Das Problem ist, dass die meisten traditionellen Banken zu solchen ineffizienten Lösungen greifen, um regulatorische Anforderungen zu erfüllen. Am Ende ist es am einfachsten, Google Play Integrity zu aktivieren, also tun sie genau das
      Das Problem mit US-Sanktionen ist ebenfalls real. Menschen in sanktionierten Ländern wie Russland erleben ähnliche Einschränkungen
      In der Schweiz haben US-Bürger große Schwierigkeiten bei der Kontoeröffnung, weil es in der Vergangenheit Fälle gab, in denen wegen des Bankgeheimnisses der IRS umgangen wurde
    • Als EU-Bürger habe ich von solchen Fällen noch nie gehört. Dass EU-Banken auf US-Druck Kunden hinauswerfen, höre ich zum ersten Mal. Mich würden dazu Artikel oder Quellen interessieren
    • Seit diesem Jahr nutze ich zwei Telefone
      1. iPhone SE 2022 — nur für TOTP, Banking und Authentifizierung, normalerweise im Flugmodus. Sicherheitsupdates sollen bis 2032 bereitgestellt werden
      2. Pixel + GrapheneOS — für den Alltag (Internet, Anrufe, Nachrichten usw.)
        Ich halte diese Kombination im Jahr 2025 für die praktikabelste Lösung
    • Zu der Aussage, man verliere Freiheit durch den „Willen von Unternehmen“: Ich glaube nicht, dass das nur ein Problem von Google ist. Auch Postfinance, Twint, Versicherungen, Vermieter usw. sollten Wege anbieten, Geschäfte ohne Dritte abzuwickeln
      Auch der Staat sollte Bürgern ermöglichen, ohne Vermittler Handel zu treiben
      Alle ziehen sich mit „Wir befolgen nur die Regeln“ aus der Verantwortung. Dass am Ende Google kritisiert wird, liegt daran, dass sich alle im Komfort eingerichtet haben
    • Ich konnte in der Dokumentation zu SafetyNet oder der Play Integrity API keine solche Funktion finden. Ich würde gern Quellen oder Details dazu sehen

  • Im Vereinigten Königreich gibt es auch viele Banken ohne solche Einschränkungen. Monzo zeigt zum Beispiel selbst auf gerooteten Geräten nur eine Warnung an und überlässt die Entscheidung dem Nutzer
    Dank des Current Account Switching Service ist es auch leicht, von traditionellen Banken wie HSBC wegzuwechseln

    • Meine Erfahrung war anders. Die meisten Apps großer Banken funktionierten auf gerooteten Geräten nicht
      Chip riet zur Aufgabe der Nutzung und kündigte strengere Root-Erkennung an, tatsächlich konnte ich es aber weiterhin verwenden
      Barclaycard, Nationwide und andere blockieren den Zugriff vollständig. Es gibt noch weitere Banking-Apps, aber ich habe das Gefühl, dass die Produktqualität gering ist
    • Im letzten Jahr funktionieren die Apps von Barclays und Lloyds auf meinem Telefon nicht mehr.
      TSB geht noch, aber ich denke, das liegt nur daran, dass sie technisch hinterherhinken
      Vermutlich bleibt Monzo die einzige Ausnahme

  • Wenn man mobile Websites baut und PWA (Progressive Web App) nicht kennt, sollte man sich unbedingt damit befassen
    Wenn man nur die zwei Dateien manifest.json und service worker hinzufügt, kann die App im Browser installiert werden und Offline-Caching unterstützen
    Für Apps ohne große Komplexität lassen sich die Entwicklungskosten deutlich senken. Man kann alles mit HTML, JS und CSS umsetzen und ohne Store-Freigabe verteilen
    Siehe das MDN-Tutorial

    • Allerdings unterstützt nicht einmal Firefox auf dem Desktop PWA, daher würde ich die Aussichten nicht als besonders gut bezeichnen
    • PWAs gibt es seit Jahren, aber für normale Nutzer sind sie immer noch eine Technologie, die sich nicht durchgesetzt hat. Sie sind zwar eine Alternative zu Problemen mit App-Stores, haben aber zu wenig Breitenwirkung

  • Meine Frau wollte aus Nostalgie ein Klapphandy benutzen, aber obwohl es Android Go 14 hat, funktioniert die Banking-App wegen „erkannter Bildschirmfreigabe“ nicht
    Die POSB-App zeigt als Ursache „android system“ an. Vermutlich wurde das Rendern auf einem Zweitbildschirm fälschlich erkannt
    Ich habe POSB kontaktiert, aber das Problem wurde nicht gelöst. Die eigentliche Bedrohung für die Finanzsicherheit in Singapur ist Betrug (pig butchering), aber die Banken reagieren übermäßig auf die geringe Wahrscheinlichkeit von Malware

  • HSBC bietet weiterhin normales Web-Banking an
    Je mehr Nutzer das Web verwenden, desto stärker ist das Signal, dass Kunden das offene Web gegenüber geschlossenen mobilen Apps bevorzugen
    Ich nutze immer noch einen physischen RSA-Token statt appbasierter 2FA

    • Im Vereinigten Königreich braucht man für Web-Banking einen physischen Token. Man kann App und Token nicht gleichzeitig haben; wenn die App blockiert wird, muss man den Token erneut beantragen

  • Ich dachte, Google hätte die API entfernt, mit der man andere Apps abfragen kann

    • Das geht immer noch. Eine App muss nur angeben, welche Pakete sie abfragen will. Die HSBC-App verwendet die Berechtigung <uses-permission android:name="android.permission.QUERY_ALL_PACKAGES"/>
      Laut Googles Richtliniendokument können Apps im Zusammenhang mit Finanztransaktionen diese Berechtigung zu Sicherheitszwecken erhalten
    • Apps, die über Google Play verteilt werden, können diese Berechtigung für bestimmte Zwecke anfordern. HSBC hat die Freigabe vermutlich unter dem Zweck „Antivirus“ erhalten
      Link zum entsprechenden Dokument
    • Praktisch jede App kennt die Liste deiner installierten Apps
      Siehe diesen Beitrag und die Hacker-News-Diskussion

  • Einige Banking-Apps implementieren ihre eigene virtuelle Tastatur, sodass man keinen Passwortmanager verwenden kann

    • Meine Bank macht das auch. Französische Banken mögen besonders gemischte numerische Tastaturen. Man muss ein 6- bis 8-stelliges numerisches Passwort mit der Maus anklicken
      Statt biometrischer Authentifizierung wird regelmäßig das Passwort verlangt, was an öffentlichen Orten wie in der U-Bahn sehr unangenehm ist
      Diese Methode war früher gegen Keylogger gedacht, heute bleibt davon aber mehr Unbequemlichkeit als Sicherheit
    • Meine frühere Bank erzwang ein 6- bis 8-stelliges Passwort, das nur aus Zahlen bestehen durfte. Ich weiß nicht, ob sich das inzwischen geändert hat

  • Wenn der Entwicklermodus aktiviert ist, funktioniert die HSBC-App nicht. Das halte ich für völlig übertrieben

    • Die App mygov.be in unserem Land verhält sich genauso. Als Entwickler nutze ich adb und die Entwicklereinstellungen oft und muss sie deshalb jedes Mal ausschalten, was extrem unpraktisch ist
      Siehe die mygov.be-Website
    • Viele Banking-Apps in Singapur haben ebenfalls Beschränkungen bei aktiviertem Entwicklermodus. Meist liegt das an Security-Frameworks für Audits, die in der Praxis ineffizient sind

  • Ironischerweise erzwingen Banking-Apps solche „Sicherheits“-Funktionen, während Web-Banking nach wie vor keine verlässliche Vertrauensbasis bietet

    • Solche Anforderungen kommen oft von Checklisten von Sicherheitsberatern. Ich habe früher einmal den Hinweis bekommen, dass „Anmeldedaten nach dem Löschen der App im Keychain verbleiben“, auf einem Niveau also, bei dem man nicht einmal wusste, dass die App beim Löschen keinen Code ausführen kann

  • Ich bin vor Kurzem auf Open Web Advocacy (OWA) gestoßen, das die Probleme mobiler Plattformen gut zusammenfasst
    Ihre Kernziele sind folgende

    1. Apples Verbot von Drittanbieter-Browsern ist wettbewerbswidrig
    2. Web-Apps müssen nativen Apps gleichgestellt werden
    3. Künstliche Hürden, die von Plattformbetreibern geschaffen wurden, müssen beseitigt werden
      Wenn Web-Apps zugelassen werden, könnten sie mehr Privatsphäre und Sicherheit bieten
      Offizielle Website