HSBC ने F-Droid से इंस्टॉल किए गए Bitwarden की वजह से ऐप ब्लॉक किया

 (mastodon.neilzone.co.uk)
2 पॉइंट द्वारा GN⁺ 2026-01-01 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • HSBC मोबाइल ऐप द्वारा F-Droid के जरिए इंस्टॉल किए गए Bitwarden के कारण चलने से रोके जाने का मामला सामने आया
  • उपयोगकर्ता ने Bitwarden को आधिकारिक Google Play वर्ज़न के बजाय F-Droid बिल्ड के रूप में इंस्टॉल किया था
  • HSBC ऐप ने इसे सुरक्षा जोखिम के रूप में पहचानकर एक्सेस ब्लॉक करने वाला व्यवहार किया
  • यह पुष्टि हुई कि एक ही Bitwarden ऐप पर भी इंस्टॉलेशन स्रोत के आधार पर अलग सुरक्षा नीतियां लागू होती हैं
  • यह मामला वित्तीय ऐप्स में थर्ड-पार्टी ऐप सत्यापन और कड़ी सुरक्षा नीतियों की प्रवृत्ति को दिखाता है

HSBC ऐप ब्लॉक का मामला

  • HSBC मोबाइल बैंकिंग ऐप ने F-Droid से इंस्टॉल किए गए Bitwarden का पता लगाकर चलना ब्लॉक कर दिया
    • Bitwarden एक ओपन सोर्स पासवर्ड मैनेजर है, और F-Droid ओपन सोर्स ऐप स्टोर है
    • HSBC ऐप ने इस संयोजन को सुरक्षा के लिहाज़ से जोखिम भरे वातावरण के रूप में वर्गीकृत किया
  • वही Bitwarden ऐप Google Play वर्ज़न में ब्लॉक नहीं होता
    • सिर्फ इंस्टॉलेशन स्रोत अलग होने की वजह से सुरक्षा नीति अलग तरह से लागू हुई
विज्ञापन

सुरक्षा नीति में अंतर

  • HSBC ऐप में संभवतः रूटिंग डिटेक्शन या अनौपचारिक ऐप इंस्टॉलेशन डिटेक्शन फीचर शामिल हैं
    • F-Droid वर्ज़न वाले ऐप का साइनिंग key या डिस्ट्रीब्यूशन पाथ अलग होने के कारण वह सुरक्षा सत्यापन पास नहीं कर पाया
  • इसके कारण उपयोगकर्ताओं को सामान्य ऐप उपयोग पर पाबंदी जैसी असुविधा झेलनी पड़ती है

मतलब और संकेत

  • यह दिखाता है कि वित्तीय संस्थानों के ऐप्स में ओपन सोर्स ऐप डिस्ट्रीब्यूशन चैनलों पर भरोसा न करने की प्रवृत्ति है
  • डेवलपर्स और उपयोगकर्ताओं दोनों को ऐप साइनिंग और डिस्ट्रीब्यूशन पाथ के आधार पर भरोसे की संरचना में अंतर को समझने की ज़रूरत है
  • यह मामला ओपन सोर्स इकोसिस्टम और वित्तीय सुरक्षा नीतियों के बीच टकराव की संभावना को भी दिखाता है

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2026-01-01
Hacker News की राय

  • यह Google के SafeNet की समस्या है। HSBC ने एक खास स्तर चुना है, इसलिए यह स्थिति बनी। Google ऐप blacklist मैनेज करता है
    हम धीरे-धीरे corporate इच्छा के हिसाब से अपनी आज़ादी खोते जा रहे हैं। भले ही कोई चीज़ कानूनी रूप से प्रतिबंधित न हो, अगर वे नहीं चाहते तो उसे रोका जा सकता है
    स्विट्ज़रलैंड और EU में भी अमेरिकी दबाव के कारण USD इस्तेमाल करने वाले बैंकों पर पाबंदियाँ लगती हैं और ‘debanking’ होता है। अमेरिका अभिव्यक्ति की स्वतंत्रता को कारण बनाकर लोगों पर प्रतिबंध लगाता है, और नतीजतन कुछ लोगों के बैंक खाते तक चले जाते हैं
    स्विस कानून के तहत Postfinance को सभी को खाता देना चाहिए, लेकिन यदि आप प्रतिबंधित हैं तो remittance system, विदेशी मुद्रा, credit card, Twint — कुछ भी इस्तेमाल नहीं कर सकते, इसलिए वह व्यावहारिक रूप से बेकार हो जाता है। आप health insurance या किराया तक नहीं दे सकते

    • स्विट्ज़रलैंड में बैंक Play Integrity का इस्तेमाल न भी करें, लेकिन ज़्यादातर ऐसा नहीं चाहते।
      Postfinance और Swissquote की संयुक्त स्वामित्व वाली Yuh Play Integrity के बिना काम करती है, और GrapheneOS support की पुष्टि हुई है
      समस्या यह है कि ज़्यादातर मौजूदा बैंक regulation पूरा करने के लिए ऐसे अक्षम solutions चुनते हैं। आखिरकार Google Play Integrity ऑन करना सबसे आसान तरीका है, इसलिए वे वही करते हैं
      अमेरिकी प्रतिबंधों वाली बात भी सच है। रूस जैसे प्रतिबंधित देशों के लोग भी ऐसी ही सीमाओं का सामना करते हैं
      स्विट्ज़रलैंड में अमेरिकी नागरिकों को खाता खोलने में बहुत कठिनाई होती है, क्योंकि अतीत में bank secrecy के कारण IRS से बचने के मामले हुए थे
    • EU नागरिक के रूप में मैंने ऐसा मामला कभी नहीं सुना। अमेरिकी दबाव के कारण EU बैंक ग्राहकों को बाहर कर रहे हैं — यह बात मैं पहली बार सुन रहा हूँ। इससे जुड़ी कोई article या source है क्या?
    • मैं इस साल से दो फोन इस्तेमाल कर रहा हूँ
      1. iPhone SE 2022 — सिर्फ TOTP, banking और authentication के लिए, और सामान्यतः airplane mode में रखता हूँ। 2032 तक security updates मिलने वाले हैं
      2. Pixel + GrapheneOS — रोज़मर्रा के इस्तेमाल के लिए (इंटरनेट, कॉल, मैसेज आदि)
        2025 में मुझे यह संयोजन सबसे व्यावहारिक तरीका लगता है
    • “corporate इच्छा के कारण आज़ादी खो रहे हैं” वाली बात पर, मुझे नहीं लगता कि यह सिर्फ Google की समस्या है। Postfinance, Twint, insurer, landlord आदि को भी third party के बिना लेनदेन का तरीका देना चाहिए
      सरकार को भी नागरिकों को बिचौलियों के बिना व्यापार करने में सक्षम बनाना चाहिए
      हर कोई “हम तो बस नियमों का पालन कर रहे हैं” कहकर ज़िम्मेदारी से बचता है। आखिर Google को इसलिए दोष मिलता है क्योंकि सबने सुविधा पर समझौता कर लिया है
    • मुझे SafetyNet या Play Integrity API docs में ऐसी functionality नहीं मिली। इससे जुड़ा कोई source या detail पता है क्या?

  • UK में ऐसे प्रतिबंध न लगाने वाले बैंक भी काफी हैं। उदाहरण के लिए Monzo rooted devices पर सिर्फ warning दिखाता है और user को खुद तय करने देता है
    Current Account Switching Service की वजह से HSBC जैसे पुराने बैंक से दूसरे बैंक में जाना भी आसान है

    • मेरा अनुभव अलग रहा। ज़्यादातर बड़े बैंक apps rooted devices पर काम नहीं करते थे
      Chip ने कहा था कि वह root detection सख्त करेगा और इस्तेमाल बंद करने की सलाह दी थी, लेकिन वास्तव में वह चलता रहा
      Barclaycard, Nationwide आदि ने तो access ही रोक दिया। दूसरे बैंक apps भी हैं, लेकिन मुझे लगा कि product quality कमज़ोर है
    • पिछले एक साल में Barclays और Lloyds apps मेरे फोन पर काम करना बंद कर चुके हैं।
      TSB अभी चलता है, लेकिन मुझे लगता है कि यह सिर्फ इसलिए है क्योंकि उसकी तकनीकी क्षमता कमज़ोर है और वह देर से पीछे-पीछे आता है
      आगे भी शायद Monzo ही अपवाद बना रहेगा

  • अगर आप mobile website बना रहे हैं और PWA(Progressive Web App) के बारे में नहीं जानते, तो इसे ज़रूर देखें
    सिर्फ manifest.json और service worker ये दो फाइलें जोड़ने से browser में install संभव हो जाता है और offline cache भी सेट किया जा सकता है
    अगर ऐप बहुत जटिल नहीं है, तो development cost काफ़ी कम की जा सकती है। इसे सिर्फ HTML, JS, CSS से बनाया जा सकता है, और store listing के बिना भी distribute किया जा सकता है
    MDN ट्यूटोरियल देखें

    • लेकिन Firefox desktop भी PWA support नहीं करता, इसलिए यह कहना मुश्किल है कि इसका भविष्य बहुत उज्ज्वल है
    • PWA कई सालों से मौजूद है, लेकिन आम users के बीच यह अब भी ठीक से स्थापित नहीं हो पाई technology है। यह app store की समस्या का विकल्प है, लेकिन इसकी जनस्वीकृति कम है

  • मेरी पत्नी यादों की वजह से folder phone इस्तेमाल करना चाहती थी, लेकिन Android Go 14 होने के बावजूद banking app “screen sharing detected” कहकर नहीं चला
    POSB app कारण के रूप में “android system” दिखाता है। शायद supplementary screen rendering को false positive समझ लिया गया
    POSB से संपर्क किया, लेकिन हल नहीं निकला। सिंगापुर में financial security के लिए असली खतरा scam (pig butchering) है, लेकिन बैंक कम संभावना वाले malware पर ज़रूरत से ज़्यादा प्रतिक्रिया दे रहे हैं

  • HSBC अभी भी सामान्य website banking उपलब्ध कराता है
    जितने अधिक users web का इस्तेमाल करेंगे, उतना ही यह संकेत होगा कि ग्राहक बंद mobile apps की बजाय खुले web को पसंद करते हैं
    मैं अब भी app-based 2FA की जगह physical RSA token इस्तेमाल करता हूँ

    • UK में web banking करने के लिए physical token चाहिए। आप app और token दोनों साथ नहीं रख सकते, इसलिए अगर app block हो जाए तो token फिर से मंगवाना पड़ता है

  • मुझे लगा था कि Google ने दूसरे apps को query करने वाला API हटा दिया है

    • यह अब भी संभव है। ऐप को बस यह बताना होता है कि वह कौन-से packages query करेगा। HSBC app <uses-permission android:name="android.permission.QUERY_ALL_PACKAGES"/> permission का इस्तेमाल करता है
      Google policy document के अनुसार financial transaction से जुड़े apps को security purpose के लिए यह permission मिल सकती है
    • Google Play पर वितरित apps कुछ खास उद्देश्यों के लिए यह permission माँग सकते हैं। शायद HSBC को ‘antivirus’ उपयोग के नाम पर मंज़ूरी मिली है
      संबंधित दस्तावेज़ लिंक
    • व्यावहारिक रूप से लगभग हर app को आपकी installed apps list का पता होता है
      यह लेख और Hacker News चर्चा देखें

  • कुछ बैंक apps अपना खुद का virtual keyboard लागू करते हैं, जिससे password manager इस्तेमाल नहीं किया जा सकता

    • मेरा बैंक भी ऐसा ही करता है। फ़्रांसीसी बैंक खास तौर पर मिश्रित numeric keyboard पसंद करते हैं। 6~8 अंकों का password mouse से क्लिक करना पड़ता है
      वे biometric authentication के बजाय समय-समय पर password माँगते हैं, और public place जैसे metro में उसे दर्ज करना बहुत असुविधाजनक होता है
      यह तरीका पहले keylogger से बचाव के लिए था, लेकिन अब इसमें security से ज़्यादा असुविधा बची है
    • पहले कुछ बैंक 6~8 अंकों के सिर्फ numeric password को मजबूर करते थे। अब बदला है या नहीं, पता नहीं

  • अगर developer mode ऑन हो, तो HSBC app काम नहीं करता। मुझे यह बहुत ज़्यादा कठोर कदम लगता है

    • हमारे देश का mygov.be app भी बिल्कुल ऐसा ही काम करता है। मैं developer हूँ और adb व developer settings अक्सर इस्तेमाल करता हूँ, इसलिए हर बार इन्हें बंद करना बहुत असुविधाजनक है
      mygov.be site देखें
    • सिंगापुर के कई बैंक apps में भी developer mode restriction है। ज़्यादातर मामलों में यह audit pass करने वाले security framework की वजह से होता है, लेकिन वास्तव में यह अक्षम है

  • विडंबना यह है कि बैंक apps ऐसी ‘security’ features थोपते हैं, जबकि web banking को भरोसेमंद बनाने का तरीका अब भी नहीं है

    • ऐसी requirements अक्सर security consultant की checklist से आती हैं। पहले मुझे यह टिप्पणी मिली थी कि “app delete करने के बाद भी keychain में credentials बचे रहते हैं”, जबकि टिप्पणी करने वाले को यह भी नहीं पता था कि app हटाते समय code चलाया ही नहीं जा सकता

  • मुझे हाल ही में Open Web Advocacy(OWA) के बारे में पता चला, और यह mobile platforms की समस्याओं का अच्छा सार देता है
    उनके मुख्य लक्ष्य ये हैं

    1. Apple का third-party browser ban anti-competitive है
    2. web apps को native apps के बराबर माना जाना चाहिए
    3. platform operators द्वारा बनाए गए कृत्रिम अवरोध हटाए जाएँ
      अगर web apps की अनुमति दी जाए, तो वे अधिक privacy और security दे सकते हैं
      official site