ABN Amro-app voor Android vraagt per abuis om root-toegang

De Android-app van ABN Amro vraagt sinds de recentste update om root-toegang. Het gaat om een fout die per ongeluk in de code is geslopen, beweert ABN Amro. Volgende week wordt een update uitgegeven die het probleem moet oplossen.

Veel gebruikers van de ABN Amro-app is opgevallen dat de update, die donderdag werd uitgerold, om root-toegang vraagt. Zo klagen gebruikers op Google Play dat er geen denkbare reden is waarom de applicatie root-toegang zou moeten krijgen. Het gaat echter om een fout, zegt Karen de Vries van ABN Amro. "Helaas is in de code een fout geslopen, waardoor deze melding verschijnt bij klanten met een Android-telefoon die geroot is", aldus de Vries. Klanten zonder root krijgen geen melding.

Volgens De Vries zit er een fout in het deel van de code waarin wordt gecontroleerd of een gebruiker root-toegang heeft. "Wij willen dat graag weten voor onze technische ondersteuning", zegt De Vries. "Onze klantenservice weet dan welk toestel een klant heeft en of dat is geroot." De foutieve wijziging heeft echter tot gevolg dat er daadwerkelijk om toegang wordt gevraagd.

De bank hoopt begin volgende week een update uit te rollen waarin de fout wordt opgelost. "We snappen dat dit verwarrend is voor onze klanten", aldus De Vries.

Door Joost Schellevis

Redacteur

Feedback • 13-09-2013 20:02
94 • submitter: Prosperot

13-09-2013 • 20:02

94 Linkedin

Submitter: Prosperot

Lees meer

'Duizenden Android-apps kwetsbaar door lekken in InMobi-adware' Nieuws van 27 november 2013
Banken: skimmen is fors gedaald door pin-blokkade buiten Europa Nieuws van 4 juli 2013
ING introduceert bankieren-app voor Windows 8 en Windows Phone Nieuws van 26 juni 2013
ING begint met uitgifte betaalpassen met nfc-chip Nieuws van 6 juni 2013
Meer producten en artikelen
Netwerk en systeembeheer

Reacties (94)

-Moderatie-faq
94
89
56
10
1
10
Wijzig sortering
- peter -
13 september 2013 20:45
Grappig, ik zag vandaag een melding bij het project 'RootTools' dat er een bank om SU access vroeg. Deze library vergemakkelijkt het checken voor root en het uitvoeren van root opdrachten. Echter de code triggert ook SU als je alleen maar checkt of er root aanwezig is. (Daar liep ik een tijd geleden ook tegen aan vandaar dat ik geabonneerd ben op de bug).

Ik vermoed dan ook dat de bank alleen maar checkt of de gebruiker root toegang heeft en dan mogelijk niet meer toegang verleend. Helaas triggert dat dus root toegang. :)

Originele Bug is hier: http://code.google.com/p/roottools/issues/detail?id=32 (niet door ABN aangemaakt hoor).

[Reactie gewijzigd door - peter - op 13 september 2013 20:49]

Laguna
@- peter -15 september 2013 08:23
Is dat wel een bug? Lijkt mij eerlijk gezegd niet meer dan logisch dat als een app die wil controleren of jij root toegang hebt, daarvoor zelf root toegang nodig heeft.

[Reactie gewijzigd door Laguna op 15 september 2013 08:38]

Rev-anche
13 september 2013 20:07
Vreemd? Wat heeft de bank er aan dat het weet of ik root toegang heb of niet, voor de beveiliging heeft het volgens mij geen nut.
Please correct me if i'm wrong.
Willaaam
@Rev-anche13 september 2013 20:26
Een telefoon is normaal gesproken (ik ga hier even met een roze bril op naar de situatie kijken, in de werkelijkheid is het wat grijzer, zeker bij android telefoons) een veilige en beheerste omgeving waar de app draait op een platform met bepaalde veiligheidsnormen.

Een onderdeel van deze omgeving is dat processen zich niet met elkaar kunnen bemoeien en dat je er vanuit kunt gaan dat netwerkverkeer, input-output verkeer (touchscreen, keyboard, bluetooth) en werkgeheugen niet onderschept of aangepast kunnen worden. Op basis van die gedachte is het toelaatbaar dat je bankzaken kunt uitvoeren met slechts een vijf-cijferige code ter authenticatie van de meeste zaken.

Bij overboekingen naar een onbekend rekeningnummer is bij de ABN (gelukkig) nog een e-dentifier nodig, maar bij bijvoorbeeld de ING zou je met een geroote telefoon heel makkelijk spyware kunnen maken die de sms met tan-code onderschept, de invoervelden van de ING app via ghost inputs bewerkt en vervolgens jouw bankrekening leegsluist.

Bij de ABN app is de schade eerder beperkt tot leegboeken naar eerder gebruikte rekeningen, maar ook hier is een totale compromittering mogelijk. Met root kun je het geheugen van de ABN app direct aanpassen en het rekeningnummer waar de overboeking naar moet worden overgemaakt intern veranderen voor jij de bevestiging moet overtypen naar en van je e-dentifier. Het gevolg zijnde dat je zojuist een verkeerde transactie geauthoriseerd hebt.

Kortom, als ik bankier was zou ik op zijn minst overwegen om een melding te geven dat klanten die internetbankieren via de app gebruiken op een geroote telefoon zelf verantwoordelijk zijn voor eventueel misbruik. Ik denk dat dit ook de richting is waar ze heen willen, en vooralsnog een inschatting willen maken van het probleem.

[Reactie gewijzigd door Willaaam op 13 september 2013 20:28]

Bulkzooi
@Willaaam13 september 2013 21:00
Leuk verhaal maar je gaat me toch niet vertellen dat een bankierapp. de data niet al encrypted in het geheugen zet? Dan zou enkel een keylogger nog nut hebben maar dan nog zijn er geen mogelijkheden om de encrypote bedragen en rekeningnummers aan te passen.
Willaaam
@Bulkzooi15 september 2013 00:54
Dat zou nagenoeg geen zin hebben, omdat de decryptiekey per definitie ook in het geheugen staat, anders kan de app zijn eigen data niet uitlezen. Het zou een extra hobbeltje zijn, maar dat is alles.
Darkstriker
@Bulkzooi14 september 2013 00:53
Straks mag je ook geen keyboard apps meer gebruiken want die kunnen immers je invoer bijhouden :-P
Willaaam
@Darkstriker15 september 2013 00:55
Daar waarschuwt android volgens mij ook voor als je een alternatief keyboard installeert voor de eerste keer :).
gekkie
@Willaaam13 september 2013 20:31
Daarom is het hele mobiel gebankier ook niet echt briljant, ipv 2 zoveel mogelijk gescheiden communicatie kanalen voor verificatie (die na de bank pas weer bij elkaar komen bij den bedienende mensch), gebruik je er nu nog maar 1.

Maar goed .. gemak dient ook weer den mensch .. net zoals je pinpas en co via de reguliere post versturen ook al zo'n briljant gemaks concept is.

Fijn als ze de klant zelf verantwoordelijk willen stellen voor een app die in zichzelf de risico's al navernant vergroot .. (maar aangezien ze al steeds minder happig lijken te zijn om schade uit te betalen .. zal het daar inderdaad wel voor worden gebruikt)

[Reactie gewijzigd door gekkie op 13 september 2013 20:35]

Darkstriker
@gekkie14 september 2013 00:52
Bij banken zoals ING en ABN die dus hun beveiliging op een niet zo ideale manier hanteren. Het is al lang bekend dat de TAN procedure niet echt de veiligste is. Als je echt veilig wilt bankieren zul je een handtekening systeem met random-readers vergelijkbaar met dat van de Rabobank moeten gebruiken.
Maar dat zij een achterhaald proces gebruiken om transacties te beveiligen mag nou echt niet het probleem van de gebruiker worden.
MWP
@Darkstriker14 september 2013 18:37
Dat systeem met een random-reader gebruikt ABN AMRO ook :)
Quipeace
@Rev-anche13 september 2013 20:34
Root toegang duid op een aangepast systeem, wat eventueel voor problemen kan zorgen. Het is bijvoorbeeld mogelijk de app andere rechten te ontnemen, waardoor de app bij het gebruik van die (normaliter verkregen) rechten zou kunnen crashen.
Darkstriker
@Quipeace14 september 2013 00:56
Ja, maar root users, die geavanceerd genoeg zijn om apps rechten te ontnemen, hebben zelf echt wel door dat dit een crash kan veroorzaken. Veel handiger om natuurlijk gewoon de privacy guard zoals die nu door cyanogenmod is ingevoerd. Dan is je privacy gewaarborgd en apps crashen en apps crashen niet.
Vr4nckuh
13 september 2013 20:04
Niet echt de bedoeling voor een bankieren app.

Ik snap best dat ze meer informatie over hun gebruikers willen ontvangen, echter vraag ik mij dan meteen af wat een bank met mijn toestel informatie wil ?

Volgens De Vries zit er een fout in het deel van de code waarin wordt gecontroleerd of een gebruiker root-toegang heeft. "Wij willen dat graag weten voor onze technische ondersteuning", zegt De Vries. "Onze klantenservice weet dan welk toestel een klant heeft en of dat is geroot."

Willen ze in het vervolg geroote toestellen gaan weren in hun app ?
Of keren ze geen schadebedrag uit bij fraude, omdat de app is gebruikt op een telefoon met root-acces ?

gevaarlijke gedachte gang.
Barend
@Vr4nckuh13 september 2013 20:35
Willen ze in het vervolg geroote toestellen gaan weren in hun app?
Of keren ze geen schadebedrag uit bij fraude, omdat de app is gebruikt op een telefoon met root-acces?
Ik weet niet wat ze al doen of nog willen doen, maar een dergelijke maatregel is niet pertinent onzin.

Op een geroot device zijn bepaalde "in principe voor andere apps ontoegankelijke" functies van het Android OS –zoals de Private Storage (incl. SQLite) en Keychain van een app– niet langer gegarandeerd. Dit zet de deur naar fraude verder open, het geeft malware meer mogelijkheden om zijn mal-werk te doen (al dan niet met een componentje social engineering voordat de deur echt open staat).

Het zou dus helemaal niet zo gek dat ze deze factor zouden meewegen bij een fraudegeval en/of dit soort toestellen zouden gaan uitsluiten (of dit nu al doen). Veel verzekeringen sluiten ook bepaalde risicovolle activiteiten expliciet uit; een normale autoschadeverzekering zal bijvoorbeeld niet uitkeren als blijkt dat je deelnam aan een race toen je de schade opliep.

Je kunt een principiële discussie aangaan of de bank het recht heeft jou te verbieden je eigen device te rooten, maar daartegenover kun je net zo makkelijk aanvoeren dat de bank geen plicht heeft jou een app te leveren.

[Reactie gewijzigd door Barend op 13 september 2013 20:40]

skatebiker
@Barend14 september 2013 19:21
Precies en daarom gebruik ik geen custom apps voor dingen die je ook met de browser op je Android kunt doen. Men bankieren ga ik gewoon naar www.rabobank.nl en gebruik de Random reader ook op mijn Android.
Dan kunnen ze mijn contactenlijst niet lezen (er staat niet veel in alleen een paar telefoonummers) en ook niet zien dat ik geroot ben. Immers een browser gebruikt ook geen root.
Al die custom apps zoals nu.nl, telegraaf, facebook, vivaforum zijn gemaakt om jouw gegevens te lezen en ermee te gaan 'marketen'.
In mijn geval kan hooguit de browser dat doen en niet al die bedrijven van die 'custom apps'.
tinzarian
@Barend13 september 2013 23:36
Ik denk dat de +3's die je hebt gekregen van ABN-medewerkers komen, want je kraamt een hoop onzin uit. De vergelijking met een autorace slaat heeelemaal nergens op, en dat een bank een app uitbrengt ze daarom het recht geeft jou te vertellen wat je wel en niet met je telefoon mag doen is natuurlijk je reinste kolder. De bank heeft geen plicht een app uit te brengen, maar als ze dat wel doen hebben ze absoluut wel de plicht die veilig te maken. Root-toegang of niet.

En dit alles doet niet af aan het feit dat ze bij ABN gewoon hebben lopen prutsen en dat geven ze ook terecht toe.
koelpasta
@tinzarian15 september 2013 10:06
" De bank heeft geen plicht een app uit te brengen, maar als ze dat wel doen hebben ze absoluut wel de plicht die veilig te maken. Root-toegang of niet. "

Ik denk dat je dan de strekking van root toegang op android een beetje onderschat.
Darkstriker
@Barend14 september 2013 00:44
Wat een grandioze onzin. Root users hebben alleen op de allerlaatste versie van Android hogere kans op exploits. Maar daar staat tegenover dat ze waarschijnlijk dagelijks of wekelijks de laatste patches installeren en dus op gebied van Android vulnerabilities stukken veiliger zijn. Bovendien worden de gaten in de root apps ook altijd zeer snel verholpen.
Daarentegen leveren zeker 80% (zo niet veel meer) toestellen die niet de allerlaatste build van aosp runnen wel degelijk een veel groter risico op. Voor menige versies van Android op toestellen die niet of maar om het half jaar geupdate worden zijn al lang root exploits te vinden op internet zonder dat het toestel geroot moet zijn. Als je begint mensen die bewust root op hun toestel installeren hierop af te rekenen, dan zul je iedereen die niet de allerlaatste versie met alle patches van Google heeft moeten blokkeren in de app. Hun telefoons zijn immers eveneens onveilig. Dan kunnen alleen nexus users dus je banking app gebruiken. Dat schiet ook niet op.
Root op je telefoon is geen substantieel veiligheidsrisico en als je met zoiets simpels als root het voor elkaar kan krijgen om geld te ontfutselen van een gebruiker, dan is er ook iets mis met de beveiliging die de bank voor transacties aan hun kant gebruikt.
Redsandro
@Barend13 september 2013 22:22
Dus dan geen je geen root-toestemming en de app denkt dat je geen root hebt, problem solved?
johnkeates
@Redsandro14 september 2013 12:42
Nee, dat lost de kwestie van app-leveren vs. veilig-toestel leveren niet op.

Als jij een probleem hebt, en de app-leverancier jou geld zou moeten betalen, terwijl het misschien niet door de app-leverancier komt, dan zit je met een probleem. Dat wordt een wedstrijdje advocaten-betalen, en dat wint de bank...
Gutanoth
@Vr4nckuh13 september 2013 20:12
Ik snap best dat ze meer informatie over hun gebruikers willen ontvangen, echter vraag ik mij dan meteen af wat een bank met mijn toestel informatie wil ?
voor technische ondersteuning
Komt er dus op neer dat ze kunnen nagaan of jij niet misschien met verkeerde dingen op je telefoon hebt zitten rommelen, mocht er iets grandioos verkeerd gaan en jij huilend abn-amro techsupport belt
Smithers.83
@Gutanoth13 september 2013 20:15
Ik denk niet dat mensen met root-toegang enige helpdesk zal bellen. Kunnen dat meestal wel zelf oplossen.
David Mulder
@Smithers.8313 september 2013 20:37
Zo veel mensen rooten hun toestel zodat ze:
- Apps gratis kunnen "stelen"
- Een custom rom kunnen gebruiken (zodat een oud mobieltje weer snel is, dat is alles wat zij door hebben :+ )
- Random vreemde system apps kunnen installeren

Het verbaasd me vaak genoeg hoe echt niet tech savvie mensen desalniettemin het lukt om hun toestel te rooten. Toegegeven, de instructies online zijn redelijk duidelijk, maar toch :O

In ieder geval, hier en daar gaat het ook wel eens mis en juist daarom kan ik als android ontwikkelaar echt beamen dat het nuttig is om te weten of een toestel geroot is. De scala van problemen die kunnen optreden is gewoon veel veel veel breder als een toestel geroot is.
Fly-guy
@David Mulder13 september 2013 21:25
Om gratis apps buiten de play store te installeren, hoef je niet te rooten. Ook voor een custom ROM hoef je geen root te hebben.
skatebiker
@Fly-guy14 september 2013 19:27
Nee daar zit al standaard root in.
Bulkzooi
@David Mulder13 september 2013 20:56
Mensen rooten vooral omdat ze controle willen hebben over het apparaat dat ze kopen.

Verder zijn er nog meer voordelen dan dat jij benoemt:
- Andere app. stores.
- Apps om te backuppen;
- Ander OS draaien;

Enz. Allemaal zaken die je normale wijze mag verwachten als je iets koopt.


On topic: Wat een klunsen bij de ABN!!
johnkeates
@Bulkzooi13 september 2013 21:08
Mensen rooten vooral omdat ze controle willen hebben over het apparaat dat ze kopen.
Nou, dat lijkt me niet. De meeste mensen gaan sowieso geen controle hebben over hun apparaat, om dat ze simpelweg de kennis niet hebben, daarnaast heb je voor echte controle informatie nodig die je alleen onder NDA krijgt en na dik betalen (zoals informatie over CPU's, GPU's en DSP's).

Zoals hierboven al gezegd wordt rooten de meeste mensen hun toestel zodat ze 'die coole dingen' kunnen doen die die ene 'slimme jongen' van school/familie/vrienden liet zien. De meeste mensen weten niet eens wat root betekent, en kunnen bijvoorbeeld zelfs de vertaling niet eens maken. Daarnaast gaat het bijna altijd wel om het omzeilen van dingen die over het algemeen ingebouwd zijn om mensen tegen zichzelf te beschermen waardoor het over het algemeen meer problemen veroorzaakt dan oplossingsn biedt.
Verder zijn er nog meer voordelen dan dat jij benoemt:
- Andere app. stores.
- Apps om te backuppen;
- Ander OS draaien;
Andere app stores kan prima zonder root, backups maken ook. Ander OS draaien heeft dan weer niks met rooten te maken, en alleen maar met het unlocken van de bootloader, iets wat vaak nodig is om root-toegang te krijgen op een OS, om dat dan de initialisatie van de hardware aangepast kan worden om zo een exploit te kunnen draaien om root-toegang te krijgen.
Enz. Allemaal zaken die je normale wijze mag verwachten als je iets koopt.
Nee, helemaal niet. Wat je kan verwachten bij een aankoop, is wat er gespecificeerd wordt. Dus datgene wat je accepteert als zijnde voorwaarden voor gebruik. Dat is wat je kan verwachten. De hardware is niet open, en grote stukken van de software ook niet, om dat er patent op zit. Je krijgt meestal het recht om het te 'gebruiken' en bent vaak niet eens de 'eigenaar' van de vele geimplementeerde patenten in zo'n product. Zo werkt de wet.
On topic: Wat een klunsen bij de ABN!!
Niet echt, ze zijn vrij goed bezig bij de ICT afdeling van ABN, en de externe partijen die software leveren zijn over het algemeen ook gewoon clubs die kwaliteit van de bovenste plank afleveren.

Dit lijkt me meer een probleem met niet-gespecificeerde onderdelen van Android, waarbij er standaard geen root-toegang moet bestaan op een OS, maar gebruikers die dat wel doen bepaalde problemen kunnen krijgen en bij het contacteren van een helpdesk dan gepast hulp kunnen krijgen.

De kans is groot dat dit ook gewoon in de voorwaarden staat, en de smoes 'ja, maar wie leest dat nou' gaat hier niet op, want als je niet leest wat gespecificeerd is verlies je ook meteen het recht om te klagen over functionaliteit die gewoon in een product zit. Vind je het niet leuk, dan gebruik je het maar niet. Zo werkt de wereld. Er is geen 'recht' op dingen, het is eerder een 'toestemming'.
Texamicz
@Bulkzooi14 september 2013 08:06
Op Linux/GNU heb ik toch ook gewoon vaak root? Dat zijn gewoon admin-rechten op je toestel :) haha
johnkeates
@Texamicz14 september 2013 12:40
Misschien dat je dan naar sudo moet overstappen, als je als root ingelogd bent en even 5 minuten wegloopt kan iemand zomaar even alles doen ;)
NicoJuicy
@David Mulder13 september 2013 20:39
Of, in mijn geval, om de laatste Cyanogenmod updates te ontvangen... Niet meer niet minder...

Best leuk, mijn s2 op 4.3, veel vlugger en gaat dubbel zolang mee qua batterij ;)
RebelwaClue
@David Mulder15 september 2013 08:52
@Flyguy
Misschien bedoelt hij dat je met root access de geinstalleerde apps (waarvoor betaald is), kan kopieren en aan anderen beschikbaar kan stellen.

[Reactie gewijzigd door RebelwaClue op 15 september 2013 08:54]

Caayn
@Smithers.8313 september 2013 20:31
Ik denk dat jij het aantal mensen onderschat wat een geflashed/geroot toestel gebruikt.
Texamicz
@Caayn14 september 2013 08:05
Valt mee, het zal hier wel hoger zijn. Maar het scheen dat het aantal mensen dat o.a. rom's installeren minder als 1% was volgens XDA Developers.
Jan-E
@Smithers.8313 september 2013 20:51
De Cherry tablets van Kruidvat werden een tijd lang standaard geroot uitgeleverd. Ik weet niet of dat nog steeds zo is, maar een geroot systeem wil dus niet zeggen dat de gebruiker met zijn systeem heeft zitten rommelen. En het betekent ook niet dat de bezitter verstand van zaken heeft en nooit een helpdesk zal bellen.

@Freshmaker: de M1007 tablets met Smalbandversie 1.1 waren standaard wel geroot:
http://www.tabletsupport....?tid=637&pid=5712#pid5712
Superuser zou je trouwens niet eens kunnen installeren zonder root access.

@johnkeates: Ze hadden allemaal gapps, alleen sommige met wat beperkingen. Cherry heeft echter ook tablets uitgeleverd met volledige Play Store toegang en gapps.

[Reactie gewijzigd door Jan-E op 14 september 2013 20:26]

FreshMaker
@Jan-E14 september 2013 07:12
De Cherry tablets van Kruidvat werden een tijd lang standaard geroot uitgeleverd. Ik weet niet of dat nog steeds zo is, maar een geroot systeem wil dus niet zeggen dat de gebruiker met zijn systeem heeft zitten rommelen. En het betekent ook niet dat de bezitter verstand van zaken heeft en nooit een helpdesk zal bellen.
Die tablets werde n niet standaard met root uitgeleverd.
Men 'moet' zelf uit de appstore een 'super-user' app installeren.

Pas daarna had je ook de root-functies
johnkeates
@Jan-E14 september 2013 12:40
Die tablets worden dan ook niet officieel ondersteund en hebben geen google apps he.
Edgarz
@Vr4nckuh13 september 2013 21:48
Gevaarlijk?
Als je als bank de veiligheid van de ter beschikking gestelde app wilt garanderen moet je terecht uitsluiten dat de gebruiker de veiligheid/integriteit in gevaar brengt. En een geroot toestel doet dat.

Want bij misbruik via je geroote toestel gaan klagen bij de bank is een beetje a-sociaal. Je hebt immers zelf gezorgd voor de onveiligheid die misbruik mogelijk heeft gemaakt.
blackSP
@Vr4nckuh13 september 2013 22:17
Wat een lariekoek, de enige hier met een gevaarlijke gedachtegang bij jij. Loop je ook met een alu hoedje op zodat de NSA je niet kan scannen?

Banken gaan klanten niet weigeren bij een fraude geval als je geroot bent, tenzij wordt vastgesteld dat derden dan dat via zo'n telefoon kunnen. Rooten doe je willens en wetens. Maar er is geen complot als je dat denkt...
Vr4nckuh
@blackSP14 september 2013 00:07
Als je mijn reactie GOED had gelezen had je ook gezien dat ik mijn vraagtekens plaats bij wat de banken met deze informatie willen en maak ik een voorzetje naar mogelijke scenario's.
Vooral de discussie opwekken met wat er allemaal mogelijk kan zijn.

Ik zeg niet dat de bank FOUT is, maar ik vraag wat ze met de informatie willen.

Dus als ik graag ergens over mee denk en er mijn vraagtekens bij plaats, heb ik meteen een alu-hoedje op ?
Darkvater
@Vr4nckuh14 september 2013 08:07
Of keren ze geen schadebedrag uit bij fraude, omdat de app is gebruikt op een telefoon met root-acces ?
^ date precies
mashell
@MrFax14 september 2013 09:29
"recht op een eerlijk proces" is iets wat normaal gesproken van verdachten gezegd wordt, bij een slachtoffer is dat nogal zuur. Als het slachtoffer nalatig is geweest, en wie weet bestempelt de bank het rooten van je telefoon daartoe, dan kan het met de schade vergoeding wel tegenvallen en zul je zelf de bank een proces moeten aandoen.
kritischelezer
@MrFax14 september 2013 17:21
Het zal niet mogelijk moeten zijn om met informatie verzameld uit een keylog geld over te maken naar niet vertrouwde rekeningnummers. Dit is vragen om problemen.
Niemand_Anders
13 september 2013 20:21
Ik heb geen ervaring met het schrijven van Android applicaties, maar als ik kijk naar Windows Phone en Windows 8 apps kijk, is de toegang tot bepaalde onderdelen of speciale rechten geregeld in een manifest bestand.

Ik heb even snel gekeken maar ook Android heeft een bestand AndroidManifest.xml waarin de rechten moeten worden gedeclareerd. Aangezien je deze rechten accepteert bij installatie, worden de root rechten dus niet vanuit de code aangevraagd, dus de verklaring van De Vries klopt van geen kanten.

Een code onderdeel welke controleert of je super user rechten hebt, kan die rechten NOOIT vanuit de app zelf vragen..
Quipeace
@Niemand_Anders13 september 2013 20:31
Het gaat met root toch wel wat anders. Een applicatie zelf krijgt nooit rechten, echter is het mogelijk een ander proces (welliswaar onder controle van de app) te starten dat wèl SU rechten heeft. Over het algemeen wordt root toegang beschermd door middel van een applicatie (SuperSU/Superuser), welke de user vraagt om toestemming, dat is dan ook logisch dan klanten zonder deze app geen melding te zien krijgen.

Root wordt NIET via het manifest aangevraagd (al is het wel mogelijk het bij de permissies te vermelden). De app kan, eventueel na toestemming van de eerder vermelde SU apps, dus gerust een proces met root toegang starten zonder een manifestvermelding.

[Reactie gewijzigd door Quipeace op 13 september 2013 20:31]

rikadoo
13 september 2013 20:04
Ik had dit sinds vandaag ook inderdaad, dacht in eerste instantie dat er misschien een virus ofzo erbij ingeslopen was die de root acces vraagt zodra je ABN opend en dat je ineens gehackt word oid. Heb hem toen geweigert starte verder zonder problemen op. Maar even afwachten op de update dan maar :)
David Mulder
@rikadoo13 september 2013 20:34
Kijk, natuurlijk niet netjes dat er zo'n fout insloop, maar ik vind het eigenlijk wel netjes dat ze echt duidelijk aangeven waar door het komt. Zo veel bedrijven die dat niet aangeven en gewoon zeggen dat het een fout was waarbij ik zo'n gevoel heb van... wie weet was het eigenlijk geen fout... dat je dit op support wilt weten lijkt me meer dan logisch (kan denk ik iedere android ontwikkelaar be-amen die met een breder scala van android devices heeft gewerkt) enige wat ik slecht vind is dat de update een week de tijd kost in plaats van uren.
Darkstriker
@David Mulder14 september 2013 00:22
Hoezo zou je dat als support moeten weten? De Internet bankieren sites checken ook niet of ik mijn Linux met een standard user of root run of dat ik misschien een beperkte account op Windows heb ipv de admin. Lijkt mij sterk overbodige informatie die hun gewoon niks aangaat.
Nox
@Darkstriker14 september 2013 01:10
Als jij gebeld wordt dat je site niet werkt vraag je toch ook welke browser iemand heeft? Niks overbodige informatie.

Echter; de vergaring van die informatie is wel wat vreemd. Nog voordat mensen contact opnemen met support al de info verzamelen...
Gomez12
@Nox14 september 2013 01:23
Echter; de vergaring van die informatie is wel wat vreemd. Nog voordat mensen contact opnemen met support al de info verzamelen...
A : Statistische info is ook makkelijk. Als je 200.000 installed devices x hebt en 1 gebruiker heeft specifieke problemen dan zal het niet zo snel aan het device liggen. Anders krijg je 1 melding van 1 device en moet je alle checklists langs want het kan ook aan het device liggen
B : Klanten liegen. Hard/soft-ware liegt minder.
Nicap
@Gomez1214 september 2013 10:17
?? In beide gevallen die je schetst ligt het waarschijnlijk aan het device met die gegevens.
vhartong
@Gomez1215 september 2013 12:35
B : Klanten liegen. Hard/soft-ware liegt minder.
Haha, mooie opmerking. Maar kan hardware liegen?

Ik vind het niet zo heel gek om statistieken te verzamelen over wat voor toestellen de klanten gebruiken. Op die manier kun je beter je app ontwikkelen voor je klanten.
m4ikel
@Nox14 september 2013 11:30
Ik denk dat het meer gaat om zoveel mogelijk informatie te vergaren tijdens een inlogpoging. Altijd handig om te zien "wie" er op je systemen zit te werken/rommelen.

Uitgaande dat een geroot toestel meestal door iemand met technische know-how wordt gebruikt geeft dat toch weer een bepaald inzicht voor de software ontwikkelaar achter de ABN app.
FreshMaker
@rikadoo14 september 2013 07:03
Ik had dit sinds vandaag ook inderdaad, dacht in eerste instantie dat er misschien een virus ofzo erbij ingeslopen was die de root acces vraagt zodra je ABN opend en dat je ineens gehackt word oid. Heb hem toen geweigert starte verder zonder problemen op. Maar even afwachten op de update dan maar :)
Daarom heb ik gewoon GEEN bankieren op mijn mobile devices.
Ik ben van mobiliteit, en de hele sh#tload aan services en apps, en wil alles proberen van vage game tot facebook / instagram, de één vaker dan andere, maar ik heb nog steeds geen vertrouwen in de mobile bank-apps.

een kleine misstap, en je rekening loopt leger dan hij al is.
Rctworld
@FreshMaker14 september 2013 10:09
Loopt leger dan hij al is? Dat zou betekenen dat bekenden van je jouw rekening leegtrekken want zonder e-dentifier kun je max een x bedrag overmaken naar rekeningen waar je de laatste x maanden iets naar hebt overgemaakt...

Daarnaast denk ik dat die device informatie ook gewoon verzameld wordt om te bepalen wat de lead platforms zijn voor de app.
IntruderX
14 september 2013 00:45
Naast root access wil ABN Amro-app nu plotsklaps ook access tot al mijn contactpersonen, weet iemand waarom dit noodzakelijk is?
Anoniem: 481295
@IntruderX14 september 2013 09:11
Voor het delen van rekeningen. Dit is geen NSA conspiracy ofzo.
mashell
@Anoniem: 48129514 september 2013 09:39
Rekeningen als in bankrekeningen? Of als in facturen? Die laatste wil ik wel verdelen over mijn contacten, de eerste misschien toch niet zo ;)
Serieus je moet je echt vragen of een bank wel contacten en rekeningen moet lopen koppelen alsof ze een soort whats app zijn? De meesten mensen/bedrijven waaraan ik geld betaal staan helemaal niet in mijn telefoonboek.
SPee
@mashell14 september 2013 13:00
Als het laatste.
In de nieuwe versie is het mogelijk om op die manier je rekening (drank, eten) te delen met anderen (degene waarvoor jij betaalt hebt). Die krijgen dan een mail met betaalgegevens (factuur) via de mail om het geld aan jou over te maken. Er wordt dan bijgehouden wie er al betaalt heeft.
Handig. Ik was vorige week in het buitenland met collega's en bij de betaalronde werd er altijd meer geld opgehaald dan er betaald moest worden. :) Dan had gewoon 1 iemand kunnen betalen en de rest een mail kunnen versturen voor het geld.
G-Nux
@IntruderX14 september 2013 23:52
Ik vind het belachelijk dat ik deze rechten moet geven om de app te kunnen gebruiken. ABN heeft niets te maken met mijn contactenlijst.
arjentjuh
13 september 2013 20:13
Mooi dat het dus opgelost wordt. Ik schrok nogal toen hij vroeg om root toegang heb daarom gelijk ook de app er af gegooid voor het zekere. Had nog geen tijd gehad om te bellen maar ik weet nu dat, dat niet meer nodig is.

Ik wacht voor de zekerheid nog even tot de nieuwe versie uit is.
PoweRoy
@arjentjuh13 september 2013 22:25
Je kan toch gewoon de toegang weigeren? Waarom dan gelijk verwijderen?
mashell
@PoweRoy14 september 2013 09:34
Waarom dan gelijk verwijderen?
"Verdacht gedrag van een applicatie vastgesteld, weg ermee" is toch wel een rationele en zinvolle actie. Je weet zeker dat die applicatie niet deugt.
RammY
@PoweRoy14 september 2013 13:29
Na het weigeren word er opnieuw om toestemming gevraagd enz enz. App opent dus niet zonder root. Mijn eerste gedachte was ook van: uninstall, zoon app hoort geen root te vragen.
Dxue
13 september 2013 20:22
Ik heb op mijn xiaomi m2s met miui geen vraag om root toegang, terwijl ik dat wel heb. Raar...
Mrjraider
13 september 2013 21:28
Het is een fout. Dit gebeurt de beste developer nog wel eens. Als ik dan de reviews op Google Play lees dan zijn er een boel mensen die hun toestel hebben geroot...
Plopeye
@Mrjraider14 september 2013 00:59
Klopt dat gebeurt de beste developer maar dat had tijdens het testen ontdekt moeten worden.

overigens goed dat ze controleren of een toestel geroot is. conclussie van de app zou moeten zijn dat deze niet werkt op een geroot toestel. voorkomt een hoop gezeik met consumenten die niet weten wat ze doen...
Anoniem: 478998
@Plopeye15 september 2013 22:58
wauw, nu ga je wel enorm kort door de bocht :-o
mae-t.net
13 september 2013 21:37
Ah leuk. Die check wijst erop dat de bank wel eens moeilijk zou kunnen gaan doen over Phishingpogingen als je toevallig een geroot toestel hebt. Weigeren zou beter zijn natuurlijk als ze veiligheid echt zo serieus nemen, maar kennelijk was dat niet de bedoeling.

Zou contant betalen dan toch goedkoper, makkelijker en veiliger zijn?

[Reactie gewijzigd door mae-t.net op 13 september 2013 21:48]

1 2 3

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee