HSBC bloqueia app por causa do Bitwarden instalado via F-Droid

 (mastodon.neilzone.co.uk)
2 pontos por GN⁺ 2026-01-01 | 1 comentários | Compartilhar no WhatsApp
  • Foi relatado um caso em que o app móvel do HSBC teve sua execução bloqueada por causa do Bitwarden instalado via F-Droid
  • O usuário tinha instalado o Bitwarden em uma build do F-Droid, e não na versão oficial da Google Play
  • O app do HSBC reconheceu isso como um fator de risco de segurança e bloqueou o acesso
  • Foi confirmado que, mesmo sendo o mesmo app Bitwarden, as políticas de segurança são aplicadas de forma diferente conforme a origem da instalação
  • Este é um caso que mostra a tendência de reforço da verificação de apps de terceiros e das políticas de segurança em apps financeiros

Caso de bloqueio no app do HSBC

  • O app de mobile banking do HSBC detectou o Bitwarden instalado pelo F-Droid e bloqueou sua execução
    • Bitwarden é um gerenciador de senhas de código aberto, e o F-Droid é uma loja de apps de código aberto
    • O app do HSBC classificou essa combinação como um ambiente de risco do ponto de vista de segurança
  • Mesmo sendo o mesmo app Bitwarden, a versão da Google Play não é bloqueada
    • A política de segurança é aplicada de forma diferente pelo fato de a origem da instalação ser distinta

Diferenças na política de segurança

  • O app do HSBC aparentemente inclui detecção de root e de instalação de apps não oficiais
    • Como a versão do F-Droid usa uma chave de assinatura ou um caminho de distribuição diferente, ela não passa na verificação de segurança
  • Com isso, o usuário enfrenta o inconveniente de ter o uso normal do app limitado

Significado e implicações

  • Isso revela uma tendência de apps de instituições financeiras não confiarem em canais de distribuição de apps de código aberto
  • Tanto desenvolvedores quanto usuários precisam reconhecer as diferenças no sistema de confiança conforme a assinatura do app e o caminho de distribuição
  • Este é um caso que mostra a possibilidade de conflito entre o ecossistema de código aberto e as políticas de segurança do setor financeiro

Leituras relacionadas

1 comentários

 
GN⁺ 2026-01-01
Comentários no Hacker News

  • É um problema do SafeNet do Google. O HSBC escolheu um determinado nível e isso causou esse comportamento. O Google gerencia a lista de aplicativos bloqueados
    Estamos perdendo cada vez mais nossa liberdade de acordo com a vontade das empresas. Mesmo que algo não seja proibido por lei, se elas não quiserem, podem bloquear
    Na Suíça e na UE também ocorre “desbancarização”: por pressão dos EUA, bancos que usam USD acabam sendo sancionados. Os EUA sancionam pessoas em nome da liberdade de expressão, e o resultado é que elas podem perder suas contas bancárias
    Pela lei suíça, o Postfinance deve fornecer conta para qualquer pessoa, mas se houver sanções, não dá para usar sistema de transferência, moeda estrangeira, cartão de crédito nem Twint, então na prática a conta se torna inútil. Não dá nem para pagar o plano de saúde ou o aluguel

    • Na Suíça, os bancos podem até optar por não usar o Play Integrity, mas a maioria não quer isso.
      O Yuh, que era de propriedade conjunta do Postfinance e do Swissquote, funciona sem Play Integrity, e há confirmação de suporte ao GrapheneOS
      O problema é que a maioria dos bancos tradicionais escolhe esse tipo de solução ineficiente para cumprir exigências regulatórias. No fim, ativar o Google Play Integrity é o caminho mais fácil, então é isso que fazem
      A questão das sanções dos EUA também é real. Pessoas de países sancionados, como a Rússia, enfrentam restrições semelhantes
      Na Suíça, cidadãos dos EUA têm grande dificuldade para abrir conta, por causa de casos passados de evasão do IRS facilitada pelo antigo sigilo bancário
    • Como cidadão da UE, nunca ouvi falar de casos assim. É a primeira vez que ouço dizer que bancos da UE expulsam clientes por pressão dos EUA. Fico curioso se há alguma matéria ou fonte sobre isso
    • Neste ano comecei a usar dois celulares
      1. iPhone SE 2022 — usado só para TOTP, banco e autenticação, e normalmente fica em modo avião. Deve receber atualizações de segurança até 2032
      2. Pixel + GrapheneOS — para uso diário (internet, chamadas, mensagens etc.)
        Em 2025, acho que essa combinação é a forma mais prática
    • Sobre a ideia de “perder a liberdade pela vontade das empresas”, não acho que seja um problema só do Google. Postfinance, Twint, seguradoras, proprietários de imóveis etc. também deveriam oferecer formas de transação sem terceiros
      O governo também deveria permitir que os cidadãos façam comércio sem intermediários
      Todo mundo foge da responsabilidade dizendo “estamos apenas seguindo as regras”. No fim, o Google leva a culpa porque todos se acomodaram na conveniência
    • Não encontrei essa funcionalidade na documentação do SafetyNet nem da Play Integrity API. Gostaria de saber a fonte ou mais detalhes

  • No Reino Unido há muitos bancos sem esse tipo de restrição. Por exemplo, o Monzo apenas exibe um aviso mesmo em aparelho com root e deixa a decisão para o usuário
    Graças ao Current Account Switching Service, também é fácil sair de um banco tradicional como o HSBC

    • Minha experiência foi diferente. A maioria dos apps dos grandes bancos não funcionava em aparelhos com root
      O Chip recomendou parar de usar porque dizia que reforçaria a detecção de root, mas na prática continuou funcionando
      Barclaycard, Nationwide e outros bloqueiam o acesso por completo. Existem outros apps bancários, mas sinto que a qualidade do produto é fraca
    • No último ano, os apps do Barclays e do Lloyds deixaram de funcionar no meu celular.
      O TSB ainda funciona, mas acho que é só porque está atrasado por falta de capacidade técnica
      Daqui para frente, parece que só o Monzo continuará sendo exceção

  • Se você cria sites móveis e não conhece PWA (Progressive Web App), vale a pena aprender
    Basta adicionar dois arquivos, manifest.json e service worker, para permitir instalação pelo navegador e configurar cache offline
    Se o app não for complexo, isso pode reduzir muito o custo de desenvolvimento. Dá para fazer só com HTML, JS e CSS, e distribuir sem publicar em loja
    Veja este tutorial da MDN

    • Mas nem o Firefox Desktop suporta PWA, então é difícil dizer que o futuro é promissor
    • PWAs existem há anos, mas continuam sendo uma tecnologia que não se consolidou para o usuário comum. É uma alternativa para o problema das app stores, mas ainda falta adoção em massa

  • Minha esposa tentou usar um celular flip por nostalgia, mas mesmo com Android Go 14 o app do banco não funciona por causa de “detecção de compartilhamento de tela”
    O app do POSB mostra “android system” como causa. Talvez a renderização da tela auxiliar tenha sido detectada por engano
    Entrei em contato com o POSB, mas não foi resolvido. Em Singapura, a verdadeira ameaça à segurança financeira é o golpe pig butchering, mas os bancos reagem de forma exagerada a malwares pouco prováveis

  • O HSBC ainda oferece internet banking normal no site
    Quanto mais usuários usarem a web, mais isso sinaliza que os clientes preferem a web aberta a apps móveis fechados
    Eu ainda uso token físico RSA em vez de 2FA baseado em app

    • No Reino Unido, para usar o internet banking é preciso um token físico. Não dá para ter app e token ao mesmo tempo, então se o app for bloqueado é preciso pedir o token de novo

  • Eu achava que o Google tinha removido a API que permite consultar outros apps

    • Ainda é possível. Basta o app declarar quais pacotes quer consultar. O app do HSBC usa a permissão <uses-permission android:name="android.permission.QUERY_ALL_PACKAGES"/>
      Segundo a política do Google, apps ligados a transações financeiras podem obter essa permissão para fins de segurança
    • Apps distribuídos pelo Google Play podem pedir essa permissão para finalidades específicas. O HSBC provavelmente foi aprovado sob a categoria de “antivírus”
      Link da documentação relacionada
    • Praticamente todos os apps sabem quais apps você tem instalados
      Veja este texto relacionado e esta discussão no Hacker News

  • Alguns apps bancários implementam seu próprio teclado virtual para impedir o uso de gerenciadores de senha

    • Meu banco também faz isso. Bancos franceses gostam especialmente de teclados numéricos embaralhados. Você precisa clicar com o mouse numa senha numérica de 6 a 8 dígitos
      Em vez de biometria, eles pedem a senha periodicamente, o que é muito incômodo quando você precisa digitar em locais públicos como o metrô
      Isso fazia sentido no passado contra keyloggers, mas hoje acabou virando mais incômodo do que segurança
    • Meu banco antigo obrigava o uso de senha de 6 a 8 dígitos só com números. Não sei se isso mudou agora

  • O app do HSBC não funciona se o modo desenvolvedor estiver ativado. Acho uma medida exagerada demais

    • O app mygov.be do nosso país funciona exatamente assim. Como desenvolvedor, uso adb e as configurações de desenvolvedor com frequência, então é muito inconveniente ter que desligar tudo toda vez
      Veja o site do mygov.be
    • Vários apps bancários de Singapura também impõem restrições com o modo desenvolvedor. Na maioria dos casos isso vem de frameworks de segurança para passar em auditoria, mas na prática é ineficiente

  • Ironicamente, apps bancários impõem essas funções de “segurança”, enquanto o internet banking continua sem uma forma realmente confiável de confiança

    • Essas exigências muitas vezes vêm da checklist de consultores de segurança. Uma vez já vi a crítica de que “as credenciais continuam no keychain mesmo depois de apagar o app”, num nível de desconhecimento de não saber que o app não pode executar código ao ser desinstalado

  • Recentemente conheci a Open Web Advocacy (OWA), que resume bem os problemas das plataformas móveis
    Os principais objetivos deles são os seguintes

    1. A proibição de navegadores de terceiros pela Apple é anticompetitiva
    2. Web apps devem ser tratados em igualdade com apps nativos
    3. Remover barreiras artificiais criadas pelos operadores de plataforma
      Se web apps forem permitidos, podem oferecer mais privacidade e segurança
      Site oficial