Een lezer vroeg me:
Verschillende banken, waaronder de Britse bank HSBC en de Deense bank Danske Bank, laten hun apps niet werken op Androidtelefoons met gesideloade apps. Hiertoe scannen zij de telefoon met een speciale Android-feature, echter zonder toestemming te vragen. Ook wordt gebruik van alternatieve appstores hiermee feitelijk onmogelijk, immers iedereen moet internetbankieren. Is dit wel legaal, en hoe verhoudt zich dit tot de Digital Markets Act die juist dergelijke appstores aanmoedigt?De speciale feature waar het over gaat, is een Androidpermissie genaamd QUERYALLPACKAGES waarmee kan worden gecontroleerd welke apps een klant allemaal op zijn telefoon heeft geïnstalleerd en waarvandaan de apps afkomstig zijn. Deze permissie is eigenlijk ontworpen voor virusscanners en dergelijke, maar Google staat gebruik ervan toe bij bankieren- en wallet-apps “solely for security-based purposes”.
Het securitydoel hier is het voorkomen van fraude bij internetbankieren door malafide apps. Apps die buiten de officiële appwinkel binnenkomen, zouden sneller malware kunnen bevatten, is dan het argument. Door de bankieren-app dan niet te laten werken, wordt voorkomen dat je rekening wordt geplunderd. Klinkt eng, maar is natuurlijk aardig speculatief. En genoeg mensen worden slachtoffer van fraude ook met enkel ‘officiële’ apps.
Tegelijkertijd: het klinkt realistisch genoeg en voor de meeste mensen (inclusief dus de meeste beleidsmakers, juristen en toezichthouders) is sideloaden een rare, waarom-zou-je-dat-willen activiteit. Iets dergelijks als veiligheidsrisico afdoen, is dan een vrij normale actie van een serieuze partij als een bank. Die zullen daar wel over nagedacht hebben.
Of een app van de Telecommunicatiewet mag uitlezen wat er op je telefoon staat, is een lastige. Deze wet verbiedt het uitlezen via een netwerk van informatie op een randapparaat (art. 11.7a), maar of je zo’n scan daaronder kunt rekenen, is de vraag. (Lid 3 verklaart de toestemmingseis ook van toepassing wanneer “op een andere wijze” informatie wordt uitgelezen.) Toestemming is dan weer niet nodig als het uitlezen nodig is om een communicatie over het netwerk uit te lezen, maar of dat opgerekt kan worden tot “voor de veiligheid moeten we dit uitlezen”, weet eigenlijk niemand.
De DMA verplicht grote platforms zoals Android om open te staan voor alternatieve appstores. Deze maatregel van banken maakt het nogal lastig om daarmee te werken, want inderdaad, internetbankieren zul je. Dat kun je zien als een effectieve ondermijning van die plicht. Alleen krijg je dan het probleem dat niet Google maar de banken deze maatregel nemen. Het gaat nogal ver om te zeggen dat Google dit de banken moet weigeren omdat Google een DMA-plicht heeft.
De enige manier om dit echt op te lossen, is door de financiële toezichthouders richtsnoeren te laten uitgeven die zeggen wat hierin wel mag en wat niet. En dan komen we weer bij het aloude probleem: hoe laat je praktisch en onderbouwd zien dat sideloaden en alternatieve appstores niet meer risico introduceren dan de gewone appstore?
Arnoud
Het is natuurlijke uitermate *** dat banken gebruikers van bijvoorbeeld GrapheneOS en e/OS uitsluiten en mensen met een ‘normale’ android telefoon dwingen om de voorwaarden van Google te accepteren en een account te moeten maken, door het niet beschikbaar maken van een APK file via hub website.
Je kunt echter op een Android telefoon verschillende gebruikersprofielen maken. Mijn telefoon heeft drie profielen en het profiel met de naam B (van Bank) heeft maar één app, namelijk de app van de bank en voor de rest helemaal niks extra t.o.v. een net geïnstalleerde telefoon (en dus ook geen contactpersonen in het telefoonboek etc.)
Overschakelen gaat relatief makkelijk en het is niet zo dat je dan meteen voor elk profiel meerdere GB’s van je storage verliest.
In dezelfde lijn zijn er tegenwoordig ook banken die je dienst weigeren als je root op je telefoon hebt (Revolut, specifiek). Net als sideloading is er geen aanwijzing dat dit tot slechtere veiligheid leidt (en ik zou zelfs zeggen dat dit meestal juist andersom is, aangezien iemand die zijn telefoon root meestal meer weet over het systeem en dus beter in staat is het vrij van malware te houden). Maar he, dat lijkt nergens heen te gaan en ik zou het inderdaad zeer op prijs stellen als de toezichthouders hier eindelijk eens iets over zeggen.
Ja, je wordt daardoor bijna gedwongen een tweede telefoon te kopen, alleen voor internetbankieren (en misschien wil je DigID er dan ook wel bij hebben). Je hebt geen abonnement nodig: een pre-paid sim kaart is genoeg. Kom je toch al snel op 200 euro uit. Let dan wel op, want veel goedkope telefoons hebben vaak heel beperkte updates, en banken vereisen vaak wel een redelijk recente versie van het OS. Koop ook niet de allergoedkoopste telefoons uit China, want die sluiten veel banken ook uit, omdat de chips die voor de beveiliging moeten zorgen niet goed genoeg zijn (er zijn gevallen geweest waarbij de random-generator voor het genereren van public keys altijd dezelfde waarden teruggaf, en dan is je versleuteling natuurlijk wel heel makkelijk te omzeilen).
Of je lees de reactie van Marcel.
Ik doe het zoals Marcel beschrijft. Daarnaast zou een tweede telefoon geen issue zijn.
Ik bankier nooit buitenshuis, ik betaal onderweg altijd en overal contant. Als je geen contant accepteert doe ik geen zaken met je.
Het hele concept van ‘sideloaden’ is al een stukje marketing wat mij betreft. Met ‘sideloaden’ wordt bedoeld het zelfstandig installeren van software, zonder Google als derde partij. Goed bedacht door Google voor de lobby, maar slaat verder nergens op.
Stel je voor dat iedere keer als jij software zou willen installeren op je laptop je laptop bij je lokale computerboer moest langsbrengen om hem die installatie te laten doen, en dat we dat dan normaal zouden vinden. Maar dat wanneer iemand zelf z’n CD met office in z’n laptop stopt we het ‘sideloaden’ zouden noemen.
Los van hoe het precies juridisch zit (jaja ik weet het – dit is een juridische blog :)); we gaan er als maatschappij steeds meer naar toe dat alles via een tussenpartij loopt. Koop je rechtstreeks een auto van een andere particulier en betaal je die contant (=zonder tussenpartij), dan is dat verdacht. Installeer je een app op je telefoon, dan is dat kennelijk verdacht. Wil je communiceren via een medium waarbij derden niet kunnen meelezen? Verdacht.
Op die manier lopen we wel met z’n allen een fuik in. En dat gaat een keer heel hard backfiren. Maar ik hoop dat we toch het tij kunnen keren voordat het zo ver is.
Sideloaden is gewoon “installeren van software op mijn apparaat”. Die toezichthouders en beleidsmakers hebben last van dezelfde symptomen waar mensen in verkoop en marketing last van hebben; “waarom zou je dat willen”, “doe gewoon wat iedereen doet”, “doe het gewoon zoals google zegt”, “ja maar iedereen zit toch op facebook”, “waar maak je je druk om”, die manier van denken. Het is een grote bubbel waar ze met z’n allen in zitten, de bubbel van geen vragen stellen, niet nieuwsgierig zijn naar wat je met je apparaat kan doen, niet geven om je pivacy, en “gewoon” alleen de appstore van google gebruiken, want “waarom zou je iets anders willen” en “dat werkt toch heel makkelijk”.
Lezende dat Google de lat vrij hoog legt voor wanneer apps QUERYALLPACKAGES mogen gebruiken, lijkt het mij een bijzonder slecht idee om apps ergens anders vandaan te halen. Ergens waar men hier geen controles op doet en waar men ontwikkelaars die het wel mogen gebruiken niet straft voor het niet naleven van informatieverstrekkingsverplichtingen hieromtrent. Maar als er andere appstores zijn die duidelijk en betrouwbaar een even streng of (liefst strenger) toelatingsbeleid hebben, dan valt dit argument weg. Maar zijn er dat soort alternatieve stores (waar daadwerkelijk goede controles zijn op apps)?
Het is wel interessant of de banken die deze functie gebruiken ook echt goed voldoen aan hun informatieverstrekkingsverplichting (conform Google-beleid), want als mijn bank mij zou vertellen dat ze alle apps op mijn telefoon kunnen identificeren door gebruik van hun app, dan stop ik gelijk met het gebruik van de app en switch ik voor altijd naar de webomgeving. Wellicht tenzij men mij (met onafhankelijke assurance) gerust weet te stellen dat betreffende info niet bewaard/gelogd wordt zodat het onmogelijk is betreffende info voor andere doeleinden te gebruiken of per abuis te datalekken.
Maar moet de app store dienen als de enige waakhond op het gebruik van gevoelige functionaliteit?
Dat kan ook via het OS worden gedaan. Als ik mijn app open en deze will alle packages opvragen dan zou dat ook een pop up kunnen geven met de vraag of je dit wil toestaan.
Waarom? Ik durf de stelling wel te verdedigen dat de meeste telefoons van mensen die apps “sideloaden” veiliger zijn dan de gemiddelde telefoon van een reguliere gebruiker. Je moet een aantal stappen doorlopen om dat te kunnen doen, zoals je telefoon instellen om het toe te staan, de juiste bron weten of een andere appstore installeren. Mensen die die stappen doorlopen zijn, zo denk ik dus, beter geinformeerd, technisch meer bekwaam, en meer security-bewust dan die reguliere gebruikers. Daarbij is ook de google app store niet helemaal veilig , maar wekken ze de indruk dat ze dat wel zijn, waardoor mensen ten onrechte die bron als veilig beschouwen met alle risico’s van dien.
Het lijkt me evident dat Google, en Apple alle mogelijke argumenten aangrijpen om zoveel mogelijk mensen hun appstores te laten gebruiken, alleen voor financieel gewin. Er zit geen enkel ander argument achter; als het voor de winst van google en apple beter was 100 appstores te hebben, dan zouden we 100 appstores hebben gehad. Zie bijvoorbeeld Apple vs Epic games over de commissie in de appstore en het verbieden van betalingen buiten die appstore om. Ik vind dat, gegeven dat je eigenlijk niet zonder een bankieren app kan, banken in deze de verantwoordelijkheid hebben niet de “alternatieve appstore” regels uit de DMA te ondermijnen. Google speelt hier ook een rol in met haar Integrity API (een systeem om te verifieeren dat het toestel de gegooglede versie van Android draait en dat de app via de google play store is geinstalleerd). Alhoewel het gebruik ervan natuurlijk vrijwillig is, is de praktijk dat Google dit pusht onder het mom van veiligheid, waardoor de situatie gecreeerd wordt dat alternatieve OS’en, appstores en het rooten van toestellen moeilijker (of minder functioneel) wordt gemaakt. Een alternatief OS als e/OS met een appstore als FDroid zou volgens de DMA namelijk mogelijk moeten zijn, en ook goed voor de concurrentie en diversiteit van aanbod, maar als de situatie in de praktijk is dat je dan geen bankieren-app of dat soort “noodzakelijke” apps meer kan installeren dan is die regel uit de DMA een wassen neus waar alleen Google maar garen bij spint.
Maar er is iets veel belangrijkers nog. Het is namelijk mijn toestel. Van mij, ik bezit het. Het is niet aan de bank, of het zou niet aan de bank moeten zijn, om eerst iedereen naar hun app te dwingen door diensten te digitaliseren en dan te beslissen dat het wel de google-versie van Android moet draaien (en niet e/OS, dwz dezelfde Android maar dan zonder google er in), en dat ik de app via de play store moet installeren, en dat ik niet root mag zijn op mijn eigen hardware. De enige reden waarom dat soort dingen worden gedaan is dat het mogelijk is op android. Ik kan namelijk wel internetbankieren via de webbrowser op elk systeem dat een webbrowser draait, en waar ik ook root ben. Ik kan internetbankieren vanaf een samsung koelkast of een loopband, maar niet als ik het waag om zomaar een app te sideloaden op mijn eigen telefoon. Het veiligheidsargument is bijzonder discutabel als je bedenkt dat banken wel hun app toestaan op versies van OS’en die al vele jaren end-of-life zijn en geen security updates meer ontvangen. Mijn bank-app draait nog op Android 8 wat al meer dan 5 jaar geen updates meer krijgt, maar mijn nieuwe Fairphone met e/OS, fully supported, hagelnieuw, en voorzien van allerlei security-, anti-tracking, en afschermings-features is niet veilig genoeg alleen en uitsluitend omdat ik ook FDroid gebruik om apps te “sideloaden”, of mijn eigen geschreven apps wil installeren?
Het is allemaal zo wat ik eerder beschreef; de situatie die voor 90% van de mensen op gaat (android met google en de play store op een samsung) is “normaal”, en dus moet iedereen dat maar zo doen, want dat is immers “normaal”, en waarom zou je iets anders willen, en iedereen “moet gewoon normaal doen”, en als je er van afwijkt dan ben je raar, en doe je moeilijk, en heb je vast iets te verbergen, en ben je onveilig (ook al blijf ik er bij dat mensen die afwijkende OS’en en appstores gebruiken veel veiliger en bewuster zijn) en moeten we dat niet willen, en is het onwenselijk (met als argument dat mensen die nog nooit ook maar gehoord hebben van een ander OS of een andere appstore daar toch tegen beschermd moeten worden), en moet iedereen braaf google gebruiken.
Zonder afwijking van de norm is er geen vooruitgang mogelijk.
p.s. sorry voor de rant, het is niet persoonlijk.
Terechte rant. Maar zijn er daadwerkelijk betrouwbare alternatieve appstores met een streng toelatingsbeleid waarbij apps met onwenselijke functies als QUERYALLPACKAGES geweerd worden? En hoeveel mensen die aan sideloaden doen weten echt dat iets als deze functie bestaat en in apps verstopt kan zitten? Best aannemelijk dat veel van hen nogal security bewust zijn, maar dit lijkt mij iets nogal specifieks waar je zelf niet of nauwelijks op kunt controleren (zeker niet voorafgaand aan de installatie van een app als het nergens gemeld wordt). Als Nederlandse banken dit ooit gaan doen, lijkt mij dat wel een apart blog waard @Arnoud.
Het probleem is niet die manifest permission; die is er voor allerlei nuttige taken zoals file managers, virusscanners, screen readers en dat soort dingen. Mobile device management tools maken er ook gebruik van. Het is geen “foute” permissie, en het is ook niet zo dat alle apps die het nodig hebben ongewenst of kwaadaardig zijn, er is dus ook geen behoefte aan een appstore die alle apps die die permissies vereisen weigert; dan zou je heel veel functionele apps moeten weigeren.
Het probleem is banken die apps maken en de bewuste keuze maken om die feature te misbruiken voor dingen waar die eigenlijk niet voor gemaakt is, om dan tegen hun klanten te zeggen dat ze niet meer mogen internetbankieren omdat hun Android niet de google play store gebruikt, terwijl een bejaarde browser op Windows 7 nog wel werkt. Zij trekken onterecht de conclusie “niet google, ergo onveilig”. Het probleem is ook google die het die bankapps toestaat om die permissie te hebben terwijl dat (in tegenstelling tot bjivoorbeeld een virusscanner) voor de functionaliteit van de app niet nodig is. het lijkt dat google het toestaat omdat het een drempel opwerpt voor mensen om een alternatieve appstore te gebruiken.
De Fdroid appstore is, voor zover mij bekend, minstens net zo veilig als de google play store.
Wat als banken en dergelijke een formulier maken waarin de klant aangeeft te weten dat rooten, sideloaden en dergelijke een risico is maar dat hij het toch wil en dat als zijn bankrekening wordt leeggehaald de gevolgen voor hemzelf zijn. De klant ondertekend dat en stuurt het op naar de bank, en die zetten een vlaggetje bij zijn account en vervolgens skipt de app de veiligheidschecks. Laat dat formulier een jaarlijks terugkomende actie zijn zodat de klant niet kan claimen het te zijn vergeten.