Rabobank-app werkt niet meer op alternatieve Android-roms vanwege Integrity-api

De app van de Rabobank is niet langer beschikbaar op custom-Android-roms zoals GrapheneOS of /e/OS. Dat bevestigt de bank aan Tweakers, nadat gebruikers dat opmerkten. De Nederlandse bank zegt dat de app gebruik moet maken van Google Play Integrity-checks. Dat doet de bank uit veiligheidsoverwegingen.

De Rabobank bevestigt tegenover Tweakers dat de app niet langer werkt op sommige besturingssystemen. "De Rabobank-app is sinds kort inderdaad niet beschikbaar op customroms zoals GrapheneOS", zegt een woordvoerder van de bank. "Dit komt doordat we nu gebruikmaken van Googles Play Integrity-checks, die vereisen dat een toestel draait op een officieel gecertificeerde Android-versie. Customroms vallen hierbuiten, waardoor de Google Play Store niet automatisch geïnstalleerd wordt op deze besturingssystemen."

Google Play Integrity heeft meerdere checks om de integriteit van een apparaat te verifiëren. De check die specifiek controleert of een app op een legitiem Android-apparaat draait, wordt door customroms niet ondersteund. Google introduceerde deze mogelijkheid in mei 2025, nadat de functie in december 2024 als bèta beschikbaar kwam.

Gebruikers kunnen de app nog wel blijven gebruiken als deze op hun toestel staat. Het is echter niet meer mogelijk de app bij te werken via de Play Store. Ook is de app daar niet meer te downloaden.

De Rabobank zegt dat te hebben gedaan 'om de veiligheid van klanten te waarborgen'. "Hiervoor is het van belang dat wij zeker weten dat zij de Rabo-app in een veilige omgeving gebruiken. Omdat het voor ons niet mogelijk is om bij dit bij iedere onofficiële versie van Android apart vast te stellen, moeten we hier keuzes maken", zegt de bank.

De Play Integrity-api maakt het voor steeds meer makers van alternatieve Android-roms moeilijker om een goed product aan te bieden. Door die api kunnen veel apps niet meer worden gebruikt. Tweakers schreef daar onlangs nog een achtergrondartikel over. We schreven ook hoe makers van dergelijke roms daarover de noodklok luidden.

Update, 15.35 uur - Context over de Play Integrity-checks toegevoegd.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 13-08-2025 14:54
335 • submitter: psalden

13-08-2025 • 14:54

335

Submitter: psalden

Lees meer

1 aug 2025

Makers van custom roms luiden noodklok: 'Europese Commissie moet ingrijpen'

218

30 jul 2025

Gaat de EU echt een Google-account verplichten in app voor 18+-verificatie?

223

18 jul 2025

Wat nou opensource? Google maakt ontwikkelaars van custom roms het leven zuur

290
Google verwijderde vorig jaar opnieuw meer apps uit Play Store
Google verwijderde vorig jaar opnieuw meer apps uit Play Store Nieuws van 31 januari 2025
Google past fraudedetectie-api Play Integrity aan, mogelijk effect op custom rom
Google past fraudedetectie-api Play Integrity aan, mogelijk effect op custom rom Nieuws van 5 december 2024
Meer producten en artikelen
Beveiliging en antivirus Mobiele besturingssystemen Google play

Reacties (335)

-Moderatie-faq
335
334
174
9
0
129
Wijzig sortering
psalden 13 augustus 2025 15:08
@TijsZonderH de "tip" kwam (onder andere?) van mij, maar vermelden is bijzaak; fijn dat jullie dit hebben kunnen plaatsen!

Een aantal punten die ik belangrijk vind om te vermelden:
  1. Ook het beschikbaar zijn van de Play Store is niet voldoende om de vereiste play integrity checks te doorstaan; de Play Store is immers gewoon beschikbaar op GrapheneOS.
  2. Het veiligheid-argument is op z'n minst discutabel; telefoons die al jaren geen veiligheidsupdates meer krijgen komen wel door de check heen. Overigens is er ook een Android-native alternatief om dergelijke checks te doen, zie: https://grapheneos.org/articles/attestation-compatibility-guide
  3. Zoals een aantal reacties terecht vermelden, is het nu nog mogelijk de app uit een alternatieve bron te installeren en dan te gebruiken, al brengt dit altijd veiligheidsrisico's met zich mee (en wat doet Rabobank er juridisch mee, mocht er ooit geld gejat worden?). Belangrijker: het daadwerkelijk implementeren van de Play Integrity API binnen de app lijkt een logische volgende stap, waarna het goed mogelijk is dat gebruik niet meer kan.
Reageer
LOTG @psalden13 augustus 2025 15:26
Het veiligheid-argument is op z'n minst discutabel; telefoons die al jaren geen veiligheidsupdates meer krijgen komen wel door de check heen. Overigens is er ook een Android-native alternatief om dergelijke checks te doen, zie: https://grapheneos.org/ar...ation-compatibility-guide
Ik denk dat de Rabobank dat hiermee al beantwoord.
"Hiervoor is het van belang dat wij zeker weten dat zij de Rabo-app in een veilige omgeving gebruiken. Omdat het voor ons niet mogelijk is om bij dit bij iedere onofficiële versie van Android apart vast te stellen, moeten we hier keuzes maken"
Ze zullen voor elke custom rom de keys moeten hebben voor die API. Ik snap wel dat ze daar geen zin in hebben.

Het zou mooi zijn als de EU hier een oplossing en verplichting voor regelt. Dit zorgt voor een vendor lockin van jewelste, aangezien er nu hard gezegd word dat je of Google of Apple als OS provider moet kiezen. Het was al erg genoeg dat het of Android of iOS was.
Reageer
TheVivaldi @LOTG13 augustus 2025 15:47
Eens, maar kun je niet de webapp als alternatief gebruiken? Bij ASN werk die perfect op o.a. Ubuntu Touch, dus ik neem aan dat die van Rabo ook prima zal werken op andere OS’en en roms.
Reageer
StefanJanssen @TheVivaldi13 augustus 2025 18:31
Is dat zoveel veiliger? In mijn ogen zit je nog steeds op een "onbetrouwbare app/OS" en is er een grote kans voor mensen om een typfout te maken en naar de raboank website te gaan waar een scammer iets neer kan zetten.
Reageer
TheVivaldi @StefanJanssen13 augustus 2025 20:19
De webapp is betrouwbaar en het OS ook, zolang het updates krijgt. Dat je een typfout kunt maken is waar, maar:

a) Veruit de meeste ‘gewone’ gebruikers gaan niet aan een ander OS/andere rom beginnen, en tweakers letten echt wel op;
b) Je kunt natuurlijk altijd van een website waarvan de url klopt een standalone webapp maken (Ubuntu Touch) of een bladwijzer toevoegen (Ubuntu Touch en andere OS'en/Android-roms), of zelfs aan je startscherm toevoegen (Android-roms). Daarmee voorkom je dat je het telkens verkeerd zou invullen.
Reageer
StefanJanssen @TheVivaldi14 augustus 2025 12:51
Als de webapp betrouwbaar is, en het OS ook, en de webapp kan alles wat de app ook kan, waarom is de app dan niet veilig?
Reageer
TheVivaldi @StefanJanssen14 augustus 2025 13:30
Dat moet je aan de Rabobank vragen.
Reageer
DeCo @TheVivaldi13 augustus 2025 16:36
Kun je met een webapp betalingen doen via QR codes? Kun je je identificeren via iDIN?
Ik kan het mis hebben, maar volgens mij is dat niet mogelijk. Daardoor is een webapp volgens mij geen goed alternatief, enkel dat je er bankzaken mee kunt doen, zoals je dat in de browser doet.
Reageer
TheVivaldi @DeCo13 augustus 2025 17:16
Bij ASN kan ik betalingen via QR-codes doen vanuit de webapp, dus ik neem aan bij Rabobank ook. Identificeren via iDIN weet ik niet, maar dat heb ik persoonlijk nog nooit gebruikt.

[Reactie gewijzigd door TheVivaldi op 13 augustus 2025 20:19]

Reageer
janbuss @TheVivaldi13 augustus 2025 20:56
Grappig ik kreeg dat het niet voor elkaar op een OP6 met /e/os of LOS21 en jij op Ubuntu Touch wel! Uiteindelijk heb ik een nieuwe digipas (de oude deed het niet meer) gekregen, terwijl ze die niet meer uitgeven werd (een mobiele app vinden ze betrouwbaarder). Toch lukte het dan nog niet op de browser, wel op de w10 pc.

Vgl mij heeft Google bewust de beveiligingsstap van play integrity checks toegevoegd om alle custom roms buiten spel te zetten.

De ASN-app deed het na een update op een gegeven moment ook niet meer op /e/os build R en na een maand hebben ze de app aangepast, zodat ie het weer deed...

[Reactie gewijzigd door janbuss op 13 augustus 2025 21:06]

Reageer
RogerWilco2 @TheVivaldi14 augustus 2025 11:40
De app is toch wel een stuk makkelijker te gebruiken dan de website geloof ik? Of bedoel je nog een andere "webapp"?

Ik vind het best handig dat de app integreert met de biometrische authenticatie op mijn telefoon (vingerafdruklezer in mijn geval).
Reageer
luchthaak @LOTG13 augustus 2025 17:14
Jammer dat de rabobank je forceert naar het gebruiken van een (bijna) monopolist die je privacy inzet om massaal geld te verdienen en vervolgens die verdiensten zogoed als mogelijk belastingvrij uit de EU weg pompt.
Reageer
-tom-562 @luchthaak13 augustus 2025 17:24
Hoezo, je kan toch ook gewoon internetbankieren op je desktop PC met een willekeurig OS?
Reageer
fuzzyIon @-tom-56213 augustus 2025 18:38
Waarmee authoriseer je dan? Je phone app toch?
Reageer
FireDrunk @fuzzyIon13 augustus 2025 19:18
Met m'n (SNS) digipas, ik hoop dat ik die nog lang kan blijven gebruiken.


Maar dat houdt ook ooit op... :(
Reageer
wernert @FireDrunk13 augustus 2025 20:05
Waarom houdt dat op? IMHO wil je (als klant) altijd kunnen terugvallen op een hardware authenticator. Rabobank is een s..tbank, maar heeft gelukkig nog de Raboscanner.
Reageer
FireDrunk @wernert13 augustus 2025 20:49
SNS geeft geen digipassen meer uit voor zover ik weet.
Reageer
DeCo @wernert14 augustus 2025 09:01
Rabobank ondersteunt zelfs nog de aloude random reader, waarmee ze begonnen zijn.
Reageer
bzzzt @DeCo14 augustus 2025 10:28
Ze zijn begonnen met de digipas, daarna naar de random reader gevolgd door de Rabo scanner.
Heb laatst bij een zolderopruiming nog een mapje met "Rabo telebankieren voor DOS" teruggevonden ;)
Reageer
Hendrik55 @FireDrunk14 augustus 2025 13:12
Ja, als hij het niet meer doet krijg je geen nieuwe..😔 en moet je de app gaan gebruiken.. Heb daarover geklacht bij SNS/ASN, maar nul op het rekest.

Het is veel veiliger.... (en omslachtiger en bewerkelijker, en wat als je telefoon niet meer werkt... en alles aan Google toevertrouwen..) 😡😔
Reageer
N8w8 @Hendrik557 september 2025 19:12
Beetje laat maar ik heb net een "browsercode" aangemaakt, daarmee kan je dan internetbankieren.
Zowel het aanmaken als gebruiken, kan helemaal zonder app (vereist alleen browser/email/sms/bankpas).
Gebruiken kon al wel zonder app (dat is immers het hele punt ervan), maar ik dacht dat om die code _aan te maken_, ironisch genoeg wel de app nodig was. Maar nu niet meer blijkbaar.

Wel lijk je de app nog nodig te hebben om je te "identificeren".
Dat heb ik nog nooit hoeven doen maar zou wellicht ooit wel moeten.

[Reactie gewijzigd door N8w8 op 7 september 2025 19:15]

Reageer
-tom-562 @fuzzyIon13 augustus 2025 19:38
Je random reader natuurlijk
Reageer
magician2000 @-tom-56213 augustus 2025 20:50
Ja, geweldig! Is ook zo handig om je laptop / PC met je scanner voor QR codes mee te nemen als je een aankoop op gaat halen en betalen...


Het is te schandalig voor woorden wat banken doen. Het is een noodzaak om een bankrekening te hebben, vervolgens maken ze het steeds duurder en moeilijker voor je en nu dit soort dingen.


Een telefoon / tablet dient hetzelfde behandeld te worden als een computer (vrije keuze OS), maar dat zal eerst bij wet gegeregeld moeten worden.
Reageer
DropjesLover @magician200014 augustus 2025 08:10
Als banken nu eens een pasje uit zouden geven waar je betalingen mee kan doen. En dat dat pasje een wereldwijd standaard-formaat heeft zodat het in een mapje past. Beveiligd met een persoonlijk identificatie nummer....
Reageer
magician2000 @DropjesLover14 augustus 2025 19:51
Je kunt wel lekker honend doen hierover, maar dat is helemaal niet waar het om gaat. Een kortzichtige reactie dus.


Banken brengen dit allemaal zelf uit, dwingen je ertoe om electronisch te bankieren om het je vervolgens steeds moeilijker te maken.
Reageer
DropjesLover @magician200014 augustus 2025 21:26
Met mijn pasje kan ik zonder noodzaak van een app, mobiel bereik of mobiele telefoon overal betalen. Op reis gaan naar afgelegen (mogelijk) afgelegen gebieden en dan klagen dat de app of je mobiele-telefoon-betaalpas niet meer werkt.. Persoonlijk vind ik dat nogal naief.
Reageer
RogerWilco2 @DropjesLover14 augustus 2025 11:45
Bankservice gaat toch wel verder dan alleen je betaalpas.

Ik ben een aantal jaren geleden heel blij geweest dat ik via de Rabobank app ondersteuning kon krijgen met de ingebouwde chat. Ik zat helemaal aan de andere kant van de wereld en had problemen met pinnen die ik niet uit kon zoeken. (minimaal internet en mobiel bereik op het platteland van Chili). Zij hebben het toen uitgezocht en opgelost.

Ik kan ook allerlei dingen m.b.t. verzekering, creditcard, betalingen e.d. regelen via de app.
Reageer
wiseger @magician200013 augustus 2025 21:43
Betalingsverkeer en klant onderzoek worden ook steeds duurder. Toch logisch dat een bedrijf die kosten doorbelast?

Vrije keuze OS? Wie is er dan verantwoordelijk dat de hardware correct samenwerkt met het OS?

Wat doe je dan als Google stopt met open Android?
Reageer
magician2000 @wiseger14 augustus 2025 19:48
Onzin dat betalingsverkeer en klantonderzoek duurder wordt. Het is een (gemakzuchtige / bewuste?) foutieve interpretatie van de wet door banken.


En nee, het is absoluut niet logisch dat wij ook maar enige kosten moeten betalen om bij ons geld te kunnen. Veel wordt gedaan vanwege fraude en witwassen. Maar regels instellen om een klein percentage (promilage wellicht zelfs) te pakken waar de rest hinder van ondervindt is niet goed.


Vrije keuze OS werkt ook op een laptop of (zelfbouw) computer, dus dat is een non issue, een bewust gecreëerd probleem.


Een Google die stopt met open Android (wat is daar nog open aan tegenwoordig?) is juist een probleem dat je wilt voorkomen. Of beter, je wilt voorkomen dat zo'n organisatie zo'n macht over dit soort zaken heeft.


Het is niets anders dan met een gewone computer. Maar enkel omdat er besloten is dit anders in te richten (oftewel mensen te gijzelen in een omgeving) is dit wel het geval.
Reageer
wiseger @magician200014 augustus 2025 20:11
Het is de overheid die de banken met dikke boetes dwingt steeds meer geld aan KYC uit te geven.

Lekker makkelijk om dan te beweren dat banken het niet goed begrepen hebben, maar ik mis de onderbouwing.

Android is van Google. Ze hebben de eigendomsrechten en kunnen gewoon uit het ASOP project stappen. Je kan geen eigendom afpakken, recht van bezit is een grondrecht. We zijn nog altijd gelukkig geen communistische staat.

Een smartphone is geen computer, het is een telefoon. Maar zelfs al was het een computer, een fabrikant kan voor een geintegreerd, gesloten produkt kiezen. Dat bepalen ze gelukkig helemaal zelf.
Reageer
4hvm @wiseger15 augustus 2025 09:54
Die fabrikant mag doen met HUN product wat ze willen, maar omgekeerd moet jij als consument ook een keuze hebben. Als Apple en Google samen afspraken maken, dan heeft de gewone gebruiker geen keuzevrijheid meer wat hun telefoon betreft. Dat "zelf bepalen" moet ook mogelijk zijn voor de klant, dus.
Reageer
wiseger @4hvm15 augustus 2025 10:18
De klant kiest al vele jaren zelf. Vroeger kozen ze ervoor Symbian niet te gebruiken en Nokia naar de afgrond te laten gaan.

Daarna kwam Microsoft, namen Nokia over en brachten Lumia telefoons op de markt met Windows Mobile als OS. De reviews waren prima, mooie, goede telefoons.

De klant koos alweer, geen interesse dus ook hier stierf een mobile OS een vroege dood.

Google en Apple zijn de favoriete keuzes van de klant. Al vele jaren.
Reageer
pimlie @LOTG13 augustus 2025 16:27
Ik snap dat niet.

Vooral omdat ze schijnbaar nu de keuze hebben genomen om dan maar geen enkele custom rom te ondersteunen?
Reageer
psalden @LOTG13 augustus 2025 15:31
Goed punt, mee eens!
Reageer
1F4A9 @psalden13 augustus 2025 15:50
Overigens is er ook een Android-native alternatief om dergelijke checks te doen, zie: https://grapheneos.org/articles/attestation-compatibility-guide
Helaas is dat onwerkbaar. Stel je wil GrapheneOS ondersteunen, dan moet je in je app al een lijst met 16 verified boot key fingerprints voor de momenteel door GrapheneOS ondersteunde devices bijhouden. Komt GrapheneOS straks naar de Pixel 10 lijn, dan werkt het daar niet op zonder dat je diens boot key fingerprints expliciet toevoegt via een app update. Andere custom roms doen niet aan verified boot (behalve Google zijn er geen andere telefoon fabrikanten die dat voor custom roms ondersteunen) of publiceren hun verified boot key fingerprints niet. Maar al zouden ze dat wel doen moet je dus een waslijst aan verified boot key fingerprints van [custom roms x supported devices] gaan bijhouden.
Reageer
psalden @1F4A913 augustus 2025 15:54
Ik begrijp je punt zeker. Misschien zou de EU bijvoorbeeld een rol kunnen spelen, zoals @LOTG al aangeeft. Ik kan me ook nog voorstellen dat Google verplicht zou kunnen worden een procedure op te stellen waarmee onofficiële besturingssystemen ook binnen Play Integrity vallen, maar je blijft natuurlijk het probleem houden dat iemand dan moet gaan bepalen welk OS veilig is en welke niet.
Reageer
fredkroket @psalden13 augustus 2025 16:08
Je bankrekening is vanaf je mobiel prima bereikbaar, echter niet via een app. Wil je gebruik kunnen maken van de app, dan moet je aan bepaalde voorwaarden voldoen zodat de bank meer garanties kan geven op werking en veiligheid.

Dus als het heel belangrijk voor je is om een alternatief OS te gebruiken, dan ben je in de basis niet uitgesloten van de toegang tot je bank.

Of gaan we dan de EU vragen om de bank te verplichten om voor elk mogelijk OS een app beschikbaar te maken? Ik denk dat met stock ROM's 99% van de mensen kunnen bankieren op de standaard toestellen. Alternatieve ROM's zijn op het grote geheel een niche.
Reageer
kvandijck @fredkroket13 augustus 2025 20:21
Google doet zijn best om alternatieven uit te sluiten.

Dat heet een monopolie. Jij noemt het niche omdat het al zo extreem is dat amper nog 1% geinteresseerd om zich daartegen te verzetten.

Dat maakt het niet acceptabeler
Reageer
Student1563424 @kvandijck13 augustus 2025 21:11
Helemaal mee eens. en ik ga er nog eentje aan toevoegen.

Als je geen root acces hebt is het niet jouw apparaat.
Een telefoon zonder root acces accepteer ik niet.

Eerst Apple met zijn OS lockin en later Senator Fritz Hollings met Microsoft Palladium.... Eerst zijn we voor het openstellen van de NFC chip van Apple, maar nee, nu gaan we allemaal over op Google Pay...
En nu zet Google custom roms onder druk en Er komt nooit een eind aan...

In 2000 was er nog wat verzet tegen palladium en werd het later de TPM die we nu kennen...
Maar het hek is van de dam als je computer opeens een telefoon formaat heeft.
Gelockede bootloaders, geen root acces. Opeens is root acces iets vies?

We leven in een omgekeerde wereld.
Open bootloaders en root acces zou een recht moeten zijn.
Géén enkel systeem is helemaal secure. Niemand kan dat garanderen. Maar je kan er tenminste wel volledige eigenaar van zijn vind ik.

Schaam je Rabobank!

Wellicht een idee voor tweakers om een nieuwsartikel te wijten aan bankieren apps en welke eisen ze stellen en kritische vragen stellen bij de koers die we op gaan (als Europa). Het is nu toch een journalistiek bedrijf? Niks aan de kaak stellen, alleen maar rapporteren?

Ooh ja... De tweakers cookie wall.... nog steeds geen weiger knop voorop.... enuf said?
Reageer
bzzzt @Student156342414 augustus 2025 10:37
Als je geen root acces hebt is het niet jouw apparaat.
Ah, een mooi principieel standpunt en ook enigszins egoistisch want er zit een flink grijs gebied aan:
Moet de bank aannemen dat iedere gebruiker dat recht nodig heeft en moet kunnen uitoefenen? En dat de telefoons in kwestie dan nog veilig zijn?

Want daar it de crux: de meeste mensen snappen software niet en zijn niet in staat intelligente beslissingen te nemen over welke software op hun apparaat draait en zijn compleet afhankelijk van anderen die mogelijk ook niet genoeg veiligheidsbewustzijn hebben.
Wie is verantwoordelijk als na het verwijderen van de beveiliging (want "handig") van hun toestel de bankrekening wordt geplunderd? Op dit moment neemt de bank die verantwoordelijkheid waardoor het absoluut redelijk is dat ze eisen stellen aan de gebruikte software.
Reageer
CAPSLOCK2000
@bzzzt14 augustus 2025 12:16
Maar waar ligt de grens?
Moet de bank mij dan niet ook beschermen tegen "domme/gevaarlijke" beslissingen zoals parachute springen of bergbeklimmen?
Moet de supermarkt mij niet beschermen tegen het kopen van ongezonde procuten?
Moet de auto mij niet beschermen tegen verkeersovertredingen door (bv) de snelheidslimiet af te dwingen?
En hoe zit het met de veiligheid van anderen?

Vertel me niet dat mensen op die gebieden wel verstandige beslissingen nemen. Op een hoop andere punten zien we de vrijheid om je eigen keuzes te maken in het leven belangrijker.

Of, om het even lekker extreem te trekken, moet de bank mij niet verplichten om eens in de week naar de sportschool te gaan voor mijn gezondheid? Uit mijzelf doe ik dat niet hoor.

Ik snap je argument op zich wel want banken hebben inderdaad een zorgplicht naar hun klanten toe. Op zich vind ik het niet verkeerd dat een bedrijf zich zorgen maakt over het welzijn van haar klanten, maar het heeft wel forse consequenties, zoals dat de wurggreep van Google op de software-wereld weer een stuk knijpender wordt. Als we dit soort techniek willen gebruiken vind ik dat de overheid er tussen moet gaan zitten om te zorgen dat het eerlijk en vrij blijft en het geen éénrichtingsweg richting Google wordt.
Reageer
bzzzt @CAPSLOCK200014 augustus 2025 13:31
Maar waar ligt de grens?
Moet de bank mij dan niet ook beschermen tegen "domme/gevaarlijke" beslissingen zoals parachute springen of bergbeklimmen?
Wat heeft een bank met jouw hobbies te maken?
Moet de supermarkt mij niet beschermen tegen het kopen van ongezonde procuten?
Gelukkig wel, anders had de groenteafdeling vol gif gelegen en hadden ze jou bij de kassa nog een slof sigaretten geprobeerd aan te smeren.
Moet de auto mij niet beschermen tegen verkeersovertredingen door (bv) de snelheidslimiet af te dwingen?
En hoe zit het met de veiligheid van anderen?
Dat doen moderne auto's al.
Ik snap je argument op zich wel want banken hebben inderdaad een zorgplicht naar hun klanten toe.
Het gaat banken waarschijnlijk meer om aansprakelijkheid. Als wij als bevolking accepteren dat gebruikers zelf aansprakelijk zijn en het geen probleem van de bank is dat het spaargeld van ouderen met slinkse trucs naar Noord Korea wordt geleid zullen banken daar ook geen probleem van maken.
Als we dit soort techniek willen gebruiken vind ik dat de overheid er tussen moet gaan zitten om te zorgen dat het eerlijk en vrij blijft en het geen éénrichtingsweg richting Google wordt.
Dat is een stuk mildere stelling dan die van de OP hierboven, daar ik ben het er mee eens dat de grote US bedrijven zichzelf op deze manier 'onvervangbaar' maken. Maar sommige mensen zullen er ongetwijfeld problemen mee hebben dat in dat geval de overheid gaat bepalen wat vertrouwde besturingssoftware is.
Reageer
CAPSLOCK2000
@bzzzt14 augustus 2025 15:08
Wat heeft een bank met jouw hobbies te maken?
Ik zie vrijheid als meer dan een hobby, maar precies, waar bemoeien ze zich mee?
Gelukkig wel, anders had de groenteafdeling vol gif gelegen en hadden ze jou bij de kassa nog een slof sigaretten geprobeerd aan te smeren.
Er staat nog genoeg frisdrank, alcohol en andere ongezonde producten. Dat ze geen giftige producten verkopen heeft meer met de wet te maken dan met de goede wil van winkeliers.
Dat doen moderne auto's al.
Volgens mij staan alle auto's het toe dat je de snelheidslimit overschreidt. Ze adviseren wel, maar de chauffeur blijft de baas. Je kan kiezen om de auto te laten rijden maar je kan nog steeds zelf het gas diep indrukken.
Het gaat banken waarschijnlijk meer om aansprakelijkheid.
Ja, dat het is probleem, hun aansprijkelijkheid versus mijn veiligheid, daar zit nog wel wat ruimte tussen.
Als wij als bevolking accepteren dat gebruikers zelf aansprakelijk zijn en het geen probleem van de bank is dat het spaargeld van ouderen met slinkse trucs naar Noord Korea wordt geleid zullen banken daar ook geen probleem van maken.
Dat is een mooi eng verhaal, maar hoe groot is dat probleem nu in praktijk? De meeste mensen zullen hun telefoon nooit rooten, van een andere ROM voorzien of alternatieve appstore installeren. De problemen waar ik over hoor zijn vooral babbeltrucks in combinatie met software die gewoon in de appstore staat, zoals remote mgmt/desktop software.
Dat is een stuk mildere stelling dan die van de OP hierboven, daar ik ben het er mee eens dat de grote US bedrijven zichzelf op deze manier 'onvervangbaar' maken. Maar sommige mensen zullen er ongetwijfeld problemen mee hebben dat in dat geval de overheid gaat bepalen wat vertrouwde besturingssoftware is.
Ja en nee, ik onderschrijf de stelling wel. Zonder root(recht) ben je niet echt de baas. Toezicht van de overheid is prima, maar dan wel op de "juiste" manier. Het is ook nog steeds mogelijk om je eigen auto te bouwen en daarmee op de openbare weg te rijden. Het kost misschien wat moeite maar is wel toegestaan.
Reageer
bzzzt @CAPSLOCK200014 augustus 2025 16:18
Dat is een mooi eng verhaal, maar hoe groot is dat probleem nu in praktijk? De meeste mensen zullen hun telefoon nooit rooten, van een andere ROM voorzien of alternatieve appstore installeren.
Dat het nu nog niet massaal gebeurt betekent natuurlijk niet dat het een goed idee is de deur open te laten staan. Als genoeg mensen op oude, minder goed gesupporte telefoons bankieren en daar rootkits voor komen kan het heel snel uit de hand lopen. En dan ben je als bank te laat en krijg je iedereen over je heen dat je in het verleden geen maatregelen hebt genomen...

Het punt is dat je zonder secure boot nooit kan 'bewijzen' dat een telefoon in de staat is die deze moet hebben. Als er persistente malware geflashed is die de HTTPS stack compromitteert en verkeer via Rusland redirect kan je als bank nog zoveel beveiliging toevoegen, maar niets doen tegen extra overboekingen die voor de gebruiker onzichtbaar worden gedaan. Ook wordt voor de gebruiksvriendelijkheid steeds meer van de 2FA tokens afgestapt waardoor je juist heel zeker moet zijn dat een telefoon vertrouwd kan worden.
Ja en nee, ik onderschrijf de stelling wel. Zonder root(recht) ben je niet echt de baas. Toezicht van de overheid is prima, maar dan wel op de "juiste" manier. Het is ook nog steeds mogelijk om je eigen auto te bouwen en daarmee op de openbare weg te rijden. Het kost misschien wat moeite maar is wel toegestaan.
Probleem is dat software natuurlijk wat meer fluïde is dan een auto die je op een bepaald moment kan keuren en langs de veiligheidseisen kan halen. Eigenlijk hebben banken helemaal geen belang bij het 'steunen' van Google of Apple of een specifieke OS versie, maar willen ze er op vertrouwen dat deze partijen het beveiligingsmodel van hun telefoons niet zomaar even omver trekken.
Dus het bouwen van een eigen OS zou nog steeds een mogelijkheid zijn, maar waarom zou een bank vertrouwen dat je er geen backdoors in installeert?
Reageer
4hvm @bzzzt15 augustus 2025 10:06
Het punt is dat je zonder secure boot nooit kan 'bewijzen' dat een telefoon in de staat is die deze moet hebben.
Met secure boot weet je dat ook niet. Je weet alleen dat het apparaat in de staat is die je leverancier of een onderaannemer heeft aangebracht, voordat er een digitaal "zegel" op geplakt werd.
Reageer
bzzzt @4hvm15 augustus 2025 12:34
Waarmee dus gegarandeerd kan worden dat een systeem low-level malware vrij is.
Reageer
amusedly @bzzzt14 augustus 2025 11:35
Dit is een "slippery slope". Dit is een typisch onderwerp waar je perfectie nooit bereikt. Als je er theoretisch over gaat nadenken is alles onveilig. Je komt dan uit op een soort clinische situatie waar alles volledig dichtgetimmerd is. Is jouw huis veilig? Waarschijnlijk zou een dief er zo in kunnen. Is autorijden veilig? Als je een zwengel geeft aan het stuur op de snelweg is het game over. In theorie zou een besturingssysteem malware kunnen bevatten. Ik gebruik Ubuntu met allerlei open source packages. In theorie zou ik al duizend keer gehackt kunnen zijn. Elke app heeft volledige toegang tot mijn home folder met al mijn bestanden. Ik gebruik X11, dus mijn clipboard kan door elke app uitgelezen worden. Toch gebeurd het niet.
Reageer
bzzzt @amusedly14 augustus 2025 13:39
Omdat het aantal desktop Linux gebruikers een afrondingsfout is en Linux aanvallers zich voornamelijk op waardevollere doelen als servers richten.
Maar waarom zou je als Linux gebruiker accepteren dat je platform minder secure is dan de alternatieven?
Ik had altijd het idee dat OSS een verbetercyclus moest triggeren, maar huidige Linux gebruikers lijken er nogal trots op te zijn in de jaren 80 te blijven hangen...
Reageer
halfgaar @bzzzt14 augustus 2025 11:35
Dat betekent dus dat je het ook accepteert dat een PC TPM moet hebben, secure boot aan, en alleen geverifieerde browsers kan gebruiken voor internetbankieren?

Het wordt dan onderhand tijd dat ik ipv een random reader een bankiertablet van ze krijg.
Reageer
bzzzt @halfgaar14 augustus 2025 13:51
Accepteren of niet lijkt me een gepasseerd station.
Maar realistisch gezien zijn veruit de meeste gebruikers niet in staat zinvolle security beslissingen te nemen en zaken als secure boot kunnen voorkomen dat je een enkele dubbelklik op een shady .exe af staat van een systeem-level malware invasie.
Reageer
pepsiblik @kvandijck13 augustus 2025 21:06
Dat is helemaal geen monopolie. Apple doet dit toch ook? En Microsoft toch ook? Ik heb nog nooit een alternatieve variant van iOS of Windows gezien. Dus waarom mag Apple het wel en Google niet? Er zijn feitelijk slechts twee OS-en op de wereld die varianten kennen: Android en Linux. De rest is één versie van één uitgever.

Daarnaaast mag je het ook wel eens vanuit het oogpunt van de banken bekijken. Die zijn elk jaar miljarden kwijt aan fraude. Dan zou ik dit ook doen. Doe je het als bank niet, dan betaal je een godsvermogen aan schadevergoedingen, omdat je verzekering de fraude niet wil dekken of een exhorbitante premie rekent. Jammer van die paar niche-tweakers. Je kunt tegenwoordig telefoons met 7 jaar ondersteuning kopen dus een grote reden voor het draaien van Custom ROMs is al weggevallen.
Reageer
Beterweter @pepsiblik14 augustus 2025 04:41
Dat is helemaal geen monopolie. Apple doet dit toch ook? En Microsoft toch ook? Ik heb nog nooit een alternatieve variant van iOS of Windows gezien. Dus waarom mag Apple het wel en Google niet? Er zijn feitelijk slechts twee OS-en op de wereld die varianten kennen: Android en Linux. De rest is één versie van één uitgever.

Daarnaaast mag je het ook wel eens vanuit het oogpunt van de banken bekijken. Die zijn elk jaar miljarden kwijt aan fraude. Dan zou ik dit ook doen. Doe je het als bank niet, dan betaal je een godsvermogen aan schadevergoedingen, omdat je verzekering de fraude niet wil dekken of een exhorbitante premie rekent. Jammer van die paar niche-tweakers. Je kunt tegenwoordig telefoons met 7 jaar ondersteuning kopen dus een grote reden voor het draaien van Custom ROMs is al weggevallen.
Zoals jij het brengt zijn de banken liefdadigheids instellingen.

De rabobank pakte 4,3 miljard
https://www.nu.nl/economie/6300717/rabobank-ziet-winst-bijna-verdubbelen-door-hoge-rente-inkomsten.html

Er zijn nog meer banken dus miljarden aan fraude kosten kan er makkelijk af.
Reageer
pepsiblik @Beterweter14 augustus 2025 07:45
Oh, dus een bank en de maatschappij moet fraude maar gewoon accepteren, omdat jij graag met je telefoon knutselt?
Reageer
Beterweter @pepsiblik14 augustus 2025 09:03
Oh, dus een bank en de maatschappij moet fraude maar gewoon accepteren, omdat jij graag met je telefoon knutselt?
Hee ho we zitten hier op tweakers daar komen veel mensen die zelf hun apparaten willen onderhouden en bijhouden. Knutselen klinkt zo denigrerend.
Reageer
pepsiblik @Beterweter14 augustus 2025 09:42
Rabobank heeft meer dan een miljoen app gebruikers. Die moeten dan allemaal een hoger fraude risico lopen vanwege die paar honderd tweakers met een custom OS? Da's toch niet redelijk lijkt me zo.
Reageer
4hvm @pepsiblik15 augustus 2025 10:11
De Rabobank kan gewoon gebruik maken van de voorzieningen die Google biedt, maar ook rekening houden met de varianten die die voorzieningen niet hebben. Je kan de gebruiker ergens achterin de app de bescherming laten uitzetten, met wat uitleg "alleen doen met alternatief besturingssysteem", enzovoort.

Ze hebben vooral geen zin om geld uit te geven aan een kleine groep mensen.
Reageer
pepsiblik @4hvm16 augustus 2025 11:01
Onzin. Door de optie aan te bieden om het uit te zetten, kun je de hele beveiliging dus omzeilen en wordt het defacto nutteloos. Jij bekijkt het vooral vanuit het perspectief van de geavanceerde eindgebruiker die flexibiliteit wil. Maar bekijk het eens vanuit het oogpunt van fraudebestrijding waar je de zaak zo goed mogelijk wilt dichttimmeren.

[Reactie gewijzigd door pepsiblik op 16 augustus 2025 11:03]

Reageer
kvandijck @pepsiblik14 augustus 2025 14:01
Banken zouden wel expertise moeten hebben over wat veilig is en wat niet.

En toch volgen ze compleet Google hierin.

Zonder mono(of duo)polie van Google (en apple) zou dat niet overeind blijven, lijkt me
Reageer
pepsiblik @kvandijck15 augustus 2025 00:42
Ze volgen de voorschriften van DNB en ze hebben dus niet echt een keuze. En DNB steekt weer de koppen bij elkaar met de ECB en andere nationale banken, alsmede adviseurs. En dan gaat er een order uit naar Google op basis van specs en requirements. Zolang Google dat dan implementeert, is het goed.
Reageer
kvandijck @pepsiblik15 augustus 2025 20:40
Dat boeit mij nu.
Volgens jou implementeert Google in deze wat ECB vraagt?
Reageer
pepsiblik @kvandijck16 augustus 2025 11:00
ECB en DNB specs bepalen mede het ontwerp wat Google implementeert, ja. Er zijn ook eisen van anderen (Federal Reserve, PayPal, Amazon, VISA, MC, Etc.) en Google zal er zeker zijn eigen sausje overheen doen.
Reageer
Spekkie88 @fredkroket13 augustus 2025 20:53
De vraag is of je wel veiliger bent met een stock rom die geen enkele vorm van updates krijgt ten opzichte van een custom rom...

Mijn poco x3 pro die voor mij qua hardware nog heel goed voldoet zou met de officiële rom zijn blijven steken op Android 10, een os dat al ruim 2 jaar geen enkele vorm van updates meer krijgt...

Met lineage os draai ik nu Android 15 en krijg ik de maandelijkse security updates gewoon ota binnen...

Dus de bank wil werkelijk beweren dat een os dat al 2 jaar geen updates meer krijgt veiliger is dan een up to date en ondersteund os?

Ik snap dat een bank huiverig is voor het idee van een custom rom, maar deze manier is vooral schijnveiligheid lijkt me...
Reageer
fredkroket @Spekkie8814 augustus 2025 00:06
De vraag is of je wel veiliger bent met een stock rom die geen enkele vorm van updates krijgt ten opzichte van een custom rom...

Mijn poco x3 pro die voor mij qua hardware nog heel goed voldoet zou met de officiële rom zijn blijven steken op Android 10, een os dat al ruim 2 jaar geen enkele vorm van updates meer krijgt...

Met lineage os draai ik nu Android 15 en krijg ik de maandelijkse security updates gewoon ota binnen...

Dus de bank wil werkelijk beweren dat een os dat al 2 jaar geen updates meer krijgt veiliger is dan een up to date en ondersteund os?

Ik snap dat een bank huiverig is voor het idee van een custom rom, maar deze manier is vooral schijnveiligheid lijkt me...
Dat het soms misschien wat tegenstrijdigheden zal hebben, daarbij kan ik me voorstellen dat het tegenstrijdig is. Maar als een bank een bepaalde keuze maakt dan kunnen ze moeilijk rekening houden met alle uitzonderlijke toestellen, mogelijke ROM's, etc.

Ik ga ervan uit dat het overgrote deel van de Rabobank klanten een iPhone heeft of een Samsung gebaseerde Android telefoon. Allemaal heel gangbaar over het algemeen. Dan zijn er nog de alternatieve of oude toestellen, maar ze zullen vast een analyse hebben gedaan voordat de keuze gemaakt is.

Hierbij zullen ze vast niet over 1 nacht ijs gegaan zijn.
Reageer
Spekkie88 @fredkroket14 augustus 2025 08:45
Er zal ongetwijfeld oneindig over vergaderd zijn, ik vraag me alleen serieus af of er inderdaad gekeken is naar hoeveel toestellen er nog software ondersteuning krijgen... En zo niet of in het geval van fraude het nog steeds gedekt wordt, ondanks dat je aan alle eisen voldoet...

Waar ik vooral over val is dat deze maatregel genomen wordt onder het mom van betere beveiliging terwijl de app nog wel als minimale eis Android 8.0 of hoger heeft...

Als het dan om veiligheid gaat lijkt het mij veel logischer om minimaal Android 13 te eisen aangezien dat, op het moment van schrijven, het oudste os is wat nog beveiliging updates krijgt...

Maar dan zal een veel groter deel van het klantenbestand gaan klagen omdat die ineens de app niet meer kunnen gebruiken, dus dit is de makkelijkste oplossing...
Reageer
keepertje @fredkroket13 augustus 2025 21:47
Je kunt toch ook ovetstappen naar een andere bank waarvan de app (nog😉) niet zo moeilijk doet? Of heeft Rabo iets héél unieks waar je absoluut niet zonder kan?
Reageer
RogerWilco2 @psalden14 augustus 2025 11:47
Op dit moment bepaalt de Rabobank dus voor de Rabobank app welk OS veilig is en welke niet.

Op zich heel logisch.
Reageer
wiseger @psalden14 augustus 2025 21:46
Er zijn ook grenzen aan wat de EU kan afdwingen. Een fabrikant dwingen haar service gratis beschikbaar te stellen aan niet betalende, derde partijen is zo'n grens.

Tesla heeft ook geweldige auto-pilot software. EU maar laten afdwingen dat ook Europese auto fabrikanten er gratis gebruik van mogen maken?
Reageer
zenlord @1F4A913 augustus 2025 18:28
[...]

Helaas is dat onwerkbaar. Stel je wil GrapheneOS ondersteunen, dan moet je in je app al een lijst met 16 verified boot key fingerprints voor de momenteel door GrapheneOS ondersteunde devices bijhouden.
Ken niets van de Integrity API, Verified Boot of zelfs Android Apps programmeren, maar het lijkt mij dat het gerechtvaardigder zou zijn om "Verified Boot compliance" te eisen dan "stock Android, ongeacht versie en security patch level": een Array van 16 verified boot keys up to date houden en zelfs keys verwijderen nadat deze geen security updates meer ontvangen lijkt mij helemaal niet zo onwerkbaar. Dat kan zelfs centraal gebeuren, en als niet door Google zelf, dan door een GrapheneOs (spinoff).
Reageer
wiseger @zenlord14 augustus 2025 21:50
Waarom zou een bedrijf geld uitgeven om andere bedrijven te helpen om met hun te concurreren?

De Rabobank kiest ervoor technologie van Google te gebruiken om haar Android app veilig te houden. Het is aan GrapheneOs om iets vergelijkbaars te ontwikkelen en de Rabobank ervan te overtuigen dat hun implementatie net zo veilig gebruikt kan worden.
Reageer
kars noordhuis @1F4A913 augustus 2025 20:24
Stomme vraag misschien maar kan je die keys niet van een webserver plukken elke keer? Echt veel data ist niet (looking at you NPO), het is makkelijk bij te werken en verbinding met het internet heb je toch nodig.

Then again, ik programmeer eigenlijk alleen embedded meuk waar je dit soort dingen gwn in hardware of extern geheugen opslaat.
Reageer
swhnld @psalden13 augustus 2025 15:43
Heel realistisch, de Rabobank heeft een stelletje slechte of luie programmeurs die uit een bepaalde toolkit werken en dit de goedkoopste manier vinden van het implementeren van deze oplossing.

Dat de Rabobank hiermee een vendor lock-in op Amerikaanse gecontroleerde software faciliteert interesseert ze ook niets, want het gaat ze puur om winstmaximalisatie.

En ga je dan kijken naar de concurrentie is er ook geen enkel alternatief op de markt die zich hardop uitspreekt met garanties dat het wel werkt. Zelfs Europees aangestuurde software schrijft de Play Integrity API voor, al bedoelen ze dat niet volgens eigen zeggen.
Reageer
sapphire @swhnld13 augustus 2025 15:58
Of ze luie of slechte programmeurs hebben weet ik niet. Wel dat ze erg onaardig zijn. Na een update werkte faceID niet meer op de iPhone, dit gemeld en kreeg een enorm lompe reactie terug met de strekking dat het wel aan mijn toestel zou liggen.

Vast aangezien het bij andere bank apps vlekkeloos werkte op het zelfde moment.
Reageer
DutchieSmokah @sapphire13 augustus 2025 17:20
offtopic:
Hehe, toevallig werkt een oud-medewerker van mij in het Android-team van de Rabobank. Jammer genoeg was hij niet bepaald de meest productieve; hij schepte zelfs op over de slaapplekken in de ‘Verrekijker’ in Utrecht, waar ontwikkelaars konden pitten. Hij had er blijkbaar flink gebruik van gemaakt nadat hij net vader was geworden.

ontopic: Ik had eigenlijk gehoopt dat dit soort geneuzel inmiddels verleden tijd was. Herinner me nog goed dat ik in 2014 van iOS naar Android overstapte en mijn Moto X een tijdlang de Rabobank-app niet kon draaien; simpelweg omdat hun beveiligingstest enkel werkte op Samsung-toestellen…

[Reactie gewijzigd door DutchieSmokah op 13 augustus 2025 17:23]

Reageer
telenut @DutchieSmokah14 augustus 2025 08:02
Ook off-topic: net vader zijn kan lastig zijn. Is een pluspunt dat ze zo iets aanbieden bij die bank!
Reageer
oltk @DutchieSmokah14 augustus 2025 08:04
offtopic:
Is het niet zo dat de Rabodank shifts heeft voor ICT medewerkers zodat die dag en nacht beschikbaar zijn? Een beetje raar om de (on)productiviteit van medewerkers af te meten aan het beschikbaar zijn van slaapplekken.

En bovendien: welk argument denk je te maken in deze context? Je suggereert: Omdat er slaapplekken zijn, zijn rabobank medewerkers niet productief (er wordt zelfs gebruik van gemaakt! schande!) en dus is het dichtzetten van de app voor custom ROMS een actie uit pure luiheid.

Mag ik even protesteren tegen dit soort van populistische argumentatie? Ik krijg al teveel van dit soort in de ochtendkrant.

Ontopic: Ik snap heel goed dat banken fraude willen gaan beperken. Ook al vind ik het jammer dat niet wordt gekozen voor een zelf ontwikkelde app, maar dat we afhankelijk zijn van het Google ecosysteem. Als ik mag voorspellen: hier blijft het niet bij. Ik kan me voorstellen dat oude (niet meer ondersteunde) android versies dezelfde restrictie gaan krijgen.

edit: ongenoegen over gebruik google ecosysteem.

[Reactie gewijzigd door oltk op 14 augustus 2025 08:10]

Reageer
R_Zwart @swhnld13 augustus 2025 17:47
Beetje raar om zo te reageren over mensen die je niet kent terwijl je hoogstwaarschijnlijk ook helemaal de reden achter het besluit niet weet. Tenzij je zelf 1 van de luie of slechte programmeurs bent, maar daar ga ik niet van uit.

Maar hoe zou jij het ontwerpen en kan je dan garanderen dat het beter werkt dan de Google implementatie? En wat zijn de recurring kosten qua bijvoorbeeld life cycle management? Verificatie en mogelijk (grote) aanpassingen met iedere Android update, etc etc.
Reageer
swhnld @R_Zwart13 augustus 2025 21:29
Tot 2 jaar terug gaf ik leiding aan 5 software ontwikkel teams die internationale apps uitbrachten die ook buiten het Google platform moesten werken, dus dat was een non-functional requirement vanuit de klant, en werd tegen getest.

En eerlijk, soms was er een uitdaging met een update met gebruikte plugins, maar we hadden een handje seniors die dat oplosten bij voorkeur richting de upstream code, of zelf iets bouwde.
Reageer
wiseger @swhnld14 augustus 2025 21:39
Dus er werden behoorlijke extra kosten gemaakt om aan de extra non-functinal requirement te voldoen.

Dus kiest de Rabobank voor iOS en Google Android waarmee ze 99 procent van haar smartphone klanten bedienen.
Reageer
RogerWilco2 @swhnld14 augustus 2025 11:53
Meestal heeft dit soort dingen niks met de programmeurs te maken, maar met keuzes die het management maakt over hoeveel tijd de programmeurs ergens aan mogen besteden, hoeveel programmeurs ze inhuren of welk soort service ze hun klanten aan willen bieden. Zeker dit soort keuzes die een direct effect hebben op klanten worden vaak een paar niveaus hoger genomen.

Rabobank is een commercieel bedrijf, natuurlijk gaan die voor een vorm van winstmaximalisatie. Korte termijn keuzes kunnen wel leiden tot lange termijn problemen, maar Rabobank lijkt toch iets meer lange termijn te denken dan de meeste andere banken.
Reageer
AuteurTijsZonderH Nieuwscoördinator @psalden13 augustus 2025 15:18
de "tip" kwam (onder andere?) van mij, maar vermelden is bijzaak; fijn dat jullie dit hebben kunnen plaatsen!
Ha inderdaad, ik herken je nick! Ik ga het toch lekker doen, dank nog!
Reageer
psalden @TijsZonderH13 augustus 2025 15:32
Graag gedaan!
Reageer
SilentLucidity @psalden13 augustus 2025 18:08
Ik heb nu een door de ontwikkelaar gesignde versie van een custom rom. Ik kan aantonen dat de rom 100% de gebouwde source code is. Ik heb geen root, geen aanpassingen. Ik kom niet meer door safety-net heen, dat zou wel mogelijk zijn (ondanks dat dat ook een kat-en-muis-spelletje is) als ik root + wat magisk modules installeer. Of ik ga terug naar stock met security patches uit oktober 2024.

Schandalige gang van zaken!
Reageer
MVO88 @psalden13 augustus 2025 19:19
Bedankt voor de waardevolle informatie en dit verklaart wel het e.e.a.

Een aantal maanden geleden plotseling wat problemen na een update, dit opgelost door de Rabo app toe te voegen aan de DenyList binnen Magisk. De app heeft altijd probleemloos gewerkt op een geroot device, maar na versie 7.45.0 niet meer.

Nu zijn ze weer een stap verder gegaan, verwacht zelf dat ze binnen enkele maanden nog verder gaan en de API binnen de app zullen implementeren.

Erg jammer!
Reageer
rob12424 @psalden13 augustus 2025 19:32
Als tweakers zijnde kun je hier niet veel aan doen. Als klant zijnde wel. (Als veel leden gaan klagen)

Ik heb hier wel wat vragen over:

Hoe ziet de Rabobank dit precies: heb jij een Chinese OS met Bloatware wat een risico kan zijn (helemaal in tijden van oorlog of als er oorlog komt dan wil je niet een hyper is of ander is met spyware). Wat is er dan gevaarlijker?

Hoe zit dat met bijvoorbeeld Secure boot op je laptop van Linux op je laptop? Dat is feitelijk precies hetzelfde verhaal? Kunnen we onder Linux ook niet internetbankieren straks omdat we geen Secure boot gebruiken? Kunnen custom roms ook een signature krijgen?
Reageer
3dmaster @rob1242413 augustus 2025 19:43
Secure boot onder Linux kan prima, zelfs in combinatie met tpm en diskencryptie. Verder wel eens met je punt ;)
Reageer
wiseger @rob1242414 augustus 2025 21:54
Het punt is, er gaan niet veel klanten klagen. Bijna alle klanten hebben iOS of Android met de Play store en Play services.

Van die paar klagende klanten liggen ze niet wakker. Daar gaan ze geen bakken met geld aan uitgeven om die te behouden.
Reageer
Mark-Ivo @psalden3 september 2025 10:52
Deze ontwikkeling is bijzonder schadelijk voor de onafhankelijkheid van de Europese burger richting Amerika. Naar mijn idee wordt hier veel te luchtig mee omgegaan (ook door de Tweakers redactie). Ik snap niet hoe een grote Nederlandse bank het in zijn hoofd haalt om je te verplichten tot het aangaan van een gebruikersovereenkomst met een Amerikaans privacy schendend bedrijf.

Ik heb inmiddels een aantal keer Rabobank over deze kwestie gesproken en een officiële klacht ingediend. Ik wil alle tweakers die dit aangaat uitnodigen aan deze klacht bij te dragen door ook de moeite te nemen hierover naar Rabobank te bellen. Als we hier geen ruchtbaarheid aan geven zal de mobiele OS markt volledig gedomineerd worden door Amerikaanse bedrijven en is er geen uitweg meer. Ik hoop van harte dat de Europese Commissie daar een stokje voor steekt. Want juist met de huidige politieke verstandhouding wil ik zo min mogelijk met Amerika te maken hebben.
Reageer
The Zep Man
13 augustus 2025 15:00
Het is echter niet meer mogelijk de app bij te werken via de Play Store.
Die is gewoon nog te installeren en actueel te houden via Aurora Store, een opensource Play Store client. Getest onder AOSP (LineageOS with microG) zonder applicaties van Google geïnstalleerd.
Gebruikers kunnen de app nog wel blijven gebruiken als deze op hun toestel staat.
Gecombineerd met het bovenstaande is dit functioneel een storm in een glas water.

[edit]
Net even getest. Installeren en beginnen met het registratieproces kan gewoon. Dit betreft dus enkel de Google Integrity implementatie van de Play Store client, niet van Rabobank zelf.

[edit2]
Even geregistreerd. Verificatie via rijbewijs (scan gestructureerd code voor sleutel NFC-chip) en NFC (haalt de digitale foto op uit het rijbewijs voor verificatie). Via camera gezicht verifiëren faalde. Geprobeerd onder verschillende lichtcondities. Alternatieve/opvolgende verificatie via Rabo Scanner gedaan, wat ging zonder probleem. PIN code aangemaakt. Ingelogd (met PIN code). Testtransactie gemaakt. Ondertekend (met PIN code). Werken.

Wellicht moet ik voor transacties naar rekeningnummers die niet in het adresboek staan de Rabo Scanner gebruiken. Dat heb ik niet getest. De applicatie probeert tijdens het registratieproces rootrechten aan te vragen (die mijn root manager keurig opving en weigerde) op het moment dat die probeert foto's te maken. Dit lijkt geen effect te hebben op het gehele proces, hoewel de fotoverificatie dus wel faalde. Wellicht eens proberen met een manier om root te verbergen. :+

Het kan zijn dat dit een eerste stap is en dat Rabobank later alsnog de Integrity API gaat integreren/verplichten in diens mobiele applicatie. Tot nu toe lijkt daar geen sprake van.

Andere geteste bank- en betaalachtige applicaties die geen probleem hebben met installatie en gebruik op AOSP (i.i.g. via Aurora Store):
ABN AMRO
N26
PayPal
Tikkie

[Reactie gewijzigd door The Zep Man op 13 augustus 2025 16:12]

Reageer
MoonRaven @The Zep Man13 augustus 2025 15:04
[...]


Die is gewoon nog te installeren en actueel te houden via Aurora Store, die de APK direct bij Google ophaalt.
[...]
En hoe zorg je ervoor dat je door de integrity check heen komt?
Gecombineerd met het bovenstaande is dit functioneel een storm in een glas water.
En na hoeveel updates is de app outdated en werkt het niet meer?

[Reactie gewijzigd door MoonRaven op 13 augustus 2025 15:05]

Reageer
The Zep Man
@MoonRaven13 augustus 2025 15:06
En hoe zorg je ervoor dat je door de integrity check heen komt?
Er is geen (verplichte) integerity check in de Rabobank applicatie zelf, gebaseerd op wat T.net schrijft en wat ik heb ondervonden.
En na hoeveel updates is de app outdated en werkt het niet meer?
Dezelfde Rabobankapplicatie als die de Play Store client met een integrity check zou installeren wordt geïnstalleerd en actueel gehouden door Aurora Store.

[Reactie gewijzigd door The Zep Man op 13 augustus 2025 15:34]

Reageer
xoniq @The Zep Man13 augustus 2025 22:16
Tot ze in de app zelf de integrity API gaan aanspreken, dan is de app zelf degene die zich onklaar maakt, óók op jou manier.
Reageer
ap3nr0ts @The Zep Man13 augustus 2025 15:06
Top. Ik heb namelijk dit probleem (Pixel 4a, Lineage). Kan ik dus gewoon weer updaten via die Aurora Store? Dan ga ik dat doen. :)
Reageer
The Zep Man
@ap3nr0ts13 augustus 2025 15:07
Dat zou moeten werken. De handtekeningen van de applicatie en updates veranderen niet, want die komen van dezelfde bron en worden niet gewijzigd.

[Reactie gewijzigd door The Zep Man op 13 augustus 2025 16:09]

Reageer
ap3nr0ts @The Zep Man13 augustus 2025 15:26
Klopt! Het werkt. Ik vind de app wat omslachtig, maar als ik alle andere apps uitsluit, wil ik dit best draaien voor Rabobank dan (en toekomstige problemen). Fantastische tip. Hij werkt het bij en je blijft gewoon ingelogd zoals bij een normale update. :)
Reageer
MornixRS @The Zep Man13 augustus 2025 15:42
Yep die route gebruik ik ook met LineageOS en Aurora. De vraag is natuurlijk wel hoelang dit nog gaat werken. Zodra ze die api wel rechtstreeks in de app gaan aanspreken dan is het alsnog over.
Reageer
Blackbird-ce 13 augustus 2025 19:05
Ik blijf dit soort aanpassingen lastig vinden: ik begrijp dat je als aanbieder van financiële diensten (én McDonalds, die één van de meest lastige beveiligingen heeft ingebouwd in haar app) wilt garanderen dat je diensten veilig gebruikt kunnen worden en tegelijkertijd het aantal variaties wilt beperken vanuit kosten perspectief. Tegelijkertijd ben ik van mening dat dít soort maatregelen niet geheel effectief zijn voor de doelgroep die ze nu proberen te beperken - gebruikers die welwillend én in staat zijn om hun bootloader te unlocken en een custom ROM te flashen, zijn ook in staat om zaken als Magisk of LSPosed te draaien. Daar vanuit is alweer zoveel mogelijk om dit soort maatregelen te omzeilen:
  • Anti-root checks waren een tijdje "hip", Magisk en Shimiko verbergen root voor apps.
  • Safetynet? Safetynet-fix zorgde ervoor dat je netjes door de check geen kwam
  • Play Integrity? PIF doet iets vergelijkbaars als Safetynet-fix, door het spoofen van keys uit beta versies van (legitieme) Android roms. Wil je basic, device én strong Integrity, dan heb je vaak nog zaken als trickystore of integrity of (of de keys van je oorspronkelijke device & ROM)
Het is een soort kat-en-muis spel waarbij er eigenlijk weinig winnaars zijn, met weinig toegevoegde waarde en we vooral elkaar extra effort opleveren.
Reageer
koos147 13 augustus 2025 21:32
Helaas is revolut hier ook mee begonnen, alleen is daar van de een op de andere dag de app volledig onbruikbaar geworden.

Kleine bijkomstigheid is dat je zonder Android / ios app helemaal geen toegang hebt tot je rekening.

Heb bij kifid (afm) al een case lopen omdat ik geen mogelijkheid meer heb om bij mijn geld te komen zonder een nieuwe telefoon te kopen.

En dat terwijl mijn telefoon wekelijks security updates ontvangt, en mensen met 2 jaar oude security updates nog wel mogen inloggen.
Reageer
m_snel @koos14713 augustus 2025 23:28
Blijkbaar is revolute niet zo baanbrekend als ze doen geloven, maar wat natuurlijk het belangrijkste is van deze zaak is of ze u toegang moeten geven via een device wat ze niet ondersteunen.

Ik heb toch een oude HTC touch liggen met een beta van Windows ce . Die werkt ook niet meer , maar daar kan de leverancier ook niks aan doen.

Dat is natuurlijk het risico van een custom rom, of en product dat niet tot de mainstream behoort.

Ik zou maar gewoon even een telefoon lenen van iemand die u vertrouwt en snel uw geld veilig stellen.
Reageer
koos147 @m_snel16 augustus 2025 20:27
Het verschil is dat Windows ce door Microsoft niet meer ondersteund is en dus niet veilig meer is.

Android 15 krijgt wekelijks updates en dus veilig te gebruiken.

Los daarvan geven de meeste banken een alternatief als internet bankieren via een website. Helaas werkt dit bij revolut alleen icm de mobiele app.
Reageer
bastro 13 augustus 2025 15:09
Deze week Graphene geïnstalleerd en ben verbaasd hoe soepel en goed dat ging.
Via webinstaller stond het OS er in een half uur op (waarvan 10 minuten bezig geweest om erachter te komen dat de standaard geïnstalleerde driver op Windows toch niet standaard geïnstalleerd was).

En daarna alles wat ik wil aan apps kunnen installeren. Dacht heel even dat ik toch de Google Play Store nodig had maar Aurora kan op 1 app na alles ophalen (moet alleen nog mijn OsmAnd+ abonnement van heel lang geleden zien te redden maar OsmAnd~ heeft de vereiste basis ook).

Was daarom benieuwd naar het nieuwsbericht maar begrijp dat de enige beveiliging van de RaboApp zit in het feit dat de App in de playstore staat. Of zien we wat over het hoofd? Want wat wordt er eigenlijk bedoeld met een 'officieel gecertificeerde Android-versie.' GrapheneOS is neem ik aan net zo officieel gecertificeerd.
Reageer
psalden @bastro13 augustus 2025 15:27
De Play Integrity API controleert in principe of het OS in een lijstje met door Google goedgekeurde OS-en staat. GrapheneOS kan de boel zelf ondertekenen, wat ook te verifiëren is (https://grapheneos.org/articles/attestation-compatibility-guide), maar komt daarmee nog niet door de Play Integrity checks heen. Op dit moment maakt dit inderdaad alleen nog wat uit voor de beschikbaarheid in de Play Store, maar een mogelijke volgende stap is Play Integrity API integratie in de app, waarmee die daadwerkelijk onbruikbaar zou kunnen worden.
Reageer
Jan121 13 augustus 2025 15:32
Het is duidelijk dat de Rabobank hier niet in het belang van de klant handelt, maar in het belang van Google.

Dit is toch Wij van WC-eend adviseren WC-eend. Volgens Google is alleen de Android versie van Google veilig.

Een door Google gecertificeerde Android versie is per definitie alleen de versie met de gesloten meuk van Google erin.

Merkwaardig dat de Rabobank transparantie wantrouwt. Wat je niet kan inzien is veiliger dan wat je wel kan inzien. Zo werkt een bank echt niet bij een kredietaanvraag,

Laat die keuze over een telefoon aan de klant.

Toezichthouder grijp in.

Open source is een recht, en strategische afhankelijkheid van buitenlandse Techbedrijven is oliedom, zeker met een president als Trump aan het roer.
Reageer
R4gnax @Jan12113 augustus 2025 15:46
Toezichthouder grijp in.
Dat zal eerst vereisen dat consumenten klachten gaan indienen, ben ik bang.
En de doorsnee consument zit niet op alternatieve ROMS - dus het zal lang duren voordat die klachten opstapelen tot dusdanig volume dat de toezichthouder er besluit iets mee te gaan doen.
Reageer
smuldersbram @R4gnax13 augustus 2025 17:30
Stel dat een consument een Fairphone 6 met e/OS voorgeinstalleerd koopt via https://murena.com/ of zelfs: https://shop.fairphone.com/nl/fairphone-5-e-operating-system. Er word nergens duidelijk uitgelegd wat je dan koopt. Mensen kopen een Android toestel zonder google meuk, veilig, privacy respecterend etc.

Dan kom je er thuis achter dat je bank app niet geinstalleerd kan worden omdat die bank persee in de walled garden van google wil zitten (A.K.A developer experience en schijnveiligheid).

Er is 0,0 reden voor de rabobank om dit te implementeren.
Reageer
RogerWilco2 @R4gnax14 augustus 2025 11:58
Oh, zelfs bij een klein aantal klachten kan je soms wel beweging krijgen.

Een vriend van me heeft ooit via de Reclame Code Commissie afgedwongen dat Microsoft stopte met de claim dat de toen net nieuwe versie van Windows het veiligste OS ooit was. Daarna heeft Microsoft overal de claim aangepast naar veiligste Windows ooit.

Meer klachten zal vaak helpen, want dan wordt ook de politiek wakker, maar denk nooit op voorhand dat het geen zin heeft.
Reageer
theredspecial @RogerWilco215 augustus 2025 05:38
Ik heb een klacht ingediend bij Rabobank, maar weet al wat het antwoord gaat zijn. Mijn volgende stap wordt ren klacht bij www.kifid.nl. Daarnaast ben ik voornemens nog meer actie te nemen, maar denk daar nog over na.
Reageer
jpfx @Jan12113 augustus 2025 16:13
Dat doen ze uberhaupt niet.
Net als dat ze nu voor de kosten met als tegenrekening je eigen rekening gebruiken.
Met andere woorden: kosten voor rekening X worden nu betaald aan rekening X.
Dus wat er af gaat, zou er ook weer bij moeten komen, immers er wordt betaald aan X?
Nee dus....
Argumentatie: er zijn gebruikers die de kosten van hun rekening van een andere rekening laten betalen en als we het naar onszelf overmaken via een 0-rekening zien ze dat niet....
Tja.. je zou in de omschrijving van de afboeking de originele rekening kunnen zetten misschien?
Klantenondersteuning zegt dan "u heeft gelijk, het is niet logisch. Maar ze gaan het niet terugdraaien".
Dus maar in mijn boekingssoftware WEER een uitzondering aanmaken om te voorkomen dat het als interne overboeking wordt gezien....
Reageer
rolf-smit @Jan12113 augustus 2025 17:04
Dit is sterk, eerst moest elke bank al naar Google Pay terwijl juist op Android dit helemaal niet nodig was. Elke bank kan prima, met gemak zelfs een eigen NFC betaal optie aanbieden.


Echter... Forceren steeds meer banken hun klanten maar het eco-systeem van Google. Net als veel bedrijven hun werknemers in het eco-systeem van Microsoft duwen (en dan doel ik even op de agressieve manier waarop je bijvoorbeeld verplicht bent Edge te gebruiken voor het openen van links vanuit Outlook, die vervolgens gaat vragen je standaard browser te worden).

Het is tijd dat we in Europa hier eens wat aan gaan doen, weg deze onnodige Amerikaanse afhankelijkheid.
Reageer
wiseger @Jan12114 augustus 2025 22:32
Open source is geen recht. Waar haal je dat nou weer vandaan?

Als je niet afhankelijk had willen worden van buitenlandse bedrijven, dan had men niet massaal hun producten moeten kopen. De Europese consument heeft zelf Nokia met Symbian kapot gemaakt.
Reageer
CAPSLOCK2000
13 augustus 2025 15:10
Daar gaan we, dit is het begin van het einde van vrije software. Dit zit er al jaren aan te komen, dit is de logische uitkomst van het hele "Integrity" programma. Langzaam sluit het net zich en verliezen we de controle over onze software. Ik mag mijn eigen apparaten niet meer gebruiken zoals ik wil. Google maakt de regels. Banken vertrouwen hun klanten niet, maar wij moeten hun software maar wel vertrouwen.

Heel veel applicaties en diensten kan ik weigeren, hoe vervelend dat ook is, maar zonder bank kan ik niet. Mobiel kunnen betalen begint ook steeds noodzakelijker te worden, steeds vaker kun je alleen betalen door eerst een QR-code te scannen.

'om de veiligheid van klanten te waarborgen' is het nieuwe 'maar denk aan de kinderen!', je kan het te pas en te onpas gebruiken alles goed te praten. Ik hoop dat er nog lang banken blijven die hier niet aan mee doen, maar ik verwacht dat de meesten snel zullen volgen, 'voor de veiligheid'.

[Reactie gewijzigd door CAPSLOCK2000 op 13 augustus 2025 15:11]

Reageer
1F4A9 @CAPSLOCK200013 augustus 2025 15:29
Heel veel applicaties en diensten kan ik weigeren, hoe vervelend dat ook is, maar zonder bank kan ik niet.
Zonder bank kan je niet, maar zonder Rabobank wel.
De kans is echter niet groot dat genoeg klanten de Rabobank hiervoor gedag zeggen zodat de andere banken dit niet ook gaan doen.
Reageer
TomONeill @1F4A913 augustus 2025 16:25
Het is echt een grote fout geweest om de bank in het IBAN zelf te zetten. Er is sprake geweest van het kunnen behouden van je IBAN als je van bank wisselt, maar dan klopt de naam van de bank natuurlijk niet meer. Daarom ook niet doorgezet, denk ik.

Ik zou echt sneller overstappen als ik mijn IBAN gewoon kon behouden.

De bankcode moet gewoon uit de IBAN standaard, het slaat sowieso nergens op dat die er ooit in is gekomen.
Reageer
Luther @TomONeill14 augustus 2025 09:49
Met de Overstapservice is het echt heel makkelijk geworden. Voor ruim een jaar worden alle betalingen en afschrijvingen netjes afgehandeld.

We hebben de overstap een jaar of twee geleden gedaan (van ING naar ASN) en ben er super tevreden mee. Het ging echt heel soepel.

Gerelateerd aan dit onderwerp is helaas de ASN app ook volledig afhankelijk geworden van Google, maar tja...
Reageer
xoniq @TomONeill13 augustus 2025 22:20
De bankcode moet gewoon uit de IBAN standaard, het slaat sowieso nergens op dat die er ooit in is gekomen.
Zorgt de bank naam er niet voor dat je daardoor per bank dezelfde hoeveelheid rekeningnummers kan aanbieden? Ipv dat je net als met IP-adressen nummers in batches moet opkopen om ze maar te hebben?
Reageer
Tintel @CAPSLOCK200013 augustus 2025 17:54
Idd. En banken zijn al langer de slechte partij om zaken mee te doen natuurlijk. Ze hebben uitzonderlijk veel macht en uitzonderlijk veel geld en praktisch iedereen heeft een bank nodig dus klanten krijg je ook wel. Dat er meerdere banken zijn lijkt mooi [voor de concurrentie] maar dat valt vies tegen vind ik.

Er zou een overheids bank moeten zijn voor onze 'digitale wallet' - dat wat anders is dan een digitale munt. Echter geeft dat wel weer een deel van dezelfde bezwaren.
En natuurlijk kan de overheid dan onze betalingen volgen (en later wellicht zelfs blokkeren...) maar dat kunnen ze nu indirect ook al omdat banken en overheid nogal dicht op elkaar zitten (moeten uitleggen aan de bank waarom je meer dan 100 euro hebt gegeven aan de supermarkt is daar wel een voorbeeld van...).

De tijd dat de bank blij was dat jij bij hen een beetje spaargeld achterliet is allang achter ons. Logisch ook - ze hebben genoeg. Tel daarbij op dat we een hypotheeksysteem hebben waarbij de bank bijzonder weinig risico loopt en dat het grootste deel van de bevolking niet zonder hypotheek een huis kan kopen en je hebt weer wat meer afhankelijkheid van banken.

En dit gedoe met 'veiligheid' is inderdaad een mooie deken die overal overheen kan worden gegooid.
Reageer
comecme @Tintel14 augustus 2025 15:46
Ik ben benieuwd waar dat voorbeeld van
moeten uitleggen aan de bank waarom je meer dan 100 euro hebt gegeven aan de supermarkt
over gaat. Ik geef regelmatig meer dan 100 euro uit en heb dat nooit hoeven uitleggen.
Reageer
Tintel @comecme14 augustus 2025 16:20
Dat is al een aantal mensen overkomen. Ik meen dat een consumenten-programma dat onder de aandacht heeft gebracht (want die mensen gingen terecht klagen). Ook al is die wet [dat de grens 100 euro is] nog niet ingevoerd meen ik. Dus zal niet iedereen overkomen idd.
Reageer
Bor Coördinator Frontpage Admins / FP Powermod
@comecme16 augustus 2025 11:41
Dat hoeft dan ook niet. Bij de gevallen die in de media zijn geweest was er ofwel meer aan de hand of het verhaal werd maar van 1 kant verteld. Je hoeft wat je in de supermarkt uitgeeft echt niet te verantwoorden.
Reageer
SgtElPotato @CAPSLOCK200013 augustus 2025 15:35
Laat je stem horen en stap over op een andere bank? Er zijn genoeg banken die dit nog niet hebben. Tja en als de volgende bank dit gaat eisen stap je toch gewoon over?

En daarnaast kun je gewoon de website gebruiken voor je bankzaken. Ik heb werkelijk nog nooit meegemaakt dat ik niet kan betalen met mijn pas (al dan niet fysiek of die in mijn Wallet).
Reageer
CAPSLOCK2000
@SgtElPotato14 augustus 2025 11:20
En daarnaast kun je gewoon de website gebruiken voor je bankzaken. Ik heb werkelijk nog nooit meegemaakt dat ik niet kan betalen met mijn pas (al dan niet fysiek of die in mijn Wallet).
Een concreet voorbeeld waar ik regelmatig mee te maken heb zijn kluisjes bij concertzalen. Die zijn helemaal gericht op een jong & snel publiek dat een QR-code scant en mobiel betaalt. Steeds vaker is er geen mogelijkheid meer om met cash of pin te betalen.
Op de vrijmakt op Koningsdag heb ik ook een aantal plekken gezien waar je allen per tikkie kon betalen.

Uit praktisch oogpunt is het overigens heel handig en veilig hoor, daar zal je mij niet over horen klagen. Beter zo dan in de rij staan om om de beurt te betalen of je kinderen met een hoop geld op straat laten zitten. Maar het is wel heel afhankelijk van een mobiele telefoon.

Verder begrijp ik dat in sommige landen, met name China, mobiel betalen eigenlijk gewoon verplicht is. Naar het schijnt accepteren een hoop winkels helemaal geen cash of pin meer maar alleen WeChat of AliPay.
Reageer
2TheMaks @CAPSLOCK200013 augustus 2025 15:57
Banken vertrouwen hun klanten niet, maar wij moeten hun software maar wel vertrouwen.
Nee, hoeven we niet. Banken zijn immers verantwoordelijk/aansprakelijk voor wat er fout gaat met hun informatiesystemen, inclusief de app. Als er geld verdwijnt van je rekening door een hack dan moet de bank bewijzen dat je onzorgvuldig bent omgegaan met je pin/inlog-gegevens. Kan de bank dit niet bewijzen dan word het geld gewoon door de bank terug gestort op je rekening.

Uiteraard is de bank hiervoor verzekerd. De hoogte van de premie voor deze verzekering is weer recht evenredig met hoe veilig de informatiesystemen van de bank in de praktijk blijken te zijn.
Reageer
mjz2cool @CAPSLOCK200013 augustus 2025 16:10
Het erge is nog dat op deze manier oudere telefoons die al even geen updates meer krijgen wel goedgekeurd worden.
Reageer
ds1786 @CAPSLOCK200014 augustus 2025 14:32
Stap je toch over naar een ander bank?
Reageer
wiseger @CAPSLOCK200014 augustus 2025 22:04
Het is jouw software niet. Dat is nu net het hele punt. Gebruikers denken slim te zijn om via Auora de licentie voorwaarden van Google simpelweg met fake accounts te kunnen negeren. Alleen timmert Google haar Android en PlayStore steeds meer dicht.

Jij mag je eigen apparaten gebruiken hoe je wilt alleen krijg je niks meer van Google kado als je hun services niet gebruikt.

En zonder de Google bijdrage aan Open Android kan GrapheneOS helemaal niet bestaan. Er werken krap aan 15 man partime aan GrapheneOs. Hoeveel Android ontwikkelaars denk je dat er bij Google aan Android werken?
Reageer
StefandeGroot 13 augustus 2025 15:13
Heeft de Rabobank nog een mobiele website die je voor je bankzaken kan gebruiken?

Jaren terug had ik een telefoon met Ubuntu Touch. Om daarop toch mijn bankzaken toen bij de Rabobank te kunnen doen, maakte ik toen gebruik van hun mobiele website. Dat was toen voor mij voldoende.

Ik weet niet in hoeverre dat zich heeft ontwikkeld en of dat nu nog een alternatief is voor degene die geen officiële Android versie (of iOS) wil gebruiken op zijn/haar telefoon wil gebruiken, maar wel bij de Rabobank wil kunnen bankieren.
Reageer
Carlos0_0 @StefandeGroot13 augustus 2025 15:18
Buiten het feit de website werkt op de mobiel, kan je sowieso wel betalingen doen(Als je iets online wil bestellen?).
Dan wordt het denk ik achteraf overmaken, of handmatig. Ideal etc betalingen gaan allemaal via de app volgens mij alleen.
Reageer
PaulHelper @Carlos0_013 augustus 2025 16:28
Ik weet niet of het bij Rabobank zo is. Maar alle andere banken die ik ken hebben altijd eerst de optie via app of website doorgaan. En dan kies ik altijd app maar als de app om wat voor reden niet werkt kan je gewoon alles doen zoals op een pc.
Reageer
Jittikmieger @Carlos0_013 augustus 2025 18:02
Nee, je kunt nog altijd betalen met de raboreader of hoe ze dat ding tegenwoordig ook noemen. Ik dit jaar heb een weekje noodgedwongen een dumbphone (in dit geval een "moderne" Nokia 3210) moeten gebruiken als vervangende telefoon. Je kunt gewoon onder de QR code klikken op een link en krijgt dan de kleurencode voor de raboreader om geld over te maken. Zoals we dat vroegâh deden.
Reageer
R4gnax @StefandeGroot13 augustus 2025 15:20
Heeft de Rabobank nog een mobiele website die je voor je bankzaken kan gebruiken?
De app v/d Rabobank is vziw niets meer dan een schil om de website, met wat extra functionaliteit toegevoegd. Het grotere probleem is - als je het als website gaat gebruiken heb je geen van die extra toegevoegde functionaliteit, bijv. om betalingen snel te accorderen.
Je zult dan wss. noodgedwongen met een Rabo Scanner a/d gang moeten. Pas daarin steken, het scherm van je smartphone scannen wanneer de proprietaire QR tevoorschijn komt, en code overtikken. Erg veel gehannes voor on-the-go gebruik. En zaken zoals snel met near-field in één ::beep:: betalen kun je wel vergeten, denk ik.

[Reactie gewijzigd door R4gnax op 13 augustus 2025 15:23]

Reageer
William_H @R4gnax13 augustus 2025 15:39
NFC is bij de meeste banken niet in de banken app. De meeste (Rabo ook) hadden daar een aparte eigen app voor. Tegenwoordig hebben ze dat over gedaan naar Google Wallet. Wat natuurlijk ook weer een lock-in is. Maar goed, je pas ergens tegenaan houden werkt nog net zo goed.
Reageer
telenut @William_H14 augustus 2025 08:11
Bij Google wallet moet je nooit pincode ingeven. "Net zo goed" klopt dus niet
Reageer
William_H @telenut14 augustus 2025 10:31
Uhm, jawel hoor. Het is contactloos betalen, daar gelden dezelfde regels voor als contactloos betalen met een pinpas. Dat dit ondervangen wordt door je vingerafdruk (of andere biometrische beveiliging) op je telefoon (altijd, of eens in de zoveel keer), neemt niet weg dat er altijd wel een vorm van extra bevestiging wordt gevraagd. Anders zou iedereen die je telefoon vindt kunnen pinnen met je betaalrekening.
Reageer
telenut @William_H14 augustus 2025 10:32
ik kan niet authentiseren op mijn pinpas met vingerafdruk... dan moet je aan de kassa uw pincode ingeven waar iedereen op staat te kijken. Alles behalve veilig.
Reageer
William_H @telenut14 augustus 2025 10:43
Dat is inwisselbaar en geheel je eigen verantwoordelijkheid. Als je telefoon je vingerafdruk even niet accepteert of je telefoon is opnieuw opgestart, moet je ook daarop je pincode ingeven. Pincode afschermen bij invoeren is zowel bij je telefoon als je bij een pinterminal goed te doen, maar wel je eigen verantwoordelijkheid. Uiteraard is een vingerafdruk dan makkelijker, maar ook daar zitten weer (andere) veiligheidsrisico's aan.
Reageer
psalden @StefandeGroot13 augustus 2025 15:24
De app wordt grotendeels ook op de website en als "Progressive Web App" aangeboden. Het grootste nadeel qua gebruiksgemak is dat je voor betalingen altijd de Rabo Scanner (of zo) en dus ook de pinpas moet gebruiken, wat bij de app tegenwoordig niet meer nodig is.
Reageer
Skamba 13 augustus 2025 14:58
Aan de ene kant begrijp ik dit ergens wel. De Integrity API is een goede manier om vast te stellen dat er niet gesjoemeld wordt aan een app.

Aan de andere kant zorgwekkend dat we zo afhankelijk zijn van Amerikaanse techbedrijven.
Reageer
WoutervOorschot @Skamba13 augustus 2025 15:04
Het is toch best gek eigenlijk? Als hun servers/api’s veilig zijn, dan is er weinig reden dat de app alleen op ‘officiele’ androiddistro’s mag draaien?

Bij streamingdiensten kan ik het ergens nog begrijpen, controle dat bijvoorbeeld de content van het scherm niet kan worden opgenomen bijvoorbeeld.

Waarom zou het de rabobank uit moeten maken of ik hun app in een virtual machine, een e/os, een officiële androidtelefoon of zelfs een webbrowser draai?

Je zou nog kunnen noemen dat theoretisch gezien het een klein stukje malwarebescherming geeft, als je google vertrouwt dat de playstore geen malware bevat. Maar dat klinkt wel erg vergezocht.
Reageer
SgtElPotato @WoutervOorschot13 augustus 2025 15:25
Dus voor streamingdiensten begrijp je het, maar voor een bank app niet????
Reageer
WoutervOorschot @SgtElPotato13 augustus 2025 15:28
Ja, want een streamingdienst moet hun videobeeld beschermen tegen kopieën. De rabo app heeft gewoon een exporteerfunctie bijvoorbeeld, er lijkt helemaal geen incentive te zijn om specifiek dit dicht te timmeren.
Reageer
SgtElPotato @WoutervOorschot13 augustus 2025 15:39
En een rabobank moet zijn klanten beschermen tegen van alles en nog wat. Dit is gewoon een manier om daar aan te voldoen.
Reageer
prutsger @SgtElPotato13 augustus 2025 17:31
Wat dan zoal, noem eens voorbeelden? Als de verbinding goed beveiligd is kun je volgens mij alles serverside controleren en maakt de client niet uit. Bij een streamingsdienst wil je juist controleren dat er clientside niets wordt opgeslagen.
Reageer
telenut @prutsger14 augustus 2025 08:15
Screen capture, record, transparante layers... Reverse ingeneeringen van hun app..
Reageer
prutsger @telenut14 augustus 2025 23:50
Ik zie daar nog steeds geen use cases waarin de bank of gebruiker risico loopt zolang je maar serverside de boel goed dicht timmert. Clients mag je gewoon nooit vertrouwen. Maar de makkelijkste methode is natuurlijk de check vam Google gebruiken, die hun meer macht geeft, dan hoef je er as ontwikkelaar zelf niet meer over na te denken.
Reageer
phray @WoutervOorschot13 augustus 2025 15:14
Raboapp werkt beetje vergelijkbaar zoals die streamingdiensten. Als ik een screenshot daarop maak is het ook gewoon zwart beeld. Denk uit veiligheid dat een andere malafide app die je hebt niet zomaar screen record en gegevens stuurt naar een of andere server ergens.
Reageer
lenwar
@WoutervOorschot13 augustus 2025 16:38
Sommige zaken gebeuren lokaal. Kijk naar biometrische authenticatie die onder water tokens opstuurt. Het stukje biometrische authenticatie werkt 100% lokaal op je telefoon. Het mechanisme zegt ‘ja of nee’ tegen de app, en stuurt een secret uit een kluis naar de app. Ofwel, als de integriteit van de telefoon niet gegarandeerd veilig is, kan dat voor gedoe zorgen.

Je telefoon is een ‘trusted device’. Er gebeurd onder water een heleboel. Dit maakt een app op een telefoon, over het algemeen veiliger dan een browser op een desktop, voor zaken als internetbankieren. (Let wel. Veiliger. Ik zeg niet dat het onveilig is op een desktop.)
Reageer
Tintel @WoutervOorschot13 augustus 2025 18:06
controle dat bijvoorbeeld de content van het scherm niet kan worden opgenomen bijvoorbeeld.
Wat met een extern apparaat heel goed kan - iets kwaliteit verlies maar ja...die was toch al ondergeschikt bij die dienst zelf.

Terwijl de 'man inbetween OS en App' attack alleen een risico voor de klant is. En daar hadden ze nooit moeite mee want op de desktop hebben we deze controles niet. De website is/was dus veilig genoeg. Dat is dan welliswaar niet een App maar die browser is niet hun applicatie.
Reageer
koppie @Tintel14 augustus 2025 16:01
De website was niet veilig genoeg, daarom had je je telefoon of TAN-code of scanner nodig. Nu zie je dat de banken dit allemaal weer terugduwen naar de telefoon, en ervanuitgaan dat de telefoon inherent veilig is ingericht voor biometrische controle.

Het is eigenlijk een achteruitgang, want zodra die telefoon gehackt wordt kan je alsnog een heleboel dingen.
Reageer
Tintel @koppie14 augustus 2025 16:24
Ja. idd. De TAN-code of externe scanner was een 'disconnected device' - dus geen kans op remote hacken. Hoogstens fysieke diefstal maar - de hoofdreden dat het niet handig was - niet altijd bij je. En de telefoon wel.
Gemak met betalen dient ook de banken; die verdienen tenslotte ook aan transacties.
Maar een telefoon heb je dan wel bij je - het is jouw apparaat. Maar nu gaan ze dus fijn bepalen wat je met jouw apparaat doet; voor jouw veiligheid....
Reageer
koppie @Tintel14 augustus 2025 17:06
Ik denk ook dat het niet een goed idee is, maar de telefoon is voor de banken nu hét identificatieapparaat geworden en die dubbelfunctie past eigenlijk niet in het hele model.
Reageer
catfish @WoutervOorschot14 augustus 2025 09:15
Ik denk dat je niet beseft wat je schrijft.

Als ik jouw Rabobank app kan hacken op de een of andere wijze, dan kan ik dingen tonen op het scherm en andere dingen naar de server sturen. Met andere woorden: zonder het te weten ga je al je geld overschrijven naar mijn rekening.

Het is dus HEEL erg belangrijk dat de app gecontroleerd wordt op echtheid.

En voor de mensen die denken dat dit niet met een browser kan, uiteraard kan dat ook.
Reageer
WoutervOorschot @catfish14 augustus 2025 09:30
Daar had ik niet direct aan gedacht. Het gaat inderdaad om het stukje klantbescherming tegen malware. In de browser kan dat idd ook, maar daar is de random reader de beveiligingslaag natuurlijk. In de app alleen je code/biometrie.

Er lijkt in eerste zicht geen directe reden vanuit de bank, maar ze bekommeren zich daadwerkelijk over schade bij klanten. Wel is het natuurlijk jammer dat dit via een Google API wordt gedaan waarbij meer wordt gecheckt dan dat alleen de app 'echt' is, en het daardoor niet op andere systemen kan draaien.
Reageer
CAPSLOCK2000
@catfish14 augustus 2025 11:54
Als ik jouw Rabobank app kan hacken op de een of andere wijze, dan kan ik dingen tonen op het scherm en andere dingen naar de server sturen. Met andere woorden: zonder het te weten ga je al je geld overschrijven naar mijn rekening.
Als ik de app kan hacken dan is het eerste wat ik doe alle zelfcontroles er uit halen. Daar werkt dit niet voor.
Het is dus HEEL erg belangrijk dat de app gecontroleerd wordt op echtheid.
Maar dat is niet wat Google Play Integrity doet.
Reageer
Tintel @catfish14 augustus 2025 16:32
En het stomme is; dat betekent dus eigenlijk dat we de andere kant niet kunnen vertrouwen; want die kan beweren de bank te zijn maar is dat niet. Dat kun je echter ook lokaal doen - dan is er geen vertrouwensprobleem - dan is je eigen device gecomprimetteerd.
Echter: de meeste nadruk ligt zoals gewoonlijk nog steeds dat de klant moet bewijzen wie hij/zij is. Toen er nog alleen fysieke bankloketten waren was dat ook geen probleem. Maar nu hebben we dus digitale loketten....dus zou ook de bank eerst moeten bewijzen dat het wel de bank is. Liever voordat jij je password intyped....

Het idee van een server-side systeem dat kan bewijzen van de bank te zijn en een extern identificatie systeem is vele malen veiliger. Nu moet jouw apparaat waar je van alles mee kan en wil doen (want het is niet alleen voor bank...) superveilig worden omdat de bank anders niet kan garanderen dat jouw geld veilig is bij hen.... bijzonder verhaal...beetje omgekeerde wereld. :X
Reageer
theredspecial @WoutervOorschot15 augustus 2025 07:25
Voor FairPhone is /e/os zelfs officieel :D
Reageer
Carlos0_0 @Skamba13 augustus 2025 15:01
Hoezo afhankelijk, je bent niet verplicht de bank app te gebruiken.
Je kan prima de website gebruiken, dat de app handiger is op een telefoon. dat is weer een ander verhaal :).
Reageer
Jeffrey88 @Carlos0_013 augustus 2025 15:09
Bij ING moet ik via de app betalen als ik iets via de computer bestel, QR code scannen... Dat wordt dus al een uitdaging
Reageer
eNaSnI @Jeffrey8813 augustus 2025 15:13
Nee hoor, je kunt ook een scanner gebruiken: https://www.ing.nl/particulier/digitaal-bankieren/mijn-ing/scanner
Reageer
Groentjuh @eNaSnI13 augustus 2025 15:28
Dat wordt flink ontmoedigd door diverse banken. Diverse banken hebben dat geeneens. Voorbeelding hiervan zijn: Bunq, Knab en Triodos Bank (had scanner, maar geeft geen nieuwe meer uit. Overstappen naar mobiel is verplicht!). ASN Bank, Regio Bank en SNS hebben hun scanner ook uitgefaseerd voor een "browsercode".

Ik zit zelf bij ABN AMRO. Die pushed ook flink hun app. "Wist u dat u ook met behulp van de ABN AMRO app kunt inloggen?" en willen geheel van de scanner af. Zie bijvoorbeeld dit artikel.

Ik heb dan ook al een keer soort van ruzie gehad met ABN AMRO, want voor KYC wilden zijn een scan via hun app van mijn ID. Destijds was mijn Android versie te oud voor de app, dus dat werkt dan niet. Uiteindelijk maar even mijn werk iPhone gebruikt nadat ik berichten ontving met een aankondiging dat mijn producten zouden worden opgezegd indien ik niet binnen 2 weken het aangeleverd had.

Met dit soort dingen ben je straks VERPLICHT om een Google account of AppleID te hebben om te bankieren!

[Reactie gewijzigd door Groentjuh op 13 augustus 2025 15:38]

Reageer
wiseger @Groentjuh13 augustus 2025 18:06
Tja dat zit hem in de kosten. Als de bank twee euro per maand gaat vragen voor het gebruik van de Random Reader, dan is het ook weer niet goed.

ABNAMRO wil overigens geen scan voor KYC, de overheid verplicht hun de identiteit van hun klanten te controleren. Ze zijn het door de overheid verplicht om uit te voeren. Het enig alternatief is dat u als klant verplicht langskomt op een kantoor om daar uw ID kaart te laten zien.
Reageer
Groentjuh @wiseger13 augustus 2025 23:28
Langkomen bij ABN AMRO? Echt?!

Ga jij maar eens goed de contactpagina bekijken! Ik citeer: "Kan ik nog naar kantoor?"

"We snappen dat het belangrijk voor je is om persoonlijk geholpen te worden met je bankzaken. Hoewel je niet meer naar kantoor kunt komen voor een afspraak, hebben we verschillende manieren om je te helpen."
Reageer
Tintel @wiseger14 augustus 2025 16:36
Tja dat zit hem in de kosten. Als de bank twee euro per maand gaat vragen voor het gebruik van de Random Reader, dan is het ook weer niet goed.
Nee, nu dan; nu heb je een apparaat nodig wat honderden euro's kost [telefoon].... omdat de bank geen systeem kan leveren dat jouw geld velig kan houden. Dit is toch zoiets als dat de bank haar klanten verplicht een goede kluis te kopen om het geld in op te bergen? "Anders is het niet veilig"....
Reageer
wiseger @Tintel14 augustus 2025 18:49
Smartphones zijn wijd verspreid. De meeste volwassen hebben er wel eentje. Verder zijn er nog alternatieven zoals banken die een Random Reader kunnen leveren. Ook zijn er al Smartphones vanaf 79 euro te koop.

Als men voor een kleine groep mensen toch een dure oplossing moeten blijven leveren, dan is het ook vrij logisch die kosten bij die groep in rekening te brengen en niet alle klanten eraan mee te laten betalen.
Reageer
tweakerbee @wiseger14 augustus 2025 22:43
Het gaat niet om de smartphone, het gaat om de koppeling aan een Google account omdat de Play Store verplicht is. Dat geeft Google indirect macht over of veel mensen hun bankzaken kunnen regelen. Je kunt je afvragen of dat wenselijk is.
Reageer
wiseger @tweakerbee14 augustus 2025 22:56
Europa heeft net geregeld dat alternatieve stores toegestaan zijn. Dus kan een partij gewoon een geweldige store bouwen met super veilige checks.

Je kan ook een iPhone kopen, heb je geen last van Google meer.

Opties te over.
Reageer
theredspecial @wiseger15 augustus 2025 08:23
De enige optie die ik heb is een iPhone, want de oplossing van andere app stores moeten worden ondersteund door de bank. En een iPhone is voor mij onwenselijk omdat de privacybescherming in /e/os beter is (gekoppeld aan eigen nextcloud, genoeg apps die alleen lokaal werken). Dus, volgens mij zijn er niet genoeg alternatieven.
Reageer
Tintel @wiseger15 augustus 2025 08:59
Dat iets wijd verspreid is maakt toch niet uit? Zoals hieronder al gezegd wordt; het is jouw apparaat waar dan de bank eisen aan gaat stellen.
Reageer
wiseger @Tintel15 augustus 2025 09:33
De bank stelt eisen aan het apparaat waar haar banken app op kan draaien.

Het is uw keuze of u die app wilt gebruiken of niet.
Reageer
theredspecial @wiseger16 augustus 2025 03:59
Ik heb een FairPhone die met /e/os te koop is. Nu sluit de bank mij uit. Gaan ze zeuren over terig naar een officiële versie, terwijl ik die heb. Het werkt altijd en nu is het plots een probleem? Onzin. Zeker omdat een oudere telefoon die geen updates meer krijgt wél veilig zou zijn? Nogmaals, onzin.
Reageer
wiseger @theredspecial16 augustus 2025 09:10
/e/OS is een fork van Open Android. Het is geen officiële versie, het is een open source versie. Ze gebruiken dus gewoon de code van Google terwijl ze heel trots verkondigen dat het een 'complete, fully “deGoogled”, mobile ecosystem' is.

Dit model is niet houdbaar, wel profiteren van het werk van Google maar er niet voor willen betalen. Dus zet Google steeds meer dicht, tot het punt dat ze stoppen met ondersteuning van OASP. En dan komt iedereen er ineens achter dat al die zogenaamde alternatieve besturing systemen zelf nauwelijks ontwikkelen, maar gewoon jarenlang meeliften op het werk van Google. De organisatie waar ze zich juist tegen afzetten.

En kijken we even verder wat /eOS zegt over apps:
All the apps are based on open source bricks. We improve their design and experience to make them look stellar and easy to use daily.
Dus /e/OS wil de app van de Rabobank zelf aanpassen? Vind u het echt zo raar dat de Rabobank dit niet wil?
Reageer
theredspecial @wiseger16 augustus 2025 17:12
Jouw quote heeft betrekking op standaard apps, zoals mail of agenda. Apps die ik overigens niet gebruik.

FairPhone verkoopt gewoon telefoons met e. Daarmee is het wel degelijk officieel. Immers, het wordt geleverd door de fabrikant en ik kan niet terug naar een officiële of oorspronkelijke versie omdat die zo van de fabrikant komt.
Reageer
wiseger @theredspecial16 augustus 2025 17:28
De fabrikant heeft geen rechten op Android en levert dus geen officieel OS. Je krijgt een pre-installed open source versie.

Fairphone levert zelf ook geen ondersteuning op het OS. Je bent volledig afhankelijk van de OASP community. Lees de goodwill van Google.
Reageer
theredspecial @wiseger17 augustus 2025 04:53
Ik zie het anders: ik koop een telefoon met een bepaald OS. Daarmee is dat OS een officiële versie voor die telefoon. Wat Google er ook van zou vinden. Als ik die versie zelf geïnstalleerd zou hebben, soit. Maar de telefoon is zo verkocht. En Rabobank werkt het nu tegen.
Reageer
wiseger @theredspecial17 augustus 2025 09:52
Google vind er niets van, Google is de eigenaar van Android.

Fairphone bezit geen mobiel OS. Dus leveren ze een open source versie van /e/OS die een versie van Google's Android onder licentie gebruikt. Een versie die ze zelf aanpassen.

De Rabobank werkt niets tegen, haar app werkt op Google Android en iOS. Dat is de keuze die zij gemaakt hebben.

Dat jij een truuk hebt uitgehaald om de app toch op jouw telefoon te installeren zonder dat je de Play Store geinstalleerd hebt, is jouw probleem.
Reageer
theredspecial @wiseger18 augustus 2025 17:27
Hoewel ik het nog steeds niet met je eens ben, laat ik het hier maar bij. Ik ga in elk geval door met mijn strijd tegen spionage-OSen en -bedrijven.
Reageer
eNaSnI @Groentjuh13 augustus 2025 15:40
Voor een remote identificatie kunnen ze soms ook een derde partij inschakelen die op afspraak langskomt. Het eisen dat je alleen hun diensten mag gebruiken als je allerlei hardware aanschaft zal ook een bepaalde groep ergens anders heen duwen (lees concurrent).
Reageer
AtHomer @Groentjuh13 augustus 2025 15:59
Bij Triodos is het nog mogelijk om een Identifier te gebruiken, maar die optie is nergens op de website zelf terug te vinden, je moet echt moeite doen. Uit de "Voorwaarden Betalen":

Om toegang te kunnen krijgen tot Internet Bankieren geeft de Bank de Rekeninghouder de mogelijkheid van Mobiel Bevestigen of een Identifier. Met behulp hiervan kan de Rekeninghouder inloggen in Internet Bankieren.

Een Identifier kost 20 euro. Aanvragen kan via: https://www.triodos.nl/downloads/formulier-aanvragen-identifier?id=81182d5e2505
Reageer
Carlos0_0 @Jeffrey8813 augustus 2025 15:10
Zou kunnen uiteraard ondertussen, moet zeggen ik de website zo ontiegelijk lang al niet meer gebruikt heb.
Ik niet eens meer weet, of je een betaling kan doen. als je bijv iets besteld via een website ofzo.
Reageer
eNaSnI @Carlos0_013 augustus 2025 15:41
Hier staat dat dat kan: https://www.ing.nl/particulier/digitaal-bankieren/mijn-ing/scanner-gebruiken
Reageer
moimeme @Jeffrey8814 augustus 2025 23:46
Ik niet, bij ING betaal ik via hun webportaal of ideal.
Reageer
rko4u @Carlos0_013 augustus 2025 15:16
Totdat je je geregistreerde device nodig hebt om je betaling goed te keuren en je deze niet meer in kan. Volgens mij heb je dan een uitdaging. Dan kan je de bank bellen, maar die willen dan weer via de app je identiteit controleren.
Reageer
Ex Nunc @Carlos0_014 augustus 2025 10:06
Best wat banken die willen dat je met de app inlogt op de website. Een andere manier wordt lastig gemaakt of zelfs uitgefaseerd.
Reageer
MoonRaven @Skamba13 augustus 2025 15:03
Custom roms kunnen echter de veiligheid nog meer verbeteren. Dit is wat mij betreft echt niet wenselijk.
Reageer
Bor Coördinator Frontpage Admins / FP Powermod
@MoonRaven13 augustus 2025 15:27
Custom roms kunnen echter de veiligheid nog meer verbeteren.
Of de veiligheid (flink) verlagen. Je kan hier echt niet zo'n algemeen statement over doen. De veiligheid van een custom rom hangt helemaal van de betreffende rom in kwestie af.
Reageer
Raven @Bor14 augustus 2025 10:16
Een reden om custom roms te gebruiken is het niet meer bijgewerkt worden van de stock Android op een smartphone, heeft de Rabo dan liever dat klanten op een oude Android versie met beveiligingsproblemen die niet worden gefikst blijven werken? Dit even los van de (potentiële on)veiligheid van custom roms.
Reageer
gamezfreak @Skamba13 augustus 2025 15:43
Aan de andere kant zorgwekkend dat we zo afhankelijk zijn van Amerikaanse techbedrijven.
Massa is kassa hé (daarmee doel ik niet de tv programma). Veel mensen willen een product dat simpel te gebruiken is, zonder allerlei handelingen te moeten doen. 2FA / MFA is zelfs nu voor sommige mensen al te irritant aan het worden omdat er een extra stap bijzit i.p.v. alleen inloggen met een wachtwoord. Daarnaast willen mensen dat het eenvoudig te gebruiken is, zonder een alternatieve App Store te moeten downloaden, of bijv. via APKmirror de .apk downloaden en installeren.
Voor Tweakers en mensen in de IT wereld is dat niks nieuws, maar voor de gemiddelde persoon lijkt het alsof je Klingon spreekt.

Je zou naar Sailfish OS kunnen gaan als je geen Google Android wilt gebruiken, of zoals anderen het al hebben gezegd E/OS, of een andere fork dat binnen de EU wordt ontwikkeld. Echter zullen niet veel apps erop komen, omdat de userbase te klein is om ondersteuning van andere apps te krijgen (bijv. bank apps, DigiD).
Dat zagen we al met Symbian OS, wat ooit de OS was waar je van alles mee kon doen, kelderde het gebruik zodra Android populair begon te worden. Ja, SymbianOS was toen alleen voor Nokia bedoeld, maar het had ook gekund om op andere smartphones te draaien, gezien het grootste gedeelte op Java draait (net zoals Android dat nu doet).

Daarnaast, USA heeft net wat meer geld te besteden dan dat wij kunnen, zodoende maken we veel gebruik van de diensten en producten dia USA kan leveren. Andersom maakt USA ook gebruik van de diensten en producten die wij leveren. Mocht je toch willen kijken welke producten je kan vervangen door een EU product, kijk dan op deze site.
Reageer
Polderviking @Skamba14 augustus 2025 12:18
Die integrity API zou een goede manier zijn, als Google niet koning en keizer was over hoe die integrity API werkt en dat in plaats daar van een open en toegankelijk proces was.

Niemand heeft er inbreng over, en als je niet zelf een telefoonproducent bent (lees: Graphene of E/OS) kan je er ook gewoon niet aan meedoen met je verder keurige software.

Ik vind het vooral een antitrust issue zoals dat nu werkt.

[Reactie gewijzigd door Polderviking op 14 augustus 2025 12:24]

Reageer
Kaasdipje 13 augustus 2025 15:03
Weer zo’n geval waar “veiligheid” als excuus wordt gebruikt om Google-lock-in te versterken. Rabobank kiest er bewust voor alleen nog gecertificeerde Android-versies te ondersteunen, waardoor privacyvriendelijke roms buitenspel staan. Ironisch genoeg zijn sommige van die custom roms juist veiliger dan stock Android, maar dat telt blijkbaar niet mee.
Reageer
The Realone @Kaasdipje13 augustus 2025 15:14
Ik zie niet echt in welke motivatie de Rabobank heeft om de Google-lock-in te "versterken". Kun je dat uitleggen?
Reageer
Kaasdipje @The Realone13 augustus 2025 15:15
Met “Google-lock-in” bedoel ik niet dat Rabobank actief Google wil promoten, maar dat de keuze voor Play Integrity automatisch betekent: geen officiële Google-certificatie = geen Rabo-app. Daarmee word je dus indirect gedwongen binnen het Google-ecosysteem te blijven, ook als er technisch prima veilige alternatieven bestaan (zoals GrapheneOS)


Het gevolg is dat gebruikers die juist bewust voor privacy en veiligheid kiezen, worden uitgesloten. Niet omdat het per se onveilig is, maar omdat het niet in Google’s lijstje staat.
Reageer
Jittikmieger @Kaasdipje13 augustus 2025 16:11
Yup.

Je kunt natuurlijk nog steeds via de browser en rabobank.nl op je rekening komen. Je zult alleen - ouwerwets - de raboreader mee moeten zeulen om betalingen te kunnen doen. Omslachtig en vervelend, natuurlijk.
Reageer
lenwar
@Kaasdipje13 augustus 2025 19:54
Nou ben ik niet bekend met GrapheneOS, maar wat voor garanties bieden zij op veiligheid/integriteit/enz. En hoe zijn ze juridisch aansprakelijk te stellen mocht het helemaal belly-up gaan, of dat er toch ineens wat rotte/frauduleuze dingen gebeuren?

Nogmaals. Ik ben niet met ze bekend en wil zeker geen twijfel trekken aan goede intentie, maar als bank wil je waarschijnlijk wel wat meer dan goede intenties.
Reageer
CAPSLOCK2000
@lenwar14 augustus 2025 11:56
Nou ben ik niet bekend met GrapheneOS, maar wat voor garanties bieden zij op veiligheid/integriteit/enz. En hoe zijn ze juridisch aansprakelijk te stellen mocht het helemaal belly-up gaan, of dat er toch ineens wat rotte/frauduleuze dingen gebeuren?

Nogmaals. Ik ben niet met ze bekend en wil zeker geen twijfel trekken aan goede intentie, maar als bank wil je waarschijnlijk wel wat meer dan goede intenties.
Je denkt toch niet dat Google wel dat soort garanties geeft?
Waarom zouden ze? Een van de belangrijkste onderdelen van de meeste software-licenties is het afwijzen van alle verantwoordelijkheid.

Een heel andere manier om er naar te kijken is dat GrapheneOS nog niet veroordeeld is voor machtsmisbruik en allerlei privacy-overtredingen. Google is al talloze keren veroordeeld. Waarom zou je dat bedrijf wel vertrouwen?

[Reactie gewijzigd door CAPSLOCK2000 op 14 augustus 2025 11:59]

Reageer
lenwar
@CAPSLOCK200014 augustus 2025 12:10
Google heeft licenties om in de EU bijvoorbeeld Google Pay te faciliteren. Daar zijn allerlei controles en garanties aan te pas. De ECB gaat daar niet lichtzinnig mee om. Als er (bewust) frauduleuze zaken gebeuren bij Alphabet op dit vlak worden ze echt wel op het matje geroepen en aansprakelijk gehouden.

Alphabet is natuurlijk op allerlei vlakken een verwerpelijk bedrijf, en ik snap ook niet dat er mensen zijn die er vrijwillig gebruik van maken (waar er alternatieven zijn), maar ze hebben qua veiligheid de boel wel op orde. (Uiteraard zijn er incidenten). En ze zullen geen risico’s nemen om hun Google Pay product niet meer te mogen aanbieden door fout gedrag. Dat is fnuikend voor vertrouwen.
Reageer
CAPSLOCK2000
@lenwar14 augustus 2025 12:30
Je hebt op zich gelijk, maar je argumenten zijn uiteindelijk vooral op gevoel en verwachtingen gebaseerd. Ik heb wel respect voor de ECB maar tegelijkertijd zie ik ook de macht van Google.
Als er (bewust) frauduleuze zaken gebeuren bij Alphabet op dit vlak worden ze echt wel op het matje geroepen en aansprakelijk gehouden.
Dat is zo, maar dat betekent niet dat Google dan wel meewerkt of niet tot het uiterste vecht om z'n eigen zin te krijgen. Dat 'aansprakelijk houden' valt in praktijk nogal tegen, dat is te vaak een "als het kalf verdronken is dempt men de put" situatue. Ja, Google krijgt een boete, maar de concurrentie is al kapot en heeft daar niks meer aan of de data is al gebruikt.

Stel dat de ECB morgen besluit om Google Pay te blokkeren en miljoenen mensen niet meer kunnen betalen, op wie zijn de mensen dan boos? Op de ECB of op Google? Ik denk dat velen vooral boos zijn op de ECB want Google is een meester in marketing en PR. Als Google dan zegt "Wij gaan ons niet aanpassen, ga maar bij de ECB klagen" dan ben ik bang dat ze het winnen en de politiek de ECB zal dwingen om bakzeil te halen.

Zo extreem zal het niet gaan, maar de invloed van Google is enorm.

Overigens is er nog een complicatie, namelijk dat Google meerdere petten op heeft. Ten eerste is Google de leverancier van het OS, ten tweede is het de ontwikkelaar van Google Integrity, ten derde is het de uitbater van Google Play en ten vierde is het de controleur die op de veiligheid van dit alles toezit en de regels maakt. Dat is vragen om belangenverstrengeling. Of het nu bewust is of niet, Google zal zichzelf niet snel dwars zitten maar er juist voor zorgen dat de eigen producten/partners geen strobreed in de weg wordt gelegd.
Reageer
wiseger @lenwar13 augustus 2025 21:25
Ze zijn niet aansprakelijk te stellen. 15 vrijwilligers werken we aan GrapheneOS. Er zit geen bedrijf of organisatie achter.
Reageer
lenwar
@wiseger13 augustus 2025 21:44
Dan snap ik dat een bank daar niet per se op wil vertrouwen. Ongeacht een geweldige track-record, en uiteraard niets ten nadele van die 15 mensen die daar waarschijnlijk hun ziel en zaligheid in stoppen.
Reageer
kodak
@Kaasdipje13 augustus 2025 15:27
Beveiliging gaat ook om beschikbaarheid. Dat de app alleen nog onder specifieke technische en organisatorische omstandigheden werkt gaat dus wel degelijk om beveiliging. Alleen hebben ze dit verschoven naar wat ze zelf belangrijk vinden. Ze willen kennelijk niet beschikbaar blijven voor klanten die zelf willen beslissen welke soort Android men gebruikt.

Als dat om beveiliging is dan hoort er wel een uitleg bij . Waarom dit nog minder beschikbaar zijn vanuit risico's gezien redelijk is. En die uitleg geeft Rabobank juist niet. Maar daarmee is het risico nog niet minder of gelijk.

Ik vermoed dat het Rabobank meer te doen is om de suggestie risico weg te nemen. Zeker zolang ze over de afgelopen 25 jaar niet kunnen aantonen dat de integriteit van de app een praktisch risico is. Zoals dat er miljoenen euro's verlies is doordar criminelen de app hebben aangepast en zich zo geld konden toe-eigenen.

Het is ook meten met twee maten. Iedereen kan wel op een slecht onderhouden en besmet systeem met Windows/osx/Linux bankieren maar op een smartphone is het spontaan een probleem als klanten wel controle willen over wie waar bij mag.

[Reactie gewijzigd door kodak op 13 augustus 2025 15:46]

Reageer


Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq