Skandiabanken har den siste måneden fått en rekke misfornøyde kunder. Årsaken er at disse ikke lenger får bruke bankens Mobilbank-app dersom de ikke tilbakestiller den mobile enheten til fabrikkinnstillingene.
Når man kjøper en smartmobil, så er den vanligvis satt opp slik at man som bruker har noe begrensede muligheter til å gjøre endringer på enheten. Dette er gjort dels av sikkerhetsmessige årsaker, men også for å gi leverandøren mulighet til å hindre at brukeren tar i bruk tilbud på utsiden av det økosystemet leverandøren foretrekker.
Sikkerhetstips: Er appen din sikker nok?
Rooting/jailbreaking
Mange lar seg ikke stoppe av dette og benytter teknikker som samlet gjerne kalles for jailbreaking eller rooting. Med dette får brukeren gjerne full tilgang til alle deler av systemet. På mange enheter kan man for eksempel fjerne forhåndsinstallerte apper eller rett og slett bytte ut hele operativsystemet.
Men dette har også noen ulemper. Blant annet er langt fra alle app-leverandører som godtar rooting eller jailbreaking. Begrunnelsene varierer, men ofte handler det om at sikkerhets- eller kontrollmekanismer som appene avhenger av, kan omgås dersom brukeren har mer tilgang til systemet enn det som er en forutsetning for bruk av appen.
Alternativer: – Vi skal ta Android vekk fra Google
Mobilbank
Den siste i rekken av app-leverandører som nå har satt ned foten, er Skandiabanken.
Den 1. mai vil det ikke lenger være mulig for kunder med rootet eller jailbreaket enhet å bruke Mobilbank-appen til Skandiabanken. Dette ble de omtrent 3000 berørte kundene varslet om den 19. mars.
Begrunnelsen banken kom med er at den ikke kan garantere for sikkerheten siden operativsystemet har blitt endret. De berørte kundene anbefales å tilbakestille enheten til fabrikkinnstillingene eller å ta i bruk en annen enhet. Ikke overraskende har dette ført til noen reaksjoner.
I SIM-kortet: Veksthopp for BankID på mobil
Reaksjoner
Kunngjøringen diskuteres både på Skandiabankens Facebook-side og Reddit. En leser som har gjort digi.no oppmerksom på saken, skriver at han er provosert av avgjørelsen fordi han oppfatter den som en latsmannsløsning, og at man kunne ha ivaretatt sikkerheten ved å ta i bruk alternative autentiseringsmekanismer enn dem som brukes av appen, for eksempel BankID på mobil.
– Min påstand er dog at dersom en bruker har rootet devicen sin, er de allerede teknisk nok til at en litt mer klønete loginløsning vil være et akseptabelt kompromiss. Frem til de nylig relanserte nettbanken sin, var dette tross alt det eneste alternativet – det fungerte fint og var akkurat like sikkert på både root og non-root, skriver leseren som ikke ønsker å bli navngitt.
Skandiabanken svarer
Digi.no har tatt kontakt med Skandiabanken for få en mer detaljert begrunnelse for denne avgjørelsen. I en e-post svarer kommunikasjonssjef Leif-Kjartan Bjørsvik at grunnen til at banken gjør dette, er knyttet til det økte antallet brukere av appen – for tiden 116 000.
– Med så mange appbrukarar må vi vere føre var. Antallet jailbreaka/rooted-telefonar som har installert appen vår er cirka 3000, skriver Bjørsvik.
Han avviser at banken har hatt sikkerhetsbrudd eller opplevd innbrudd på grunn av jailbreaking eller rooting, men understreker at trusselbildet endrer seg raskt og at angrep kan skje over natten.
– Vi kunne sjølvsagt sagt at sikkerheit på mobil er kunden sitt ansvar og dermed latt dette passere. Men vi er ansvarlig for kundane sine pengar. Og i jobben med å sikre nettbanken tar vi ikkje sjansar, skriver Bjørsvik.
Bedre sikkerhet: Nettbankene skjerpet seg
Sikkerhetsinstrument
Han forklarer at selv om appen er et speil av nettbanken, hvor den samme funksjonaliteten nå tilbys på tvers av begge løsningene, så er appen også mye mer.
– Den er også eit sikkerheitsinstrument som forenklar innlogginga, for å sikre god brukaroppleving, skriver Bjørsvik.
– Når kunden startar appen blir det sendt ein eingangskode til oss. Denne koden bidrar til å identifisere kunden i innloggingsløpet. Det er dermed ikkje rett å sammenligne appen med ei ordinær nettside, sikkerheita må vere strengare.
Bjørsvik mener at appen kan sammenlignes med en kodebrikke som en bruker for å logge inn i nettbanken. Ifølge Bjørsvik oppbevarer de fleste oppbevarer denne trygt, uten å manipulere den.
– Dei fleste kundane har gode intensjonar, men vi må behandle alle likt og ha system for å hindre at folk med mindre gode intensjonar misbrukar banken eller andre kundar, skriver Bjørsvik.
Sikkerhetsrisiko?
Han nevner tre årsaker til at jailbreaking eller rooting generelt utgjør en sikkerhetsrisiko:
- Kunden blir mer utsatt for ondsinnet kode ved å laste ned apper fra ikke-godkjente markedsplasser. En ondsinnet app kan for eksempel hente ut hemmeligheter fra operativsystemet eller andre apper. [I Android er ikke rooting nødvendig for å kunne gjør dette, journ. anm.]
- Appene får flere tilganger og kan gå utenom sikkerhetsprinsippet om at hver app skal kjøre i sin egen sandkasse.
- Når telefonen er jailbreaket/rootet er det ingen garanti for at oppdateringer av operativsystemet kommer til å fungere som tenkt.
– Vi gjer altså dette for å beskytte kunden, og oss sjøl. Vi varsla kundane om det 19. mars. Kundane det gjeld har då hatt over ein månad til tilpasse seg, avslutter Bjørsvik.
Les også: Java-fri signatur med BankID