• [^] # Re: Privation de libertés et fin de la communauté "hacking"

    Posté par . En réponse à la dépêche Android n’autorisera plus que les applications des développeurs autorisés. Évalué à 2.

    Je n'ai jamais installé d'application bancaire sur mon téléphone. Toutes mes banques m'envoient des SMS pour valider une transaction (ce que je trouve hilarant en termes de fausse sécurité, vu que les SMS sont interceptables même en 4G) c'est juste pour le spectacle, ils n'en ont rien à faire de la sécurité (la preuve, avant la directive Européenne DSP, aucune de mes banques n'implémentait le 2FA).

    Le truc c'est de ne jamais installer leur appli, sinon, ils valident une sorte booléen dans leur système: "cet utilisateur utilise notre application" et après c'est fini, tu ne peux pas revenir en arrière (et bonne chance si tu perds ton téléphone, vu que c'est l'appli qui te permet de te connecter à la banque pour, justement, changer de téléphone).

    Vu qu'envoyer des SMS est payant vs utiliser Google Push pour réveiller leur appli sur ton téléphone, ils ont un intérêt certain à te pousser à la deuxième solution.

    Si c'était la sécurité qui les intéressait, ils autoriserait d'utiliser une application TOTP tierce ou une clé FIDO.

    La notion de t'interdire d'être root est aussi une hérésie. Vas-tu, à un seul instant pouvoir modifier le solde de ton compte en décompilant leur application? Car c'est de ça qu'il s'agit: d'empêcher d'avoir une application qui ne fait pas ce pourquoi elle a été programmée.

    Si c'est possible de mettre le bazar dans ce cas, c'est que leurs API et la partie serveur doit être sacrément faible et j'aurais, personnellement, pas confiance dans la banque dans ce cas.