Pemerintah Vietnam larang semua aplikasi perbankan di smartphone yang di-root

 (xdaforums.com)
1 poin oleh GN⁺ 2026-01-10 | 1 komentar | Bagikan ke WhatsApp
  • Revisi "77/2025/TT-NHNN" yang diumumkan bank sentral Vietnam mewajibkan pemblokiran eksekusi aplikasi mobile banking di lingkungan yang rentan secara keamanan seperti perangkat yang di-root, bootloader yang di-unlock, atau terhubung lewat ADB
  • Aturan baru ini mulai berlaku pada 1 Maret, dan jika aplikasi mendeteksi tanda-tanda tersebut, aplikasi harus tertutup otomatis dan memberi tahu pengguna
  • Target pemblokiran mencakup koneksi debugger, emulator yang berjalan, code injection (hook), modifikasi dan repackaging aplikasi
  • Pengguna forum XDA menyoroti bahwa langkah ini pada dasarnya mengecualikan seluruh perangkat dengan ADB aktif atau bootloader terbuka dari layanan keuangan
  • Di komunitas developer dan rooting, hal ini dipandang sebagai bagian dari tren penguatan keamanan global, dan berbagai opsi respons sedang dibahas

Aturan keamanan baru dari bank sentral Vietnam

  • "77/2025/TT-NHNN" adalah dokumen revisi terhadap "50/2024/TT-NHNN" yang menegaskan penguatan keamanan dan keselamatan layanan keuangan online
    • Pasal 5 ayat 2 merevisi Pasal 8 ayat 4 untuk mewajibkan aplikasi mobile banking segera berhenti dan memberi tahu alasannya saat mendeteksi manipulasi tidak sah
  • Kondisi pemblokiran mencakup hal-hal berikut
    • Koneksi debugger atau emulator/mesin virtual yang berjalan, serta ADB (Android Debug Bridge) yang aktif
    • Injeksi kode eksternal (hook), pemantauan panggilan API, modifikasi dan repackaging aplikasi
    • Status rooting atau jailbreak, serta bootloader yang di-unlock
  • Ketentuan ini mewajibkan aplikasi mobile banking memiliki fungsi deteksi dan pemblokiran di dalam aplikasi itu sendiri

Reaksi pengguna di forum XDA

  • Seorang pengguna menyebut bahwa aplikasi bank kini dilarang di perangkat dengan ADB aktif dan bootloader terbuka, dan mengatakan aturan ini diterapkan mulai 1 Maret
  • Pengguna lain menilai bahwa ini menyedihkan, tetapi tidak mengejutkan, seraya menyebut tren pengetatan regulasi keamanan yang terjadi secara global
  • Sebagian mengatakan mereka akan mencari cara untuk mengakali pembatasan, sementara pengguna lain menyebut berencana memakai perangkat terpisah khusus untuk perbankan

Konteks teknis dan diskusi komunitas

  • Thread tersebut semula merupakan ruang diskusi tentang Magisk, Play Integrity, dan cara menghindari deteksi root, tempat berbagai eksperimen teknis seperti
    menghindari deteksi rooting, spoofing fingerprint, dan pencegahan pencurian keybox dibagikan
  • Aturan Vietnam ini mendapat perhatian karena dianggap sebagai contoh yang langsung berbenturan dengan upaya menghindari deteksi root
  • Beberapa developer membagikan cara mengatasi masalah seperti inisialisasi ulang cache lewat perintah ADB dan pemeriksaan pengaturan spoofing, tetapi
    setelah aturan baru berlaku, muncul kemungkinan bahwa aplikasi bank itu sendiri tidak lagi bisa dijalankan

Diskusi tambahan di komunitas

  • Pengguna menafsirkan langkah ini sebagai pemblokiran total terhadap lingkungan ADB, rooting, dan perangkat yang di-unlock
  • Sebagian menyuarakan kekhawatiran bahwa pemerintah membatasi kendali pengguna atas nama keamanan
  • Di sisi lain, peserta lain menilai bahwa penguatan keamanan adalah arah yang tak terelakkan, dan
    mengusulkan pemisahan penggunaan antara perangkat yang di-root dan layanan keuangan sebagai alternatif yang realistis

Makna dan dampaknya

  • Langkah ini dinilai sebagai salah satu contoh pertama pelarangan akses keuangan secara hukum di tingkat negara untuk perangkat yang di-root
  • Kebijakan ini berpotensi memengaruhi keamanan mobile, komunitas rooting, dan industri fintech
  • Di forum XDA, hal ini dipahami sebagai babak baru dalam permainan kucing-dan-tikus tanpa akhir antara rooting dan keamanan

Bacaan terkait

1 komentar

 
GN⁺ 2026-01-10
Komentar Hacker News

  • Menurut saya, kejahatan terbesar adalah membuat orang memiliki komputer tetapi tidak boleh punya hak root
    Sekarang kita hidup di zaman ketika orang bisa tersisih dari masyarakat hanya karena ingin menentukan sendiri perangkat lunak apa yang dijalankan di perangkat mereka

    • Pada akhirnya, sepertinya kita semua akan hidup di dunia di mana setiap orang harus punya setidaknya satu smartphone terkunci untuk menggunakan layanan pemerintah atau bank
      Ini bukan demi kenyamanan pengguna, melainkan sebagai ‘perantara’ milik pemerintah dan bank untuk berkomunikasi dengan kita
    • Pada akhirnya ini adalah pertarungan tentang hilangnya hak untuk memperbaiki atau mengendalikan barang yang kita beli dengan uang kita sendiri
    • Gagasan bahwa pemerintah seharusnya punya kekuasaan seperti ini adalah ide yang gila
      Bahkan jika mereka menginginkannya, secara teknis mereka tidak seharusnya memiliki kemampuan seperti itu
    • Merampas otonomi seseorang secara paksa secara harfiah adalah kejahatan
      Penjara fisik dan penjara digital memang berbeda, tetapi keduanya sama-sama tindakan mengurung manusia, jadi layak disebut jahat
    • Menarik juga melihat pemerintah lain justru meningkatkan ketergantungan pada big tech AS
      Saya tidak tahu apakah Vietnam masih bisa mengklaim kedaulatan digital, tetapi langkah seperti ini justru terasa bergerak ke arah sebaliknya

  • Kita makin menuju struktur di mana orang akan tersingkir dari kegiatan ekonomi jika tidak bisa membuktikan ke server jarak jauh bahwa perangkat mereka menjalankan perangkat lunak bertanda tangan yang tidak dimodifikasi
    Model keamanannya sendiri masuk akal, tetapi kita sedang bergerak ke dunia yang menganggap pengguna sebagai musuh dari perangkat keras mereka sendiri

    • Saya akhirnya berkompromi dengan memakai dua ponsel
      Satu adalah iPhone SE terkunci untuk autentikasi dan perbankan, satu lagi Pixel 9a dengan Graphene OS untuk penggunaan sehari-hari
      Mahal, tetapi ini solusi yang realistis
    • Cory Doctorow sudah memprediksi situasi seperti ini sejak 2011 — The Coming War on General Purpose Computation
    • Sebenarnya model keamanan seperti ini tidak bekerja sempurna
      Malware modern bisa berjalan hanya di memori tanpa meninggalkan jejak di ruang root
      Pada akhirnya, pelarangan root lebih dekat ke tujuan kontrol daripada keamanan yang nyata
    • Saya tidak memakai aplikasi bank di ponsel
      Sebagai gantinya saya autentikasi di PC dengan hardware token. Rasanya jauh lebih tidak merepotkan dan lebih aman
    • ROM lama yang masih bertanda tangan bisa lolos meski penuh celah, sementara Lineage OS atau Graphene OS versi terbaru ditolak. Sulit melihat ini sebagai keamanan yang benar-benar masuk akal

  • Dulu saat bekerja di tim autentikasi Vanguard, kami pernah memblokir akses dari Vietnam
    Alasannya karena upaya penipuan terlalu banyak, dan pelanggan kaya biasanya masuk lewat VPN untuk mengakali pembatasan itu
    Lembaga keuangan memang selalu memerangi penipuan dengan cara seperti ini

    • Saya penasaran seberapa sering penipuan benar-benar terjadi di perangkat yang sudah di-root
      Mungkin sebagian besar ini cuma persyaratan keamanan ala checklist, bukan ancaman yang realistis
    • Dulu ketika saya mengelola server pribadi, saya juga pernah memblokir seluruh IP dari Asia
      Karena port scan dan upaya serangan terlalu banyak. Memang bisa dilewati dengan VPN, tetapi karena itu menambah biaya, tetap ada efeknya
    • Saat mendaftarkan Yubikey ke Vanguard pada 2019, rasanya benar-benar revolusioner
      Bank-bank lain saat itu bahkan membuat kita harus menyalakan VPN hanya untuk bisa login

  • Kebanyakan bank masih mengizinkan akses ke situs web mereka dari PC yang punya akses root

    • Tetapi sekarang trennya bergeser ke login khusus aplikasi
      Salah satu bank saya hanya mengizinkan login lewat kode QR, dan perangkat yang di-root diblokir
      Untuk sekarang masih bisa dilewati dari sisi klien, tetapi begitu Play Integrity API diterapkan penuh, tanpa celah hardware itu tidak akan bisa ditembus
    • Pada akhirnya akses web juga sepertinya akan hilang
      Seperti HMRC di Inggris, semua proses tampaknya akan menjadi hanya bisa lewat aplikasi
    • Di Thailand, pengenalan wajah diwajibkan untuk transfer di atas 50.000 baht
      Akibatnya kebanyakan orang meninggalkan internet banking dan hanya memakai aplikasi mobile untuk autentikasi
      Saya berharap muncul bank berbasis API yang baru, tetapi saat ini lisensi hanya diberikan ke grup bank lama
    • Di Hungaria juga mirip. Di perangkat tidak resmi, 2FA hanya bisa lewat aplikasi atau SMS
      Masih mengejutkan bahwa SMS dianggap aman

  • Saya tidak mengerti kenapa pemerintah sampai sebegitu pedulinya pada ponsel yang di-root
    Padahal para teknisi yang melakukan root umumnya tahu risikonya

    • Intinya bukan soal apakah perangkat di-root atau tidak, melainkan siapa yang mengendalikan sistem operasinya
      Bagi mereka yang ingin memusatkan kekuasaan, ini adalah kekuatan yang luar biasa besar
    • Dari sudut pandang bank, ini bisa menurunkan biaya keamanan dan mengurangi kerugian pelanggan
    • Vietnam sedang mendorong verifikasi identitas berbasis biometrik lewat proyek VNeID
      Pemimpin saat ini, To Lam, punya latar belakang KGB, jadi saya tidak pernah membawa perangkat pribadi saat pergi ke Vietnam
      Situs resmi VNeID, artikel tentang registrasi SIM
    • Membangun kepercayaan dengan bank asing juga tampaknya menjadi salah satu alasannya
      Agar transaksi tidak ditolak hanya karena ada anggapan bahwa “Vietnam banyak penipuan”

  • Ini tampaknya bagian dari kebijakan pengaitan rekening berbasis biometrik oleh pemerintah Vietnam dan Thailand
    Vietnam mewajibkan semua rekening ditautkan dengan data biometrik paling lambat 19 Desember 2025
    Artikel terkait 1, artikel 2

    • Tetapi masalah SIM swapping seharusnya selesai jika autentikasi SMS dihapus
      Ini bukan masalah yang bisa diselesaikan dengan memblokir ponsel yang di-root
    • Kebijakan ini juga terhubung dengan proyek VNeID
      Targetnya adalah memberi ID biometrik digital kepada seluruh warga dan pengunjung asing pada 2030 lalu menghubungkan semua layanan ke sana
      VNeID, artikel rencana 2030

  • Dulu saya sangat antusias dengan root, tetapi sekarang sebagai pengguna iPhone saya bisa memahami kedua sisi
    Orang yang melakukan root umumnya cukup terampil secara teknis dan sadar keamanan,
    tetapi bank menghadapi denda besar jika melanggar regulasi, jadi pemblokiran menyeluruh mungkin terasa rasional
    Android modern juga sudah terkunci hampir seperti iOS, dan optimasi hardware menurut saya justru lebih baik di iOS
    Jadi untuk sementara saya akan tetap berada di kubu iOS

  • Pemblokiran ponsel yang di-root bukan untuk melindungi pengguna, melainkan untuk memperkuat DRM
    Jika tidak ada hak root, aplikasi otomatis mendapatkan DRM, dan pengguna bahkan tidak bisa mengakses data atau membuat cadangan
    Kalimat “kami melindungi Anda demi keamanan” pada akhirnya hanyalah dalih untuk mengendalikan pengguna
    Privilege separation adalah konsep lama, tetapi sekarang arahnya justru dibalik

    • Tentu saja, ponsel milik orang nonteknis bisa saja diam-diam di-root oleh pihak lain
      Karena itu bank tampaknya menganggap semua ponsel yang di-root sebagai kelompok berisiko
    • Jika ponsel yang di-root diretas, pada akhirnya keluhan akan masuk ke pemerintah, jadi logikanya adalah mencegahnya dari awal
    • Jika melihat frasa ‘deteksi intervensi tidak sah terhadap aplikasi mobile banking’, kesannya tujuan utamanya lebih ke melindungi bank itu sendiri daripada pelanggan
    • Peretas tingkat negara pun bisa menyalahgunakan ponsel yang di-root, jadi bagi bank menghindari risiko adalah prioritas utama

  • Alasan langkah seperti ini tampaknya ada dua

    1. Ketidakmampuan — hasil dari mengadopsi SDK yang tidak punya efek keamanan nyata
    2. Kontrol pengawasan — negara otoriter seperti Vietnam berniat mengendalikan perangkat warganya sepenuhnya
      Dari luar ini tampak seperti “langkah demi keselamatan”, tetapi pada praktiknya adalah sarana untuk membangun sistem pengawasan total

  • Ada sangat banyak alasan yang sah untuk melakukan root
    Memperpanjang umur baterai, memblokir pelacak, inovasi UI, semuanya membantu lingkungan dan kemajuan teknologi
    Tetapi perusahaan besar seperti Apple, Google, dan Microsoft menghambat inovasi semacam ini
    Akibatnya kita perlahan kehilangan kreativitas dan kemajuan