Governo do Vietnã proíbe o uso de "todos os apps bancários" em smartphones com root

 (xdaforums.com)
1 pontos por GN⁺ 2026-01-10 | 1 comentários | Compartilhar no WhatsApp
  • A revisão '77/2025/TT-NHNN' anunciada pelo banco central do Vietnã determina o bloqueio da execução de apps de mobile banking em ambientes vulneráveis de segurança, como root, bootloader desbloqueado e conexão ADB
  • A nova regra entra em vigor em 1º de março, e, se o app detectar esses indícios, deverá encerrar automaticamente e notificar o usuário
  • Entre os alvos do bloqueio estão conexão de depurador, execução em emulador, injeção de código (hook), modificação e reempacotamento do app
  • Usuários do fórum XDA apontam que a medida exclui do serviço financeiro todos os dispositivos com ADB ativado ou bootloader desbloqueado
  • Nas comunidades de desenvolvedores e de root, isso é visto como parte de uma tendência global de reforço de segurança, e já se discute como reagir

Nova regra de segurança do banco central do Vietnã

  • '77/2025/TT-NHNN' é um documento que revisa a norma '50/2024/TT-NHNN' e explicita o fortalecimento da segurança e da proteção nos serviços financeiros online
    • O Artigo 5, parágrafo 2, altera o Artigo 8, parágrafo 4, tornando obrigatório que apps de mobile banking encerrem imediatamente e informem o motivo ao detectar manipulação não autorizada
  • As condições de bloqueio são as seguintes
    • Conexão de depurador ou execução em emulador/máquina virtual, ADB (Android Debug Bridge) ativado
    • Injeção de código externo (hook), monitoramento de chamadas de API, modificação e reempacotamento do app
    • Rooting ou jailbreak, bootloader desbloqueado
  • A norma exige que os próprios apps de mobile banking incorporem funções de detecção e bloqueio

Reação dos usuários no fórum XDA

  • Um usuário comentou que apps bancários foram proibidos em dispositivos com ADB ativado e bootloader desbloqueado, mencionando que a regra passou a valer em 1º de março
  • Outro usuário avaliou que é triste, mas não surpreendente, dizendo que o endurecimento das regras de segurança é uma tendência global
  • Alguns disseram que vão procurar formas de contornar a restrição, enquanto outro comentou que pretende usar um dispositivo separado só para banco

Contexto técnico e discussão na comunidade

  • A thread era originalmente um espaço de discussão sobre Magisk, Play Integrity e evasão de detecção de root, onde eram compartilhados experimentos técnicos sobre evitar a detecção de root, falsificação de fingerprint e prevenção de roubo de keybox
  • A regulamentação vietnamita chama atenção por ser um caso que entra em choque direto com essas tentativas de burlar a detecção de root
  • Alguns desenvolvedores compartilharam formas de resolver problemas, como inicializar o cache via comandos ADB e verificar configurações de spoofing, mas surgiu a possibilidade de que, após a entrada em vigor da nova regra, o próprio app bancário deixe de poder ser executado

Mais discussões na comunidade

  • Usuários interpretam a medida como um bloqueio total a ambientes com ADB, root e bootloader desbloqueado
  • Alguns demonstraram preocupação de que o governo esteja limitando o controle do usuário sob o pretexto de segurança
  • Por outro lado, outros participantes afirmam que o reforço de segurança é um movimento inevitável e apresentam como alternativa prática separar o uso de dispositivos com root dos serviços financeiros

Significado e impacto

  • A medida é avaliada como um dos primeiros casos em que um país proíbe legalmente o acesso financeiro por dispositivos com root
  • Ela pode impactar a segurança móvel, a comunidade de root e a indústria de fintech
  • No fórum XDA, isso é visto como uma nova fase do interminável jogo de gato e rato entre root e segurança

Leituras relacionadas

1 comentários

 
GN⁺ 2026-01-10
Comentários do Hacker News

  • Acho que a maior maldade é fazer você possuir um computador sem poder ter privilégios de root
    Agora chegamos a uma era em que as pessoas acabam sendo excluídas da sociedade só por querer decidir que software vão rodar nos próprios dispositivos

    • No fim, parece que vamos viver num mundo em que todo mundo vai precisar ter ao menos um smartphone bloqueado para usar serviços do governo ou de bancos
      Isso não existe para conveniência do usuário, mas como um “agente” deles para que governo e bancos se comuniquem conosco
    • No fim das contas, é uma luta em que estamos perdendo o direito de reparar ou controlar diretamente aquilo que compramos com o nosso dinheiro
    • A própria ideia de que o governo deveria ter esse tipo de poder é insana
      Mesmo que queira, ele não deveria ter essa capacidade tecnicamente
    • Tirar à força a autonomia das pessoas é literalmente mal
      Prisão física e prisão digital são diferentes, mas ambas são más no sentido de aprisionarem seres humanos
    • Também é interessante ver outro governo tentando aumentar sua dependência das big techs dos EUA
      Não sei se o Vietnã ainda tem margem para defender sua soberania digital, mas esse tipo de medida parece ir justamente na direção oposta

  • Estamos caminhando para uma estrutura em que, se eu não conseguir provar a um servidor remoto que meu aparelho está rodando software assinado e não adulterado, serei excluído da atividade econômica
    O modelo de segurança em si faz sentido, mas estamos indo para um mundo em que o usuário é tratado como inimigo do próprio hardware

    • Eu cheguei a um meio-termo usando dois celulares
      Um é um iPhone SE bloqueado para autenticação e banco, e o outro é um Pixel 9a com Graphene OS para o uso diário
      É caro, mas é uma solução realista
    • Cory Doctorow já tinha previsto isso em 2011 — The Coming War on General Purpose Computation
    • Na prática, esse modelo de segurança não funciona perfeitamente
      Malware moderno atua só na memória, sem deixar vestígios no espaço de root
      No fim, proibir root parece muito mais uma questão de controle do que de segurança real
    • Eu não uso app de banco no celular
      Em vez disso, me autentico no PC com token de hardware. Acho bem menos incômodo e mais seguro
    • ROMs antigas e assinadas passam mesmo cheias de vulnerabilidades, enquanto Lineage OS e Graphene OS atuais são rejeitados. Fica a dúvida se isso é segurança de verdade

  • Quando eu trabalhava na equipe de autenticação da Vanguard, já houve caso de bloquearem acessos vindos do Vietnã
    Era por causa do volume de tentativas de fraude, e clientes ricos costumavam contornar isso usando VPN
    Instituições financeiras vivem travando esse tipo de luta contra fraude

    • Tenho curiosidade sobre quanto de fraude realmente acontece em aparelhos com root
      Na maioria dos casos, isso pode ser só um requisito de segurança de checklist, e não uma ameaça realista
    • Eu também bloqueava IPs da Ásia inteira quando administrava um servidor pessoal
      Havia scans de porta e tentativas de ataque demais. Dava para contornar com VPN, mas isso tinha custo, então ainda funcionava
    • Quando cadastrei uma Yubikey na Vanguard em 2019, aquilo pareceu realmente inovador
      Outros bancos também tinham virado esse tipo de serviço em que você praticamente precisava ligar a VPN para conseguir entrar

  • A maioria dos bancos ainda permite acessar o site mesmo de PCs com acesso root

    • Mas hoje a tendência é migrar para login só por app
      Um dos meus bancos só permite login via QR code e bloqueia aparelhos com root
      Ainda dá para contornar no lado do cliente, mas quando a Play Integrity API estiver totalmente aplicada, isso não vai mais ser burlável sem vulnerabilidade de hardware
    • No fim, acho que até o acesso web vai desaparecer
      Como no HMRC do Reino Unido, tudo deve acabar ficando disponível só por app
    • Na Tailândia, reconhecimento facial é obrigatório para transferências acima de 50 mil baht
      Por isso, a maioria abandonou o internet banking e passou a autenticar só pelo app móvel
      Espero que surjam novos bancos baseados em API, mas por enquanto só os grupos bancários tradicionais estão conseguindo licença
    • A Hungria é parecida. Em aparelhos não oficiais, o 2FA só é possível por app ou SMS
      Ainda me surpreende que SMS continue sendo tratado como algo seguro

  • Não entendo por que o governo se importa tanto assim com celulares com root
    Técnicos fazem root, em geral, sabendo dos riscos

    • A questão central não é ter root, mas quem controla o sistema operacional
      Para quem quer centralizar poder, isso vira uma força enorme
    • Do ponto de vista dos bancos, isso reduz custo de segurança e diminui prejuízo ao cliente
    • O Vietnã está avançando com verificação de identidade biométrica por meio do projeto VNeID
      O atual líder, To Lam, tem passado ligado à KGB, então eu nunca levo aparelhos pessoais quando vou ao Vietnã
      site oficial do VNeID, matéria sobre registro de SIM
    • Construir confiança com bancos estrangeiros também é um dos motivos
      É uma forma de evitar que transações sejam recusadas com a justificativa de que “o Vietnã tem muita fraude”

  • Isso parece fazer parte da política de vinculação de contas com biometria dos governos do Vietnã e da Tailândia
    No Vietnã, todas as contas terão de ser vinculadas a dados biométricos até 19 de dezembro de 2025
    artigo relacionado 1, artigo 2

    • Mas o problema de SIM swapping seria resolvido eliminando a autenticação por SMS
      Não é algo que se resolva bloqueando celular com root
    • Essa política também está ligada ao projeto VNeID
      A meta é dar um ID biométrico digital a todos os cidadãos e visitantes estrangeiros até 2030 e integrar todos os serviços a isso
      VNeID, artigo sobre o plano para 2030

  • Antes eu era entusiasta de root, mas hoje, como usuário de iPhone, consigo entender os dois lados
    Quem faz root costuma ter boa capacitação técnica e consciência de segurança,
    mas como bancos podem levar multas enormes se violarem regulações, um bloqueio geral talvez seja racional
    O Android moderno também está quase tão travado quanto o iOS, e a otimização de hardware me parece até melhor no iOS
    Então, por enquanto, pretendo continuar no ecossistema iOS

  • Bloquear celular com root não é para proteger o usuário, e sim para fortalecer DRM
    Sem privilégios de root, os apps passam a ter DRM automaticamente, e o usuário não consegue nem acessar os próprios dados ou fazer backup
    O discurso de “estamos protegendo você por segurança” no fim é só pretexto para controle do usuário
    Privilege separation é um conceito antigo, mas agora estamos indo na direção contrária

    • Claro, um celular entregue a alguém sem conhecimento técnico pode ser rooteado escondido
      Por isso, os bancos parecem tratar todo aparelho com root como grupo de risco
    • Se um aparelho com root for hackeado, no fim a reclamação vai para o governo, então existe também a lógica de barrar preventivamente
    • Quando se lê a expressão “detecção de interferência não autorizada em apps de mobile banking”, parece que a prioridade é mais a proteção do próprio banco do que a do cliente
    • Como até hackers apoiados por Estados podem explorar celulares com root, para os bancos a prioridade máxima acaba sendo evitar risco

  • Parece haver dois motivos para esse tipo de medida

    1. Incompetência — resultado da adoção de SDKs sem efeito real de segurança
    2. Controle por vigilância — Estados autoritários como o Vietnã querem controlar completamente os dispositivos dos cidadãos
      Por fora, isso parece uma “medida de segurança”, mas na prática é um meio de construir um sistema de vigilância total

  • Há inúmeros motivos legítimos para fazer root
    Estender a vida útil da bateria, bloquear trackers, reinventar a UI — tudo isso ajuda o meio ambiente e o avanço tecnológico
    Mas grandes empresas como Apple, Google e Microsoft estão impedindo esse tipo de inovação
    Como resultado, estamos perdendo criatividade e progresso