Vietnam hükümeti, root edilmiş akıllı telefonlarda "tüm banka uygulamalarını yasakladı"

 (xdaforums.com)
1 puan yazan GN⁺ 2026-01-10 | 1 yorum | WhatsApp'ta paylaş
  • Vietnam Merkez Bankası tarafından yayımlanan ‘77/2025/TT-NHNN’ değişikliği, root, bootloader kilidi açılmış veya ADB bağlantısı gibi güvenlik açısından zayıf ortamlarda mobil bankacılık uygulamalarının çalışmasını engelleme zorunluluğu getiriyor
  • Yeni düzenleme 1 Mart'ta yürürlüğe girdi ve uygulama bu tür belirtileri algıladığında otomatik olarak kapanıp kullanıcıyı bilgilendirmeli
  • Engelleme kapsamına debugger bağlantısı, emülatör çalıştırma, kod enjeksiyonu (hook), uygulama değiştirme ve yeniden paketleme de giriyor
  • XDA forum kullanıcıları, bu adımın ADB ve kilidi açılmış tüm cihazları finansal hizmetlerin dışına ittiğine dikkat çekiyor
  • Geliştirici ve root toplulukları bunu küresel güvenlik sıkılaştırma eğiliminin bir parçası olarak görüyor ve olası karşı adımları tartışıyor

Vietnam Merkez Bankası'nın yeni güvenlik düzenlemesi

  • ‘77/2025/TT-NHNN’, mevcut ‘50/2024/TT-NHNN’ belgesini değiştiren bir metin ve çevrimiçi finansal hizmetlerde güvenlik ve emniyetin güçlendirilmesini açıkça belirtiyor
    • Madde 5 fıkra 2, Madde 8 fıkra 4'ü değiştirerek, mobil bankacılık uygulamalarının yetkisiz müdahaleyi tespit ettiğinde derhal kapanmasını ve nedenini bildirmesini zorunlu kılıyor
  • Engelleme koşulları şöyle
    • Debugger bağlantısı veya emülatör/sanal makine çalıştırılması, ADB (Android Debug Bridge) etkin olması
    • Harici kod enjeksiyonu (hook), API çağrılarının izlenmesi, uygulama değiştirme ve yeniden paketleme
    • Rooting veya jailbreak, bootloader unlock durumu
  • Bu hüküm, mobil bankacılık uygulamalarının tespit ve engelleme işlevlerini kendi içinde barındırmasını şart koşuyor

XDA forumundaki kullanıcı tepkileri

  • Bir kullanıcı, “ADB ve bootloader kilidi açık cihazlarda banka uygulamaları yasaklandı” diyerek bunun 1 Mart'tan itibaren uygulandığını belirtti
  • Başka bir kullanıcı, “Üzücü ama şaşırtıcı değil” diyerek dünya genelinde güvenlik düzenlemelerinin sertleştiği görüşünü paylaştı
  • Bazıları “Bir yolunu buluruz” diyerek karşı önlem alma niyetini gösterirken, bir başka kullanıcı “banka işleri için ayrı bir cihaz kullanmayı planladığını” söyledi

Teknik bağlam ve topluluk tartışması

  • İlgili başlık aslında Magisk, Play Integrity ve root tespiti atlatma konulu bir tartışma alanı; burada
    root tespitinden kaçınma, fingerprint spoofing, keybox theft önleme gibi teknik denemeler paylaşılıyor
  • Bu Vietnam düzenlemesi, bu tür root tespiti atlatma girişimleriyle doğrudan çatışan bir örnek olarak öne çıkıyor
  • Bazı geliştiriciler ADB komutlarıyla önbellek temizleme ve spoofing ayarlarını kontrol etme gibi çözüm yolları paylaşmış olsa da,
    yeni düzenlemenin ardından banka uygulamalarının artık hiç çalışmama ihtimali gündeme geliyor

Topluluk içindeki ek tartışmalar

  • Kullanıcılar bu adımı ADB, root ve kilit açılmış ortamlara yönelik tam kapsamlı engelleme olarak yorumluyor
  • Bazıları, “hükümetin güvenlik gerekçesiyle kullanıcının cihaz üzerindeki kontrolünü sınırladığı” yönünde endişe dile getiriyor
  • Buna karşılık diğer katılımcılar, “güvenliğin sıkılaştırılmasının kaçınılmaz bir eğilim” olduğunu savunarak,
    root'lu cihazlarla finansal hizmetleri ayrı tutmayı pratik bir alternatif olarak öneriyor

Anlamı ve etkileri

  • Bu adım, devlet düzeyinde root'lu cihazların finansal erişimini hukuken yasaklayan ilk örneklerden biri olarak değerlendiriliyor
  • Mobil güvenlik, root toplulukları ve fintech sektörü üzerinde etkili olma potansiyeli taşıyor
  • XDA forumunda bu gelişme, “root ile güvenlik arasındaki bitmeyen kedi-fare oyununun” yeni bir aşaması olarak görülüyor

İlgili okumalar

1 yorum

 
GN⁺ 2026-01-10
Hacker News yorumları

  • Bir bilgisayara sahip olup yine de root yetkisine sahip olamamanın en büyük kötülük olduğunu düşünüyorum
    Artık insanlar kendi cihazlarında hangi yazılımı çalıştıracaklarına karar vermek istedikleri için bile toplumdan dışlandığı bir döneme girdik

    • Sonunda herkesin devlet ya da banka hizmetlerini kullanmak için en az bir kilitli akıllı telefona sahip olması gereken bir dünyaya gidecek gibi görünüyor
      Bu, kullanıcı rahatlığı için değil; devlet ve bankaların bizimle iletişim kurmak için kullandığı onların bir tür “vekili”
    • Sonuçta bu, para verip satın aldığımız şeyleri kendimizin onarma ya da kontrol etme hakkını kaybettiğimiz bir mücadele
    • Hükümetin böyle bir yetkiye sahip olması gerektiği fikri başlı başına çılgınca bir düşünce
      İsteseler bile teknik olarak böyle bir kabiliyete sahip olmamalılar
    • İnsanların özerkliğini zorla ellerinden almak kelimenin tam anlamıyla kötülüktür
      Fiziksel hapishane ile dijital hapishane farklıdır ama ikisi de insanı kapattığı için kötü olarak adlandırılabilir
    • Başka bir hükümetin ABD'li Big Tech'e bağımlılığı artırmaya çalışması da ilginç
      Vietnam'ın dijital egemenlik iddiasında bulunacak alanı var mı bilmiyorum ama bu tür önlemler sanki tam ters yöne gidiyor

  • Uzak bir sunucuya cihazımın değiştirilmemiş imzalı yazılım çalıştırdığını kanıtlayamazsam ekonomik faaliyetlerin dışında kalınan bir yapıya doğru gidiyoruz
    Güvenlik modeli kendi içinde mantıklı olsa da kullanıcıyı kendi donanımının düşmanı gibi gören bir dünyaya ilerliyoruz

    • Ben iki telefon kullanarak uzlaştım
      Biri kimlik doğrulama ve bankacılık için kilitli bir iPhone SE, diğeri ise günlük kullanım için Graphene OS yüklü bir Pixel 9a
      Pahalı ama gerçekçi bir çözüm
    • Cory Doctorow bunu daha 2011'de öngörmüştü — The Coming War on General Purpose Computation
    • Aslında bu güvenlik modeli kusursuz çalışmıyor
      Modern zararlı yazılımlar root alanında iz bırakmadan yalnızca bellekte çalışabiliyor
      Sonuçta root'u yasaklamak, gerçek güvenlikten çok kontrole hizmet ediyor
    • Ben telefonda banka uygulaması kullanmıyorum
      Bunun yerine PC'de donanım token'ı ile kimlik doğruluyorum. Bana göre çok daha az uğraştırıcı ve daha güvenli
    • Eski imzalı ROM'lar pek çok açığa sahip olsalar da geçiyor, ama güncel Lineage OS ya da Graphene OS reddediliyor. Bunun gerçekten doğru düzgün bir güvenlik olup olmadığı şüpheli

  • Eskiden Vanguard doğrulama ekibinde çalışırken Vietnam bağlantılarını engellediğimiz olmuştu
    Çünkü dolandırıcılık girişimi çok fazlaydı; varlıklı müşteriler ise VPN üzerinden dolanıp bağlanıyordu
    Finans kuruluşları dolandırıcılıkla hep bu şekilde mücadele ediyor

    • Gerçekte root'lu cihazlarda ne kadar dolandırıcılık yaşandığını merak ediyorum
      Çoğu zaman bu sadece kutucuk işaretlemelik güvenlik gereksinimleri oluyor; gerçekçi bir tehdit olmayabilir
    • Ben de eskiden kişisel sunucu işletirken Asya genelindeki IP'leri engelliyordum
      Çünkü port taraması ve saldırı girişimi çok fazlaydı. VPN ile aşılabiliyordu ama bu da maliyet getirdiği için etkili oluyordu
    • 2019'da Vanguard'a Yubikey kaydettiğimde gerçekten yenilikçi gelmişti
      Diğer bankalar da benzer şekilde ancak VPN açıldığında giriş yapılabilecek hale gelmişti

  • Çoğu banka, root erişimi mümkün olan PC'lerde de web sitesine erişime izin veriyor

    • Ama bugünlerde eğilim yalnızca uygulama üzerinden girişe doğru kayıyor
      Bankalarımdan biri yalnızca QR koduyla girişe izin veriyor ve root'lu cihazları engelliyor
      Şimdilik istemci tarafında bunu aşmak mümkün ama Play Integrity API tamamen devreye girdiğinde donanım açığı olmadan bunu geçmek mümkün olmayacak
    • Sonunda web erişimi de ortadan kalkacak gibi görünüyor
      Birleşik Krallık'taki HMRC örneğinde olduğu gibi tüm süreçlerin yalnızca uygulama üzerinden yapılabildiği bir döneme gidiyoruz
    • Tayland'da 50 bin baht üzeri transferlerde yüz tanıma zorunlu
      Bu yüzden çoğu kişi internet bankacılığını bırakıp doğrulamayı yalnızca mobil uygulama üzerinden alıyor
      Yeni API tabanlı bankaların çıkmasını umuyorum ama şu anda lisansları yine mevcut banka grupları alıyor
    • Macaristan da benzer durumda. Resmî olmayan cihazlarda 2FA yalnızca uygulama ya da SMS ile mümkün
      SMS'in hâlâ güvenli kabul edilmesine şaşırıyorum

  • Hükümetin neden root'lu telefonları bu kadar dert ettiğini anlamıyorum
    Teknik kullanıcılar root atarken çoğunlukla riskleri biliyor sonuçta

    • Mesele root olup olmaması değil, işletim sistemini kimin kontrol ettiği
      Gücü merkezileştirmek isteyenler için bu muazzam bir güç anlamına geliyor
    • Bankalar açısından güvenlik maliyetini azaltabilir ve müşteri zararını düşürebilir
    • Vietnam, VNeID projesi üzerinden biyometrik tabanlı kimlik doğrulamayı ilerletiyor
      Mevcut lider To Lam geçmişte KGB kökenliydi; bu yüzden Vietnam'a giderken asla kişisel cihaz götürmüyorum
      VNeID resmî sitesi, SIM kaydıyla ilgili haber
    • Sebeplerden biri de yurt dışındaki bankalarla güven oluşturmak
      “Vietnam'da çok dolandırıcılık var” denilerek işlemlerin reddedilmesini önlemek istiyorlar

  • Bu durum, Vietnam ve Tayland hükümetlerinin biyometrik tabanlı hesap bağlama politikalarının bir parçası gibi görünüyor
    Vietnam, 19 Aralık 2025'e kadar tüm hesapları biyometrik verilerle bağlamak zorunda
    İlgili haber 1, haber 2

    • Ancak SIM swapping sorunu, SMS doğrulamayı kaldırınca çözülebilecek bir şey
      Root'lu telefonları engelleyerek çözülecek bir mesele değil
    • Bu politika VNeID projesiyle de bağlantılı
      Hedef, 2030'a kadar tüm vatandaşlara ve yabancı ziyaretçilere dijital biyometrik kimlik verip tüm hizmetleri buna bağlamak
      VNeID, 2030 planı haberi

  • Eskiden root işine bayılırdım ama şimdi bir iPhone kullanıcısı olarak iki tarafı da anlayabiliyorum
    Root atanlar genelde teknik olarak yetkin ve güvenlik farkındalığı yüksek kişiler oluyor,
    ama bankalar düzenlemeleri ihlal ederse devasa cezalar ödediği için toplu engelleme onlar açısından mantıklı olabilir
    Modern Android de iOS kadar kilitli ve donanım optimizasyonu bana göre hatta iOS'ta daha iyi
    O yüzden bir süre daha iOS tarafında kalmayı düşünüyorum

  • Root'lu telefon engeli, kullanıcıyı korumaktan çok DRM'i güçlendirme amacı taşıyor
    Root yetkisi olmayınca uygulama otomatik olarak DRM kazanıyor ve kullanıcı veri erişimi ya da yedekleme bile yapamıyor
    “Güvenlik için seni koruyoruz” söylemi sonuçta kullanıcı kontrolü için bir bahaneden ibaret
    Privilege separation eski bir kavram ama artık bunun tersine gidiyoruz

    • Elbette teknik olmayan birinin kullandığı telefon gizlice root'lanmış olabilir
      Bu yüzden bankalar tüm root'lu telefonları riskli kategoriye koyuyor gibi görünüyor
    • Root'lu telefon hacklenirse sonuçta devlete şikâyet gider; bu yüzden önleyici olarak engelleme mantığı da var
    • “Mobil bankacılık uygulamasına yetkisiz müdahale tespiti” ifadesine bakınca, bunun müşteri korumasından çok bankanın kendini koruması amacı taşıdığı anlaşılıyor
    • Devlet destekli hacker'lar da root'lu telefonları kötüye kullanabileceği için, bankalar açısından riskten kaçınma en önemli öncelik

  • Böyle bir önlemin iki nedeni var gibi görünüyor

    1. Yetersizlik — güvenlik etkisi olmayan bir SDK'nın devreye alınmasının sonucu
    2. Gözetim ve kontrol — Vietnam gibi otoriter devletler vatandaşların cihazlarını tamamen kontrol etmek istiyor
      Dışarıdan ‘güvenlik için alınmış bir önlem’ gibi görünse de gerçekte tam kapsamlı bir gözetim sistemi kurmanın aracı

  • Root için sayısız meşru neden var
    Pil ömrünü uzatmak, izleyici engellemek, kullanıcı arayüzünde yenilik yapmak; bunların hepsi çevreye ve teknolojik gelişime katkı sağlar
    Ama Apple, Google ve Microsoft gibi büyük şirketler bu yenilikleri engelliyor
    Sonuç olarak yaratıcılığı ve ilerlemeyi kaybediyoruz