HSBC บล็อกแอปเพราะ Bitwarden ที่ติดตั้งผ่าน F-Droid

 (mastodon.neilzone.co.uk)
2 คะแนน โดย GN⁺ 2026-01-01 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • มีรายงานกรณีที่แอปมือถือของ HSBC ถูกบล็อกการใช้งานเนื่องจากพบว่า Bitwarden ติดตั้งผ่าน F-Droid
  • ผู้ใช้ติดตั้ง Bitwarden เป็น บิลด์จาก F-Droid แทนเวอร์ชันทางการบน Google Play
  • แอป HSBC ทำงานโดย มองว่านี่เป็นปัจจัยเสี่ยงด้านความปลอดภัยและปิดกั้นการเข้าถึง
  • ยืนยันได้ว่าแม้จะเป็นแอป Bitwarden ตัวเดียวกัน แต่ นโยบายความปลอดภัยถูกใช้ต่างกันตามแหล่งที่มาติดตั้ง
  • เป็นตัวอย่างที่สะท้อนแนวโน้มของ การตรวจสอบแอปภายนอกและการเข้มงวดนโยบายความปลอดภัย ในแอปการเงิน

กรณีแอป HSBC บล็อกการใช้งาน

  • แอปโมบายแบงก์กิ้งของ HSBC ตรวจพบ Bitwarden ที่ติดตั้งจาก F-Droid แล้วบล็อกการทำงาน
    • Bitwarden เป็นตัวจัดการรหัสผ่านแบบโอเพนซอร์ส และ F-Droid เป็นคลังแอปโอเพนซอร์ส
    • แอป HSBC จัดชุดการใช้งานนี้ว่าเป็น สภาพแวดล้อมที่มีความเสี่ยงด้านความปลอดภัย
  • แม้จะเป็นแอป Bitwarden ตัวเดียวกัน แต่ เวอร์ชันจาก Google Play จะไม่ถูกบล็อก
    • นโยบายความปลอดภัยจึงถูกใช้ต่างกันเพียงเพราะแหล่งที่มาติดตั้งต่างกัน

ความแตกต่างของนโยบายความปลอดภัย

  • แอป HSBC ดูเหมือนจะมี ฟังก์ชันตรวจจับการรูตหรือการติดตั้งแอปที่ไม่เป็นทางการ
    • แอปเวอร์ชัน F-Droid อาจไม่ผ่าน การตรวจสอบความปลอดภัย เนื่องจากคีย์ลงนามหรือเส้นทางการเผยแพร่ต่างกัน
  • ส่งผลให้ผู้ใช้ต้องเผชิญกับ ความไม่สะดวกจากการถูกจำกัดการใช้งานแอปตามปกติ

ความหมายและข้อสังเกต

  • แสดงให้เห็นว่าแอปของสถาบันการเงินมี แนวโน้มไม่ไว้วางใจช่องทางแจกจ่ายแอปโอเพนซอร์ส
  • ทั้งนักพัฒนาและผู้ใช้จำเป็นต้องตระหนักถึง ความแตกต่างของระบบความเชื่อถือตามการลงนามแอปและเส้นทางการแจกจ่าย
  • เป็นกรณีตัวอย่างที่แสดงให้เห็น ความเป็นไปได้ของความขัดแย้ง ระหว่างระบบนิเวศโอเพนซอร์สกับนโยบายความปลอดภัยของภาคการเงิน

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2026-01-01
ความคิดเห็นจาก Hacker News

  • นี่เป็นปัญหาของ SafeNet ของ Google โดย HSBC เลือกระดับการตรวจสอบแบบหนึ่งจึงเกิดอาการนี้ขึ้น และ Google เป็นผู้ดูแลบัญชีดำของแอป
    พวกเรากำลังสูญเสียเสรีภาพไปเรื่อย ๆ ตาม เจตจำนงของบริษัทเอกชน แม้กฎหมายจะไม่ได้ห้าม แต่ถ้าพวกเขาไม่ต้องการก็สามารถปิดกั้นได้
    ในสวิตเซอร์แลนด์และ EU ก็เกิด การตัดบริการธนาคาร เช่นกัน เพราะแรงกดดันจากสหรัฐทำให้ธนาคารที่ใช้ USD ถูกลงโทษ สหรัฐใช้ประเด็นเสรีภาพในการแสดงออกเพื่อคว่ำบาตรผู้คน และผลคือบางคนถึงขั้นเสียบัญชีธนาคาร
    ตามกฎหมายสวิส Postfinance ต้องให้ทุกคนเปิดบัญชีได้ แต่ถ้าถูกคว่ำบาตร ก็จะใช้ระบบโอนเงิน สกุลเงินต่างประเทศ บัตรเครดิต และ Twint ไม่ได้ทั้งหมด จนแทบไม่มีประโยชน์ ใช้จ่ายค่าประกันสุขภาพหรือค่าเช่าก็ไม่ได้

    • ในสวิตเซอร์แลนด์ ธนาคารอาจไม่จำเป็นต้องใช้ Play Integrity แต่ส่วนใหญ่ไม่อยากหลีกเลี่ยง
      Yuh ที่เคยเป็นกิจการร่วมถือหุ้นของ Postfinance และ Swissquote ใช้งานได้โดยไม่ต้องมี Play Integrity และมีการยืนยันว่า รองรับ GrapheneOS
      ปัญหาคือ ธนาคารดั้งเดิม ส่วนใหญ่เลือกวิธีแก้แบบไม่มีประสิทธิภาพนี้เพื่อให้สอดคล้องกับข้อกำกับดูแล สุดท้ายการเปิดใช้ Google Play Integrity คือทางที่ง่ายที่สุดจึงทำกันแบบนั้น
      เรื่องการคว่ำบาตรของสหรัฐก็เป็นความจริง ผู้คนในประเทศที่ถูกคว่ำบาตรอย่างรัสเซียก็เจอข้อจำกัดคล้ายกัน
      ในสวิตเซอร์แลนด์ พลเมืองสหรัฐเองก็ เปิดบัญชีธนาคาร ได้ยากมาก เพราะในอดีตเคยมีกรณีใช้ความลับทางธนาคารเพื่อหลบเลี่ยง IRS
    • ในฐานะพลเมือง EU ฉันไม่เคยได้ยินกรณีแบบนั้นมาก่อน นี่เป็นครั้งแรกที่ได้ยินว่าแรงกดดันจากสหรัฐทำให้ธนาคารใน EU ไล่ลูกค้าออก เลยอยากรู้ว่ามีบทความหรือแหล่งข้อมูลอ้างอิงหรือไม่
    • ตั้งแต่ปีนี้ฉันใช้โทรศัพท์สองเครื่อง
      1. iPhone SE 2022 — ใช้สำหรับ TOTP, ธนาคาร และการยืนยันตัวตนเท่านั้น ปกติจะเปิดโหมดเครื่องบินไว้ รองรับอัปเดตความปลอดภัยถึงปี 2032
      2. Pixel + GrapheneOS — ใช้ในชีวิตประจำวัน (อินเทอร์เน็ต โทรศัพท์ ข้อความ ฯลฯ)
        ณ ปี 2025 ฉันคิดว่านี่คือ วิธีที่ใช้งานได้จริงที่สุด
    • สำหรับคำพูดที่ว่า “เราสูญเสียเสรีภาพเพราะเจตจำนงของบริษัท” ฉันมองว่าไม่ใช่ปัญหาของ Google อย่างเดียว Postfinance, Twint, บริษัทประกัน, เจ้าของบ้าน ฯลฯ ก็ควรมีวิธีให้ทำธุรกรรมได้โดยไม่ต้องผ่านคนกลางด้วย
      ภาครัฐเองก็ควรทำให้ประชาชนสามารถ ทำธุรกรรมเชิงพาณิชย์โดยไม่ต้องมีตัวกลาง ได้
      ทุกคนเอาแต่บอกว่า “เราก็แค่ทำตามกฎ” เพื่อปัดความรับผิดชอบ สุดท้ายที่ Google โดนด่ามากก็เพราะทุกฝ่ายเคยชินกับความสะดวกสบาย
    • ฉันหาไม่เจอในเอกสารของ SafetyNet หรือ Play Integrity API ว่ามีฟังก์ชันแบบนี้ อยากทราบ แหล่งข้อมูลหรือรายละเอียดเพิ่มเติม

  • ในสหราชอาณาจักรยังมีธนาคารจำนวนมากที่ไม่มีข้อจำกัดแบบนี้ ตัวอย่างเช่น Monzo แค่ขึ้นคำเตือนบนเครื่องที่รูทแล้ว และให้ผู้ใช้ตัดสินใจเองได้
    ด้วย Current Account Switching Service จึงย้ายออกจากธนาคารเก่าอย่าง HSBC ได้ง่าย

    • ประสบการณ์ของฉันต่างออกไป แอปธนาคารหลัก ๆ ส่วนใหญ่ใช้ไม่ได้บนเครื่องที่รูทแล้ว
      Chip เคยแนะนำให้เลิกใช้โดยบอกว่าจะเพิ่มการตรวจจับการรูท แต่ในความเป็นจริงก็ยังใช้งานต่อได้
      Barclaycard, Nationwide และอีกหลายเจ้า บล็อกการเข้าถึงไปเลย มีแอปธนาคารอื่นอีกก็จริง แต่รู้สึกว่า คุณภาพผลิตภัณฑ์ต่ำกว่า
    • ช่วงปีที่ผ่านมา แอปของ Barclays และ Lloyds ใช้งานบนโทรศัพท์ฉันไม่ได้แล้ว
      TSB ยังใช้ได้อยู่ แต่ฉันคิดว่าแค่ตามไม่ทันเพราะความสามารถด้านเทคนิคต่ำกว่า
      ต่อไปคงเหลือ Monzo เป็นข้อยกเว้น เพียงรายเดียว

  • ถ้าคุณทำเว็บไซต์สำหรับมือถือและยังไม่รู้จัก PWA (Progressive Web App) แนะนำว่าควรศึกษาไว้
    แค่เพิ่มไฟล์ manifest.json กับ service worker สองไฟล์ ก็ทำให้ติดตั้งจากเบราว์เซอร์ได้และตั้งค่าแคชออฟไลน์ได้
    ถ้าเป็นแอปที่ไม่ซับซ้อน ก็ลดต้นทุนพัฒนาได้มาก ทำได้ด้วย HTML, JS, CSS อย่างเดียว และแจกจ่ายได้โดยไม่ต้องลงสโตร์
    ดู บทเรียนของ MDN

    • แต่แม้แต่ Firefox บนเดสก์ท็อปก็ยังไม่รองรับ PWA เลย จึงมองว่าอนาคตไม่ได้สดใสนัก
    • PWA มีมาหลายปีแล้ว แต่สำหรับผู้ใช้ทั่วไปมันยังเป็น เทคโนโลยีที่ไม่สามารถตั้งหลักได้ เป็นทางเลือกที่ช่วยแก้ปัญหาแอปสโตร์ได้ แต่ยังไม่แพร่หลายพอ

  • ภรรยาฉันอยากใช้ โทรศัพท์ฝาพับ เพราะความทรงจำเก่า ๆ แต่ถึงจะเป็น Android Go 14 แอปธนาคารก็ยังไม่ทำงานเพราะตรวจพบว่า “มีการแชร์หน้าจอ”
    แอป POSB แสดงสาเหตุว่าเป็น “android system” น่าจะเป็นการตรวจจับผิดจากการเรนเดอร์หน้าจอเสริม
    ฉันติดต่อ POSB แล้วแต่ก็ไม่แก้ไข ในสิงคโปร์ภัยคุกคามที่แท้จริงต่อความปลอดภัยทางการเงินคือ การหลอกลวงแบบ pig butchering แต่ธนาคารกลับตอบสนองเกินเหตุกับมัลแวร์ที่มีโอกาสเกิดต่ำ

  • HSBC ยังมี เว็บแบงก์กิ้งแบบเว็บไซต์ปกติ ให้ใช้อยู่
    ยิ่งมีผู้ใช้หันไปใช้เว็บมากเท่าไร ก็ยิ่งเป็นสัญญาณว่าลูกค้า ชอบเว็บแบบเปิดมากกว่าแอปมือถือแบบปิด
    ฉันยังคงใช้ โทเคน RSA แบบกายภาพ แทน 2FA ผ่านแอป

    • ในสหราชอาณาจักร ถ้าจะใช้เว็บแบงก์กิ้งต้องมีโทเคนแบบกายภาพ จะมีทั้งแอปและโทเคนพร้อมกันไม่ได้ ดังนั้นถ้าแอปโดนบล็อกก็ต้องขอโทเคนใหม่อีกครั้ง

  • ฉันนึกว่า Google เอา API ที่ใช้ตรวจสอบแอปอื่นออกไปแล้ว

    • ยังทำได้อยู่ แค่แอประบุว่าจะ query แพ็กเกจใดบ้าง แอป HSBC ใช้สิทธิ์ <uses-permission android:name="android.permission.QUERY_ALL_PACKAGES"/>
      ตาม เอกสารนโยบายของ Google แอปที่เกี่ยวข้องกับธุรกรรมทางการเงินสามารถได้รับสิทธิ์นี้เพื่อ วัตถุประสงค์ด้านความปลอดภัย
    • แอปที่แจกจ่ายผ่าน Google Play สามารถขอสิทธิ์นี้ได้สำหรับวัตถุประสงค์เฉพาะบางอย่าง HSBC น่าจะได้รับอนุมัติภายใต้หมวด ‘แอนติไวรัส’
      ลิงก์เอกสารที่เกี่ยวข้อง
    • ในทางปฏิบัติ แอปแทบทั้งหมดรู้ว่าคุณติดตั้งแอปอะไรไว้บ้าง
      ดู บทความนี้ และ การอภิปรายบน Hacker News

  • แอปธนาคารบางตัวทำ คีย์บอร์ดเสมือน ขึ้นมาเองจนใช้ตัวจัดการรหัสผ่านไม่ได้

    • ธนาคารของฉันก็เป็นแบบนั้น โดยเฉพาะธนาคารฝรั่งเศสชอบใช้ คีย์บอร์ดตัวเลขแบบสลับตำแหน่ง มาก ต้องคลิกรหัสผ่านตัวเลข 6–8 หลักด้วยเมาส์
      แทนที่จะใช้ไบโอเมตริก กลับบังคับให้กรอกรหัสผ่านเป็นระยะ ซึ่งลำบากมากเมื่อต้องทำในที่สาธารณะอย่างรถไฟใต้ดิน
      วิธีนี้เดิมทีใช้รับมือ keylogger แต่ทุกวันนี้กลับเหลือไว้แค่ ความไม่สะดวกมากกว่าความปลอดภัย
    • ธนาคารเก่าของฉันเคยบังคับให้ใช้รหัสผ่านยาว 6–8 หลักที่เป็นตัวเลขอย่างเดียว ตอนนี้เปลี่ยนหรือยังก็ไม่แน่ใจ

  • ถ้าเปิด โหมดนักพัฒนา แอป HSBC จะไม่ทำงาน ฉันคิดว่านี่เกินกว่าเหตุไปมาก

    • แอป mygov.be ในประเทศเราก็ทำแบบเดียวกัน ฉันเป็นนักพัฒนา ใช้ adb และการตั้งค่านักพัฒนาบ่อยมาก ต้องปิดทุกครั้งจึงน่ารำคาญมาก
      ดู เว็บไซต์ mygov.be
    • แอปธนาคารหลายตัวในสิงคโปร์ก็มีข้อจำกัดเรื่องโหมดนักพัฒนาเช่นกัน ส่วนใหญ่เป็นเพราะเฟรมเวิร์กความปลอดภัยเพื่อ ให้ผ่านการตรวจสอบ แต่ในทางปฏิบัติไม่มีประสิทธิภาพ

  • ที่น่าขันคือ แอปธนาคารบังคับใช้ ฟีเจอร์ ‘ความปลอดภัย’ แบบนี้ แต่เว็บแบงก์กิ้งกลับยังไม่มีวิธีทำให้น่าเชื่อถือจริง ๆ

    • ข้อกำหนดเหล่านี้มักมาจาก เช็กลิสต์ของที่ปรึกษาด้านความปลอดภัย ครั้งหนึ่งฉันเคยโดนทักว่า “หลังลบแอปแล้ว credential ยังอยู่ใน keychain” ซึ่งสะท้อนว่าคนพูดไม่รู้ด้วยซ้ำว่าแอปไม่สามารถรันโค้ดตอนถูกลบได้

  • เพิ่งไปรู้จัก Open Web Advocacy (OWA) มาหมาด ๆ และคิดว่าพวกเขาสรุปปัญหาของแพลตฟอร์มมือถือไว้ได้ดี
    เป้าหมายหลักของพวกเขามีดังนี้

    1. การที่ Apple ห้ามเบราว์เซอร์ของบุคคลที่สาม เป็นการต่อต้านการแข่งขัน
    2. ควรปฏิบัติต่อ เว็บแอปให้เทียบเท่าแอปเนทีฟ
    3. ต้องลบ กำแพงที่ถูกสร้างขึ้นอย่างจงใจ โดยเจ้าของแพลตฟอร์ม
      หากอนุญาตให้ใช้เว็บแอปได้ ก็อาจให้ ความเป็นส่วนตัวและความปลอดภัย ที่สูงกว่า
      เว็บไซต์ทางการ