HSBC, F-Droid üzerinden yüklenen Bitwarden nedeniyle uygulamayı engelledi

 (mastodon.neilzone.co.uk)
2 puan yazan GN⁺ 2026-01-01 | 1 yorum | WhatsApp'ta paylaş
  • HSBC mobil uygulamasının, F-Droid üzerinden yüklenen Bitwarden nedeniyle çalışmasının engellendiği bir vaka bildirildi
  • Kullanıcı, Bitwarden'ı resmi Google Play sürümü yerine F-Droid derlemesi olarak yüklemişti
  • HSBC uygulaması bunu güvenlik riski olarak algılayıp erişimi engelleyen bir davranış sergiledi
  • Aynı Bitwarden uygulaması için bile yükleme kaynağına göre güvenlik politikasının farklı uygulandığı doğrulandı
  • Bu durum, finans uygulamalarında üçüncü taraf uygulama doğrulaması ve sıkılaşan güvenlik politikaları eğilimini gösteren bir örnek

HSBC uygulamasının engelleme vakası

  • HSBC mobil bankacılık uygulaması, F-Droid'dan yüklenen Bitwarden'ı tespit edip çalışmayı engelledi
    • Bitwarden açık kaynaklı bir parola yöneticisi, F-Droid ise açık kaynak uygulama deposu
    • HSBC uygulaması bu kombinasyonu güvenlik açısından riskli bir ortam olarak sınıflandırdı
  • Aynı Bitwarden uygulaması olsa da Google Play sürümünde engelleme uygulanmıyor
    • Yalnızca yükleme kaynağının farklı olması nedeniyle güvenlik politikası farklı uygulanıyor

Güvenlik politikasındaki farklar

  • HSBC uygulamasının root tespiti veya resmi olmayan uygulama kurulumu algılama işlevleri içerdiği görülüyor
    • F-Droid sürümündeki uygulama, imza anahtarı ya da dağıtım yolu farklı olduğu için güvenlik doğrulamasını geçemiyor
  • Bu nedenle kullanıcılar normal uygulama kullanımının kısıtlanması gibi bir rahatsızlık yaşıyor

Anlamı ve çıkarımlar

  • Bu durum, finans kuruluşlarının uygulamalarının açık kaynak uygulama dağıtım kanallarına güvenmeme eğilimini ortaya koyuyor
  • Hem geliştiricilerin hem de kullanıcıların uygulama imzası ve dağıtım yoluna bağlı güven modeli farklarını anlaması gerekiyor
  • Açık kaynak ekosistemi ile finansal güvenlik politikaları arasındaki çatışma olasılığını gösteren bir örnek

İlgili okumalar

1 yorum

 
GN⁺ 2026-01-01
Hacker News yorumları

  • Bu, Google’ın SafeNet sorunu. HSBC belirli bir seviyeyi seçtiği için bu durum ortaya çıkıyor. Uygulama kara listesini Google yönetiyor
    Giderek şirketlerin iradesine bağlı olarak özgürlüğümüzü kaybediyoruz. Yasal olarak yasak olmasa bile, onlar istemezse engellenebiliyor
    İsviçre ve AB’de de ABD baskısı nedeniyle USD kullanan bankalar yaptırımlara maruz kalıyor ve “debanking” yaşanıyor. ABD, ifade özgürlüğünü gerekçe göstererek insanlara yaptırım uyguluyor ve bunun sonucunda banka hesaplarını kaybedenler olabiliyor
    İsviçre yasalarına göre Postfinance herkes için hesap sunmak zorunda, ancak yaptırım yerseniz para transfer sistemi, döviz, kredi kartı, Twint hiçbirini kullanamıyorsunuz; fiilen işe yaramaz hale geliyor. Sağlık sigortasını ya da kirayı bile ödeyemiyorsunuz

    • İsviçre’de bankalar Play Integrity kullanmak zorunda olmayabilir, ama çoğu bunu istemiyor.
      Postfinance ve Swissquote’un ortak sahip olduğu Yuh, Play Integrity olmadan çalışıyor ve GrapheneOS desteği doğrulanmış durumda
      Sorun, çoğu geleneksel bankanın düzenlemelere uymak için bu tür verimsiz çözümleri seçmesi. Sonuçta Google Play Integrity’yi açmak en kolay yol olduğu için bunu yapıyorlar
      ABD yaptırımı meselesi de gerçek. Rusya gibi yaptırım altındaki ülkelerdeki insanlar da benzer kısıtlamalar yaşıyor
      İsviçre’de ABD vatandaşları hesap açma konusunda büyük zorluk çekiyor; geçmişte bankacılık gizliliği nedeniyle IRS’ten kaçınan vakalar yaşandığı için
    • Bir AB vatandaşı olarak böyle vakaları hiç duymadım. ABD baskısıyla AB bankalarının müşterileri dışarı attığını ilk kez duyuyorum. Bununla ilgili bir haber ya da kaynak olup olmadığını merak ediyorum
    • Bu yıldan beri iki telefon kullanıyorum
      1. iPhone SE 2022 — yalnızca TOTP, bankacılık ve kimlik doğrulama için; normalde uçak modunda duruyor. 2032’ye kadar güvenlik güncellemesi desteği var
      2. Pixel + GrapheneOS — günlük kullanım için (internet, arama, mesajlaşma vb.)
        2025 itibarıyla bunun en pratik yöntem olduğunu düşünüyorum
    • “Şirketlerin iradesiyle özgürlüğümüzü kaybediyoruz” sözüne gelirsek, bence bu sadece Google’ın sorunu değil. Postfinance, Twint, sigorta şirketleri, ev sahipleri ve diğerleri de üçüncü taraflar olmadan işlem yapma yolu sunmalı
      Devlet de vatandaşların aracı olmadan ticaret yapabilmesini sağlamalı
      Herkes “biz sadece kurallara uyuyoruz” diyerek sorumluluktan kaçıyor. Sonuçta Google’ın suçlanmasının nedeni, herkesin rahatlığa alışmış olması
    • SafetyNet ya da Play Integrity API belgelerinde böyle bir özellik bulamadım. Bununla ilgili kaynak ya da ayrıntı biliyor musunuz?

  • Birleşik Krallık’ta böyle kısıtlamaları olmayan birçok banka var. Örneğin Monzo, root’lu cihazlarda sadece uyarı gösteriyor ve seçimi kullanıcıya bırakıyor
    Current Account Switching Service sayesinde HSBC gibi geleneksel bankalardan geçiş yapmak da kolay

    • Benim deneyimim farklıydı. Büyük bankaların uygulamalarının çoğu root’lu cihazlarda çalışmıyordu
      Chip, root tespitini sıkılaştıracağını söyleyerek kullanmayı bırakmamı tavsiye etti ama gerçekte kullanmaya devam edebildim
      Barclaycard, Nationwide ve diğerleri erişimi tamamen engelliyor. Başka banka uygulamaları da var ama ürün kalitelerinin düşük olduğunu düşünüyorum
    • Son bir yıl içinde Barclays ve Lloyds uygulamaları telefonumda çalışmamaya başladı.
      TSB hâlâ çalışıyor ama bence bunun nedeni teknik olarak yetersiz olup geriden geliyor olması
      Bundan sonra da tek istisna Monzo kalacak gibi görünüyor

  • Mobil web sitesi yaparken PWA(Progressive Web App) bilmiyorsanız mutlaka bakın derim
    manifest.json ve service worker olmak üzere sadece iki dosya eklerseniz tarayıcıdan kurulabilir hale gelir ve çevrimdışı önbellek de ayarlanabilir
    Karmaşık olmayan uygulamalarda geliştirme maliyetini ciddi biçimde düşürebilir. HTML, JS ve CSS ile yapılabilir; mağazaya koymadan dağıtılabilir
    MDN eğitimine bakın

    • Ama Firefox masaüstü bile PWA desteklemiyor, bu yüzden geleceğini çok parlak görmüyorum
    • PWA yıllardır var ama genel kullanıcı açısından hâlâ yerleşememiş bir teknoloji. Uygulama mağazası sorununa alternatif ama kitlesel benimsenmesi zayıf

  • Eşim nostalji için katlanır telefon kullanmak istedi ama Android Go 14 olmasına rağmen banka uygulaması “ekran paylaşımı algılandı” diye çalışmıyor
    POSB uygulaması nedeni “android system” olarak gösteriyor. Muhtemelen ikincil ekran render etmesini yanlış pozitif olarak algılıyor
    POSB’ye sordum ama çözülmedi. Singapur’da finansal güvenlik için asıl tehdit dolandırıcılık (pig butchering) iken, bankalar gerçekleşme ihtimali düşük kötü amaçlı yazılımlara aşırı tepki veriyor

  • HSBC hâlâ normal web bankacılığı sunuyor
    Daha fazla kullanıcı web’i kullandıkça, müşterilerin kapalı mobil uygulamalar yerine açık web’i tercih ettiğine dair bir sinyal olur
    Ben hâlâ uygulama tabanlı 2FA yerine fiziksel RSA tokenı kullanıyorum

    • Birleşik Krallık’ta web bankacılığı için fiziksel token gerekiyor. Uygulama ve token aynı anda alınamıyor; uygulama engellenirse tokenı yeniden istemek gerekiyor

  • Google’ın diğer uygulamaları sorgulayan API’yi kaldırdığını sanıyordum

    • Hâlâ mümkün. Uygulama hangi paketleri sorgulayacağını belirtirse bunu yapabiliyor. HSBC uygulaması <uses-permission android:name="android.permission.QUERY_ALL_PACKAGES"/> iznini kullanıyor
      Google politika belgesine göre finansal işlemle ilgili uygulamalar bu izni güvenlik amacıyla alabiliyor
    • Google Play’de dağıtılan uygulamalar bu izni belirli amaçlarla isteyebiliyor. HSBC muhtemelen “antivirüs” amacıyla onay almış gibi görünüyor
      İlgili belge bağlantısı
    • Pratikte neredeyse tüm uygulamalar hangi uygulamaları yüklediğinizi biliyor
      İlgili yazı ve Hacker News tartışmasına bakın

  • Bazı banka uygulamaları kendi sanal klavyelerini uygulayarak parola yöneticisi kullanımını engelliyor

    • Benim bankam da böyle. Fransız bankaları özellikle karıştırılmış sayı klavyesini seviyor. 6-8 haneli sayısal parolayı fareyle tıklamak zorundasınız
      Biyometrik doğrulama yerine düzenli aralıklarla parola istiyorlar ve bunu metro gibi kamusal alanlarda girmek zorunda kalmak çok rahatsız edici
      Bu yöntem eskiden keylogger’a karşıydı ama artık güvenlikten çok rahatsızlık bırakıyor
    • Eski bankam yalnızca rakamlardan oluşan 6-8 haneli parola zorluyordu. Şimdi değişti mi bilmiyorum

  • Geliştirici modu açıksa HSBC uygulaması çalışmıyor. Bence bu aşırı bir önlem

    • Bizdeki mygov.be uygulaması da aynı şekilde çalışıyor. Geliştirici olarak adb ve geliştirici ayarlarını sık kullanıyorum; her seferinde kapatmak zorunda kalmak çok can sıkıcı
      mygov.be sitesi
    • Singapur’daki birçok banka uygulamasında da geliştirici modu kısıtlaması var. Çoğu denetimden geçmek için kullanılan güvenlik framework’leri yüzünden böyle; pratikte ise verimsiz

  • İronik olan şu ki, banka uygulamaları bu tür “güvenlik” özelliklerini dayatırken web bankacılığı hâlâ güvenilir biçimde doğrulanamıyor

    • Bu tür gereksinimler çoğu zaman güvenlik danışmanlarının kontrol listelerinden geliyor. Bir keresinde “uygulama silindikten sonra bile keychain’de kimlik bilgileri kalıyor” diye eleştiri almıştım; uygulama silinirken kod çalıştırılamayacağını bile bilmeyen bir seviyedeydi

  • Yakın zamanda Open Web Advocacy(OWA) ile tanıştım; mobil platformların sorunlarını iyi özetliyor
    Temel hedefleri şunlar

    1. Apple’ın üçüncü taraf tarayıcı yasağı rekabet karşıtı
    2. Web uygulamalarına yerel uygulamalarla eşit davranılmalı
    3. Platform sahiplerinin oluşturduğu yapay engeller kaldırılmalı
      Web uygulamalarına izin verilirse daha yüksek gizlilik ve güvenlik sağlanabilir
      Resmî site