[gull] Android "root" hiding and co.

Daniel Cordey dc at pxcluster.com
Wed May 27 19:38:08 CEST 2020



On 27.05.20 17:43, magnus wrote:

> le monde bancaire a une relation particulière avec tout ce qui sort de 
> l'ordinaire.

Pour les avoir pratiqué pendant plus de 18 ans, c'est toujours lié à une 
méconnaissance et/ou de l'incompétence. Méconnaissance crasse de tout ce 
qui concerne les standards. Jusqu'à il n'y a pas si longtemps, certains 
considéraient que IE était un standard. C'est très difficile, et en 
général impossible, de discuter avec ces gens là. Soit ils ne 
comprennent pas, soit ils ne connaissent pas et font preuve alors de 
mauvaise fois. Et surtout, ils sont tout puissants et vous le font sentir.

> J'ai eu récemment de grandes discussions avec Postfinance [pf] qui 
> officiellement ne supporte plus les téléphones rootés ou jailbreakés: 
> depuis plus de 6 mois, la nouvelle génération de leur app ne démarre 
> même plus. J'ai essayé d'illustrer la distinction entre after-market ROM 
> et root mais sans succès.

Les exigences légales de la FINMA sont telles qu'ils s'abritent derrière 
celles-ci. Y-t-il une garantie que les after-market ROMs garantissent 
que toutes les applications sont "genuine" et controlées par Google ? 
Sans garantie absolue... c'est niet d'entrée. C'est la raison pour 
laquelle ils n'ont pas envie de faire la différence; ils n'y sont pas 
obligés !

> La détection du mal (définition de ce qui n'est pas un Galaxy S20 :-) ) 

Tu as de la chance qu'il n'exigent pas un niphone ! Heureusement, les 
niphones commencent à être pollués par des malware et des tas d'autres 
problèmes; ce qui fait que de moins en moins de sociétés l'érigent comme 
une exigence.

> Perso, j'utilise magisk hide [magisk_hide] au dessus de ma Lineage 16, 
> mais ça ne fonctionne pas pour toutes les applications.

garantie ! Garantie ! Il faut pouvoir être certain que TOUTES les 
applications ont bien été scannées par Google, et qu'elles respectent 
donc les standards du constructeur Samsung/Google. J'entends par 
garantie que l'un des fournisseurs Smasung/Google puisse assurer que les 
applications respectent les APIs officiels, pour s'assurer que les 
communications ne sont pas interceptées (etc.). Or, cela peut-il être 
"garanti" avec des after-market ROM ? ou un téléphone rooté ? 
Probablement pas; et c'est là que réside le problème.

> N'hésitez pas à me faire part de votre retour d'expérience (en privé), 
> j'aimerais créer une liste suisse de banque old-school-geek-friendly 
> (mobile et web).

Aujourd'hui, les cadres légaux ont nettement pris le pas sur les aspects 
techniques. Il faut que tout soit "compliant", "audited", etc. Sinon, le 
département légal de l'entreprise mettra un "stop" rédhibitoire et il 
est impossible de passer outre.

Le seul salut réside donc dans les termes utilisés dans les conditions 
générales. S'il existe une ambiguïté dans la définition de ces 
"standards", c'est donc discutable et on peut argumenter (ce qui ne veut 
pas dire qu'ils vont changer par la suite). Exemple, Windows n'est pas 
un standard officiel ! Mais EMCA script et HTML oui, puisque issu 
d'organisme relativement indépendants. Pour ISO, NIST, IEC, etc. c'est 
évident.

Mais, si tu as signé le document des CDV, regarde s'il est fait mention 
expressément de Windows et de quelle manière. J'ai utilisé cet argument 
il y a pas mal d'année avec l'UBS qui avait soudainement décidé (du jour 
au lendemain et sans prévenir) de ne supporter plus que IE et Windows... 
pour des "raison de sécurité". Une seule lettre a suffit et j'ai eu 
immédiatement l'appel d'un juriste qui s'est excusé et m'a promis qu'ils 
allaient faire marche-arrière. Ce que l'UBS a fait. Aujourd'hui, ils ont 
une application d'identification du genre CrontoSign que je trouve bien 
et est assez sûre. Je ne peux pas parle de Postfinance, n'ayant pas de 
compte chez eux. J'avoue que je n'ai pas rooté mon téléphone pour 
installer un nouveau firmware. Je l'ai fait pendant des années sur mes 
Samsung pour leur offrir une deuxième jeunesse après quelques années. Et 
maintenant j'ai opté pour un téléphone... Huawei... qui fonctionne très 
bien avec l'appli de login de éUBS et certainement aussi avec CrontoSign.

Il existe des méthodes d'encapsulation d'applications sur les 
téléphones, mais je ne sais pas si elles sont toujours "garanties" en 
les utilisant sur un téléphone avec un firmware "non-genuine".

dc


More information about the gull mailing list