Vietnamesische Regierung verbietet die Nutzung aller Banking-Apps auf gerooteten Smartphones

 (xdaforums.com)
1 Punkte von GN⁺ 2026-01-10 | 1 Kommentare | Auf WhatsApp teilen
  • Die von der vietnamesischen Zentralbank veröffentlichte Novelle „77/2025/TT-NHNN“ schreibt vor, dass Mobile-Banking-Apps in unsicheren Umgebungen wie Rooting, entsperrtem Bootloader oder aktiver ADB-Verbindung nicht ausgeführt werden dürfen
  • Die neue Regelung tritt am 1. März in Kraft; erkennt eine App solche Anzeichen, muss sie sich automatisch beenden und den Nutzer informieren
  • Zu den Sperrgründen zählen eine verbundene Debugger-Sitzung, die Ausführung in einem Emulator, Code-Injection (Hooking) sowie App-Manipulation und Repackaging
  • Nutzer im XDA-Forum weisen darauf hin, dass diese Maßnahme alle Geräte mit ADB oder entsperrtem Bootloader von Finanzdiensten ausschließt
  • In Entwickler- und Rooting-Communities wird dies als Teil eines weltweiten Trends zu strengeren Sicherheitsmaßnahmen gesehen; mögliche Gegenmaßnahmen werden bereits diskutiert

Neue Sicherheitsvorgaben der vietnamesischen Zentralbank

  • „77/2025/TT-NHNN“ ist ein Dokument zur Änderung von „50/2024/TT-NHNN“ und nennt ausdrücklich die Stärkung von Sicherheit und Schutz im Online-Finanzdienstleistungsbereich
    • Artikel 5 Absatz 2 ändert Artikel 8 Absatz 4 dahingehend, dass Mobile-Banking-Apps bei Erkennung unautorisierter Manipulationen sofort beendet werden und den Grund mitteilen müssen
  • Die Sperrbedingungen sind wie folgt
    • Verbundener Debugger oder Ausführung in Emulatoren bzw. virtuellen Maschinen, aktivierte ADB (Android Debug Bridge)
    • Externe Code-Injection (Hooking), Überwachung von API-Aufrufen, App-Manipulation und Repackaging
    • Rooting oder Jailbreak, entsperrter Bootloader
  • Diese Bestimmung verlangt, dass Mobile-Banking-Apps entsprechende Erkennungs- und Sperrfunktionen selbst integrieren

Reaktionen der Nutzer im XDA-Forum

  • Ein Nutzer schrieb, dass Banking-Apps auf Geräten mit ADB und entsperrtem Bootloader verboten wurden und die Regel seit dem 1. März gelte
  • Ein anderer kommentierte: „Traurig, aber nicht überraschend“ und bewertete dies als Teil eines weltweiten Trends zu schärferen Sicherheitsvorgaben
  • Einige erklärten, sie würden einen Weg zur Umgehung finden, während andere sagten, sie planten ein separates Gerät nur für Banking zu nutzen

Technischer Kontext und Diskussion in der Community

  • Der betreffende Thread war ursprünglich ein Diskussionsraum zu Magisk, Play Integrity und der Umgehung von Root-Erkennung, in dem
    technische Experimente wie das Umgehen von Root-Erkennung, Fingerprint-Spoofing und der Schutz vor Keybox-Diebstahl geteilt wurden
  • Die neue vietnamesische Regelung gilt als Fall, der direkt mit solchen Versuchen zur Umgehung von Root-Erkennung kollidiert
  • Einige Entwickler teilten Problemlösungen wie das Leeren des Caches per ADB-Befehl und die Überprüfung von Spoofing-Einstellungen;
    nach Inkrafttreten der neuen Regelung könnte jedoch die Banking-App selbst gar nicht mehr startbar sein

Weitere Diskussionen innerhalb der Community

  • Nutzer interpretieren die Maßnahme als umfassende Sperre für ADB-, Rooting- und Unlock-Umgebungen
  • Einige äußern die Sorge, dass die Regierung unter dem Vorwand der Sicherheit die Kontrolle der Nutzer über ihre Geräte einschränkt
  • Andere Teilnehmer halten dagegen, dass strengere Sicherheit ein unvermeidlicher Trend sei, und schlagen als realistische Alternative vor,
    gerootete Geräte und Finanzdienste getrennt zu verwenden

Bedeutung und Auswirkungen

  • Die Maßnahme wird als einer der ersten Fälle bewertet, in denen auf staatlicher Ebene der finanzielle Zugang für gerootete Geräte rechtlich untersagt wird
  • Sie dürfte Auswirkungen auf Mobile Security, Rooting-Communities und die Fintech-Branche haben
  • Im XDA-Forum wird dies als neue Phase im endlosen Katz-und-Maus-Spiel zwischen Rooting und Sicherheit verstanden

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2026-01-10
Hacker-News-Kommentare

  • Ich halte es für das größte Übel, dass man einen Computer besitzen, aber keine Root-Rechte haben darf
    Inzwischen leben wir in einer Zeit, in der Menschen schon allein deshalb aus der Gesellschaft ausgeschlossen werden, weil sie selbst entscheiden wollen, welche Software auf ihrem Gerät läuft

    • Am Ende steuern wir wohl auf eine Welt zu, in der jeder wenigstens ein gesperrtes Smartphone besitzen muss, um staatliche oder Bankdienste zu nutzen
      Das dient nicht dem Komfort der Nutzer, sondern ist deren „Stellvertreter“, über den Staat und Banken mit uns kommunizieren
    • Letztlich ist das ein Kampf darum, dass wir das Recht verlieren, Dinge, die wir gekauft haben, selbst zu reparieren oder zu kontrollieren
    • Schon die Vorstellung, dass eine Regierung solche Befugnisse haben sollte, ist völlig irre
      Selbst wenn sie es wollte, sollte sie technisch gar nicht in der Lage sein, so etwas durchzusetzen
    • Menschen ihre Autonomie mit Zwang zu nehmen, ist buchstäblich böse
      Ein physisches Gefängnis und ein digitales Gefängnis sind zwar verschieden, aber beides ist böse, weil es Menschen einsperrt
    • Interessant ist auch, dass wieder eine Regierung die Abhängigkeit von US-Big-Tech vergrößern will
      Ich weiß nicht, ob Vietnam überhaupt Raum hat, digitale Souveränität einzufordern, aber diese Maßnahme scheint eher in die entgegengesetzte Richtung zu gehen

  • Es entwickelt sich zu einer Struktur, in der man vom Wirtschaftsleben ausgeschlossen wird, wenn man einem entfernten Server nicht beweisen kann, dass das eigene Gerät unveränderte signierte Software ausführt
    Das Sicherheitsmodell an sich ergibt Sinn, aber wir bewegen uns in eine Welt, in der der Nutzer als Feind seiner eigenen Hardware behandelt wird

    • Ich habe mich mit zwei Handys arrangiert
      Eines ist ein gesperrtes iPhone SE für Authentifizierung und Banking, das andere ein Pixel 9a mit Graphene OS für den Alltag
      Teuer, aber eine realistische Lösung
    • Cory Doctorow hat diese Situation schon 2011 vorausgesehen — The Coming War on General Purpose Computation
    • Tatsächlich funktioniert dieses Sicherheitsmodell nicht perfekt
      Moderne Malware läuft nur im Speicher und hinterlässt im Root-Bereich keine Spuren
      Letztlich dient das Verbot von Rooting eher der Kontrolle als echter Sicherheit
    • Ich nutze keine Banking-App auf dem Handy
      Stattdessen authentifiziere ich mich am PC mit einem Hardware-Token. Das ist viel weniger lästig und fühlt sich sicherer an
    • Alte signierte ROMs mit vielen Schwachstellen werden akzeptiert, während aktuelles Lineage OS oder Graphene OS abgelehnt wird. Ob das wirklich sinnvolle Sicherheit ist, ist fraglich

  • Früher, als ich im Authentifizierungsteam von Vanguard gearbeitet habe, haben wir Zugriffe aus Vietnam blockiert
    Der Grund waren zu viele Betrugsversuche, wohlhabende Kunden haben das dann oft per VPN umgangen
    Finanzunternehmen kämpfen ständig auf diese Weise gegen Betrug

    • Ich frage mich, wie viel Betrug tatsächlich auf gerooteten Geräten stattfindet
      Meist sind das nur Checkbox-Sicherheitsanforderungen und vielleicht gar keine realistische Bedrohung
    • Ich habe früher beim Betrieb meines eigenen Servers auch IPs aus ganz Asien blockiert
      Es gab einfach zu viele Port-Scans und Angriffsversuche. Über VPN konnte man das zwar umgehen, aber das verursachte zusätzliche Kosten und war deshalb trotzdem wirksam
    • Als ich 2019 bei Vanguard einen Yubikey registriert habe, fühlte sich das wirklich innovativ an
      Andere Banken hatten es ähnlich gemacht, sodass man sich nur mit eingeschaltetem VPN einloggen konnte

  • Die meisten Banken erlauben den Zugriff auf ihre Websites auch von PCs mit Root-Zugriff

    • Allerdings geht der Trend inzwischen zu app-exklusiven Logins
      Bei einer meiner Banken ist Login nur noch per QR-Code möglich, und gerootete Geräte werden blockiert
      Im Moment ist clientseitige Umgehung noch möglich, aber wenn die Play Integrity API vollständig durchgesetzt ist, wird das ohne Hardware-Schwachstelle nicht mehr zu knacken sein
    • Am Ende wird wohl auch der Webzugang verschwinden
      Wie beim britischen HMRC dürften dann alle Abläufe nur noch per App möglich sein
    • In Thailand ist ab Überweisungen von 50.000 Baht Gesichtserkennung vorgeschrieben
      Deshalb geben die meisten Internetbanking auf und authentifizieren sich nur noch über die mobile App
      Ich hoffe auf neue API-basierte Banken, aber derzeit bekommen nur bestehende Bankengruppen eine Lizenz
    • In Ungarn ist es ähnlich. Auf inoffiziellen Geräten ist 2FA nur per App oder SMS möglich
      Es ist erstaunlich, dass SMS immer noch als sicher gilt

  • Ich verstehe nicht, warum Regierungen sich so sehr an gerooteten Handys abarbeiten
    Leute mit technischem Hintergrund rooten in der Regel mit vollem Bewusstsein für die Risiken

    • Entscheidend ist nicht, ob ein Gerät gerootet ist, sondern wer das Betriebssystem kontrolliert
      Für diejenigen, die Macht zentralisieren wollen, ist das eine enorme Quelle von Einfluss
    • Aus Sicht der Banken lassen sich so Sicherheitskosten und Kundenschäden senken
    • Vietnam treibt mit dem VNeID-Projekt biometrische Identitätsprüfung voran
      Der aktuelle Führer To Lam war früher beim KGB, deshalb nehme ich auf Reisen nach Vietnam niemals persönliche Geräte mit
      offizielle VNeID-Seite, Artikel zur SIM-Registrierung
    • Ein weiterer Grund ist der Aufbau von Vertrauen gegenüber ausländischen Banken
      Man will vermeiden, dass Transaktionen mit dem Hinweis abgelehnt werden, „in Vietnam gibt es zu viel Betrug“

  • Das wirkt wie Teil der Politik von Vietnam und Thailand zur biometriebasierten Kontoverknüpfung
    In Vietnam müssen bis zum 19. Dezember 2025 alle Konten mit biometrischen Daten verknüpft sein
    Artikel 1, Artikel 2

    • Das SIM-Swapping-Problem ließe sich aber lösen, indem man SMS-Authentifizierung abschafft
      Dafür muss man keine gerooteten Handys sperren
    • Diese Politik hängt auch mit dem VNeID-Projekt zusammen
      Ziel ist es, bis 2030 allen Bürgern und ausländischen Besuchern eine digitale biometrische ID zu geben und alle Dienste daran anzubinden
      VNeID, Artikel zum 2030-Plan

  • Früher war ich begeistert vom Rooting, aber heute verstehe ich als iPhone-Nutzer beide Seiten
    Leute, die rooten, sind meist technisch versiert und sicherheitsbewusst,
    aber weil Banken bei Regelverstößen enorme Strafen riskieren, kann ein pauschales Blockieren rational sein
    Modernes Android ist inzwischen fast so geschlossen wie iOS, und bei der Hardware-Optimierung wirkt iOS auf mich sogar besser
    Deshalb bleibe ich vorerst im iOS-Lager

  • Das Sperren gerooteter Handys dient nicht dem Schutz der Nutzer, sondern der Stärkung von DRM
    Ohne Root-Rechte bekommt eine App automatisch DRM, und Nutzer haben nicht einmal Zugriff auf ihre Daten oder Möglichkeiten für Backups
    Die Aussage „Wir schützen dich aus Sicherheitsgründen“ ist letztlich nur ein Vorwand für Nutzerkontrolle
    Privilege separation ist ein altes Konzept, doch jetzt geht die Entwicklung in die entgegengesetzte Richtung

    • Natürlich kann auch ein Handy von Nichttechnikern heimlich gerootet werden
      Deshalb betrachten Banken wohl alle gerooteten Geräte pauschal als Risikogruppe
    • Wenn ein gerootetes Gerät kompromittiert wird, landen am Ende Beschwerden bei der Regierung, also lautet die Logik wohl, vorsorglich alles zu blockieren
    • Schon die Formulierung „Erkennung unbefugter Eingriffe in Mobile-Banking-Apps“ deutet darauf hin, dass es eher um den Schutz der Banken selbst als um den Schutz der Kunden geht
    • Auch staatlich unterstützte Hacker können gerootete Geräte missbrauchen, daher ist aus Sicht der Banken Risikovermeidung oberste Priorität

  • Für solche Maßnahmen scheint es zwei Gründe zu geben

    1. Inkompetenz — das Ergebnis der Einführung eines SDK ohne tatsächlichen Sicherheitsnutzen
    2. Überwachung und Kontrolle — autoritäre Staaten wie Vietnam wollen die Geräte ihrer Bürger vollständig kontrollieren
      Nach außen wirkt es wie eine „Sicherheitsmaßnahme“, tatsächlich ist es ein Mittel zum Aufbau eines umfassenden Überwachungssystems

  • Es gibt unzählige legitime Gründe für Rooting
    Längere Akkulaufzeit, Blockieren von Trackern, Innovation bei der UI — all das hilft Umwelt und technischem Fortschritt
    Doch große Konzerne wie Apple, Google und Microsoft blockieren solche Innovationen
    Dadurch verlieren wir Kreativität und Fortschritt