HSBC memblokir aplikasi karena Bitwarden dipasang lewat F-Droid

 (mastodon.neilzone.co.uk)
2 poin oleh GN⁺ 2026-01-01 | 1 komentar | Bagikan ke WhatsApp
  • Dilaporkan adanya kasus saat aplikasi mobile HSBC memblokir eksekusi karena Bitwarden yang dipasang melalui F-Droid
  • Pengguna memasang Bitwarden dalam bentuk build F-Droid, bukan versi resmi Google Play
  • Aplikasi HSBC mengenalinya sebagai faktor risiko keamanan dan memblokir akses
  • Terkonfirmasi bahwa bahkan untuk aplikasi Bitwarden yang sama, kebijakan keamanan diterapkan berbeda tergantung sumber pemasangan
  • Ini menjadi contoh arus penguatan kebijakan keamanan dan verifikasi aplikasi pihak ketiga pada aplikasi keuangan

Kasus pemblokiran aplikasi HSBC

  • Aplikasi mobile banking HSBC mendeteksi Bitwarden yang dipasang dari F-Droid lalu memblokir eksekusinya
    • Bitwarden adalah pengelola kata sandi open source, dan F-Droid adalah repositori aplikasi open source
    • Aplikasi HSBC menggolongkan kombinasi ini sebagai lingkungan yang berisiko dari sisi keamanan
  • Meskipun aplikasi Bitwarden-nya sama, versi Google Play tidak diblokir
    • Kebijakan keamanan diterapkan berbeda hanya karena sumber pemasangannya berbeda

Perbedaan kebijakan keamanan

  • Aplikasi HSBC tampaknya mencakup fungsi deteksi root atau deteksi pemasangan aplikasi tidak resmi
    • Aplikasi versi F-Droid tidak lolos verifikasi keamanan karena kunci penandatanganan atau jalur distribusinya berbeda
  • Akibatnya, pengguna mengalami ketidaknyamanan karena penggunaan aplikasi yang normal menjadi dibatasi

Makna dan implikasi

  • Ini menunjukkan bahwa aplikasi lembaga keuangan cenderung tidak mempercayai kanal distribusi aplikasi open source
  • Baik pengembang maupun pengguna perlu menyadari perbedaan sistem kepercayaan berdasarkan penandatanganan aplikasi dan jalur distribusi
  • Ini adalah contoh yang menunjukkan potensi benturan antara ekosistem open source dan kebijakan keamanan layanan keuangan

Bacaan terkait

1 komentar

 
GN⁺ 2026-01-01
Komentar Hacker News

  • Ini masalah SafeNet milik Google. HSBC memilih tingkat tertentu sehingga terjadi hal seperti ini. Google yang mengelola blacklist aplikasi
    Kita makin kehilangan kebebasan sesuai kehendak korporasi. Meski tidak dilarang secara hukum, kalau mereka tidak suka maka bisa diblokir
    Di Swiss dan Uni Eropa juga terjadi ‘debanking’ karena tekanan AS, ketika bank yang menggunakan USD terkena sanksi. AS menjatuhkan sanksi pada orang dengan alasan kebebasan berekspresi, dan akibatnya ada yang sampai kehilangan rekening bank
    Menurut hukum Swiss, Postfinance harus menyediakan rekening untuk semua orang, tetapi jika terkena sanksi maka sistem transfer, valuta asing, kartu kredit, dan Twint semuanya tidak bisa dipakai sehingga pada praktiknya jadi tidak berguna. Bahkan asuransi kesehatan atau sewa bulanan pun tidak bisa dibayar

    • Di Swiss, bank mungkin saja tidak memakai Play Integrity, tetapi kebanyakan tidak mau.
      Yuh, yang dulu dimiliki bersama oleh Postfinance dan Swissquote, berjalan tanpa Play Integrity, dan dukungan GrapheneOS sudah dikonfirmasi
      Masalahnya, kebanyakan bank lama memilih solusi tidak efisien seperti ini demi memenuhi regulasi. Pada akhirnya, menyalakan Google Play Integrity adalah cara paling mudah, jadi itulah yang mereka lakukan
      Soal sanksi AS juga memang nyata. Orang-orang di negara yang disanksi seperti Rusia mengalami pembatasan serupa
      Di Swiss, warga negara AS sangat kesulitan untuk membuka rekening, karena dulu ada kasus penghindaran IRS akibat kerahasiaan perbankan
    • Sebagai warga UE, saya belum pernah mendengar kasus seperti itu. Ini pertama kalinya saya mendengar bank UE mengusir nasabah karena tekanan AS. Saya penasaran apakah ada artikel atau sumber terkait
    • Sejak tahun ini saya memakai dua ponsel
      1. iPhone SE 2022 — hanya untuk TOTP, perbankan, dan autentikasi, dan biasanya dibiarkan dalam mode pesawat. Dukungan pembaruan keamanan dijadwalkan sampai 2032
      2. Pixel + GrapheneOS — untuk penggunaan sehari-hari (internet, telepon, pesan, dll.)
        Menurut saya pada 2025 kombinasi ini adalah cara yang paling praktis
    • Soal kalimat “kebebasan hilang karena kehendak korporasi”, saya rasa ini bukan cuma masalah Google. Postfinance, Twint, perusahaan asuransi, pemilik rumah, dan lainnya juga harus menyediakan cara bertransaksi tanpa pihak ketiga
      Pemerintah juga harus memungkinkan warga berdagang tanpa perantara
      Semua orang menghindari tanggung jawab dengan berkata “kami hanya mengikuti aturan”. Pada akhirnya Google disalahkan karena semua orang sudah terlena oleh kenyamanan
    • Saya tidak menemukan fungsi seperti ini di dokumentasi SafetyNet atau Play Integrity API. Saya ingin tahu sumber atau detail terkait

  • Di Inggris ada banyak bank yang tidak punya pembatasan seperti ini. Misalnya Monzo hanya menampilkan peringatan di perangkat yang di-root dan membiarkan pengguna memilih sendiri
    Berkat Current Account Switching Service, pindah dari bank lama seperti HSBC juga mudah

    • Pengalaman saya berbeda. Sebagian besar aplikasi bank besar tidak berjalan di perangkat yang di-root
      Chip menyarankan berhenti memakainya sambil mengatakan deteksi root akan diperketat, tetapi kenyataannya masih bisa terus dipakai
      Barclaycard, Nationwide, dan lainnya memblokir akses sama sekali. Ada aplikasi bank lain, tetapi saya merasa kualitas produknya rendah
    • Dalam setahun terakhir, aplikasi Barclays dan Lloyds berhenti bekerja di ponsel saya.
      TSB masih bisa, tetapi saya rasa itu hanya karena kemampuan teknis mereka tertinggal
      Sepertinya ke depan hanya Monzo yang akan tetap jadi pengecualian

  • Jika Anda membuat situs web mobile dan belum tahu PWA(Progressive Web App), sebaiknya pelajari
    Cukup tambahkan dua file, manifest.json dan service worker, maka aplikasi bisa dipasang dari browser dan cache offline juga bisa diatur
    Jika aplikasinya tidak terlalu rumit, biaya pengembangan bisa sangat ditekan. Bisa dibuat hanya dengan HTML, JS, dan CSS, serta didistribusikan tanpa masuk store
    Lihat tutorial MDN

    • Namun bahkan Firefox desktop pun tidak mendukung PWA, jadi sulit dibilang prospeknya cerah
    • PWA sudah ada selama bertahun-tahun, tetapi bagi pengguna umum tetap merupakan teknologi yang belum benar-benar mapan. Ini alternatif untuk mengatasi masalah app store, tetapi daya tarik massalnya kurang

  • Istri saya ingin memakai ponsel lipat karena nostalgia, tetapi meski Android Go 14, aplikasi bank tidak berjalan karena “deteksi screen sharing”
    Aplikasi POSB menampilkan penyebabnya sebagai “android system”. Mungkin rendering layar sekunder terdeteksi keliru
    Saya sudah menghubungi POSB, tetapi tidak terselesaikan. Di Singapura ancaman nyata keamanan finansial adalah penipuan (pig butchering), tetapi bank terlalu bereaksi terhadap malware yang probabilitasnya rendah

  • HSBC masih menyediakan web banking biasa
    Semakin banyak pengguna memakai web, semakin kuat sinyal bahwa pelanggan lebih memilih web terbuka daripada aplikasi mobile tertutup
    Saya masih memakai token RSA fisik alih-alih 2FA berbasis aplikasi

    • Di Inggris, untuk memakai web banking diperlukan token fisik. Anda tidak bisa punya aplikasi dan token sekaligus, jadi kalau aplikasinya diblokir, Anda harus meminta token lagi

  • Saya kira Google sudah menghapus API yang memungkinkan melihat aplikasi lain

    • Itu masih memungkinkan. Aplikasi hanya perlu menyatakan paket mana yang ingin ditanyakan. Aplikasi HSBC memakai izin <uses-permission android:name="android.permission.QUERY_ALL_PACKAGES"/>
      Menurut dokumen kebijakan Google, aplikasi terkait transaksi keuangan bisa mendapatkan izin ini untuk tujuan keamanan
    • Aplikasi yang didistribusikan di Google Play bisa meminta izin ini untuk tujuan tertentu. HSBC kemungkinan disetujui dengan alasan ‘antivirus’
      Tautan dokumen terkait
    • Praktis semua aplikasi tahu daftar aplikasi yang Anda pasang
      Lihat tulisan ini dan diskusi Hacker News

  • Beberapa aplikasi bank membuat keyboard virtual sendiri sehingga password manager tidak bisa dipakai

    • Bank saya juga begitu. Bank-bank Prancis khususnya suka keypad angka acak. Kita harus mengklik kata sandi numerik 6~8 digit dengan mouse
      Alih-alih biometrik, mereka secara berkala meminta kata sandi, dan itu harus dimasukkan di tempat umum seperti kereta bawah tanah, jadi sangat merepotkan
      Cara seperti ini dulu dipakai untuk melawan keylogger, tetapi sekarang justru yang tersisa hanya ketidaknyamanan, bukan keamanan
    • Dulu bank memaksa kata sandi 6~8 digit yang hanya boleh angka. Saya tidak tahu apakah sekarang sudah berubah

  • Jika mode pengembang aktif, aplikasi HSBC tidak berjalan. Menurut saya ini tindakan yang terlalu berlebihan

    • Aplikasi mygov.be di negara kami juga bekerja persis seperti itu. Sebagai pengembang saya sering memakai adb dan pengaturan pengembang, jadi sangat tidak nyaman karena harus mematikannya setiap kali
      Lihat situs mygov.be
    • Banyak aplikasi bank di Singapura juga membatasi mode pengembang. Kebanyakan karena framework keamanan untuk lolos audit, tetapi pada praktiknya tidak efisien

  • Ironisnya, aplikasi bank memaksakan fitur ‘keamanan’ seperti ini, sementara web banking tetap tidak punya cara yang benar-benar bisa dipercaya

    • Persyaratan seperti ini sering kali berasal dari checklist konsultan keamanan. Dulu saya pernah mendapat komentar bahwa “setelah aplikasi dihapus, kredensial masih tersisa di keychain”, pada tingkat yang bahkan tidak memahami bahwa aplikasi tidak bisa menjalankan kode saat dihapus

  • Saya baru-baru ini mengetahui Open Web Advocacy(OWA), dan mereka merangkum masalah platform mobile dengan baik
    Tujuan inti mereka adalah sebagai berikut

    1. Larangan Apple terhadap browser pihak ketiga bersifat anti-persaingan
    2. Aplikasi web harus diperlakukan setara dengan aplikasi native
    3. Hilangkan hambatan buatan yang dibuat operator platform
      Jika aplikasi web diizinkan, itu bisa memberikan privasi dan keamanan yang lebih tinggi
      Situs resmi