Întrebare fară răspuns

Orange Money (aplicatia pentru Android) si drepturile de root

Zilele trecute am incercat sa instalez Orange Money pe telefon. Surpriza: Nu merge pentru ca am drepturi de administrator pe telefon (root).
Ca informatii generale, detin un telefon OnePlus(cu Android 9, si cu ultimul security patch, cel din august 2019), cu drepturile de root capatate prin metoda oficiala, descrisa pe forumul oficial al companiei. Nu e nicio metoda crepusculara ilegala, sunt producatori care permit utilizatorilor sa obtina drepturi de administrator pentru a avea acces la aplicatii mai avansate ce necesita asa ceva(framework-uri, etc.).
Am incercat sa ascund cu Magisk drepturile de root pentru aplicatia Orange Money, nu a dat rezultate, tot detecta aplicatia ca sunt pe userul de admin.
M-am lasat pagubas, daca Orange-ului ii e frica de utilizatorii ce au trecut de statutul de incepator. asta e. M-am orientat spre o alternativa.
Dar mi s-a parut ciudata frica Orange-ului, e foarte posibil ca prin constrangerea asta sa incerce sa ascunda o vulnerabilitate ce poate fi exploatata pe telefoanele cu root. Asa de nepasatori sa fie IT-isti Orange?

DC
DC

DC

User level
Nivel
1
289 / 750
puncte
Custom field 2
DC
  • Răspunde
  • Distribuie această întrebare

Răspunsuri

Este vorba de securitate in sine, nu de frica fata utilizatori. Android-ul in sine, ca si OS este praf la capitolul securitate. Un device ce ruleaza Android si mai este si root-at este ca o poarta deschisa pentru malware.

Ca fapt divers: Si George-ul celor de la BCR se comporta la fel. In cazul George aplicatia nici macar nu se deschide daca a fost descarcata din alte susre decat pagina oficiala din Google Play si nu fucntioneaza daca pe telefon ai bifata optiunea "instaleaza aplicatii din surse necunoscute" chiar daca aplicatia a fost instalata din sursa oficiala.

IT-istii care au dezvoltat aplicatiile de acest gen au stiut foarte bine ce fac.

Nu e vorba de o constrângere @DC,pur și simplu așa a fost dezvoltata aplicația că din motive de securitate sa nu accepte instalarea pe telefoanele cu Root. Că aplicația nu poate face diferența între un telefon cu Root și unul cu drept de admin asta este alta problemă la care probabil nici un consultant de la Orange Money nu ii va găsi rezolvare fiindcă nu tine de ei,eventual pot sa sesizeze mai departe,deși nu cred ,mă repet, că cineva va trece peste un risc de securitate. Păcat că nu poți să-ți instalezi aplicația.

Pentru cei care au dezvoltat aplicația asta, contează securitatea în primul rând. Probabil pentru a evita experiențe neplăcute anterioare, au limitat accesul pentru cei cu root... Singura șansă cred că este să îți iei alt telefon :)

Nu e nevoie sa-mi iau alt telefon, pot face unroot, dar de ce? Androidul, ca si Windowsul, pot fi vulnerabile daca stai pe user cu drepturi de admin( la Windows se cheama administrator, la sistemele bazate pe Unix (ca Android) se cheama root). Totul depinde de utilizator. Daca gandesti inainte de a da click, totul merge bine.
Am punctat in primul post, dezvoltatorii telefoanelor OnePlus au lasat utilizatorilor avansati posibilitatea sa capete drepturi de root oficial, fara a folosi vreo vulnerabilitate, tocmai pentru a pastra sistemul de operare in siguranta chiar si cu root.
Sa tin o pledoarie in favoarea drepturilor de root la ce ajuta? Pe scurt, e vorba de framework-uri(si diferitele module care blocheaza reclamele google, reclamele in youtube si multe alte functii), de blocarea proceselor care incearca sa se deschida fortat odata cu telefonul, de utilizarea diferitelor profile pentru aceeasi aplicatie(deschiderea multipla cu conturi diferite), posibilitatea folosirii multor aplicatii chiar de pe magazinul Google Play care necesita drepturi de root, etc.
Aplicatia a fost dezvoltata asa prosteste, e una din putinele care au restrictia aia, nu e nimic inteligent in a restrictiona ceva pentru ca habar n-au cum sa o faca sa mearga bine cu si fara root.
Tocmai de aia am postat aici, pe forumul oficial, poate vede cineva si isi pune intrebari, sa fii singura companie care da cu sutul la clienti pentru ca IT-istii nu stiu sa faca ceva si zic: "Securitatea inainte de toate" pentru a se scuza. Mie mi se pare ca prin Romania(deci si la Orange) au ramas IT-stii care n-au avut loc prin alte parti.
Cand timp pentru restul care ofera servicii financiare on-line prin aplicatii de multi ani nu e un risc, vine un jucator nou care zice ca e risc.
Eu unul stiu ca Orange foloseste pentru introducerea de contracte EPOS(o interfata din 2000 cu indulgenta), si voi imi ziceti de IT-stii Orange de parca ar veni din viitor.

DC
DC

DC

User level
Nivel
1
289 / 750
puncte
Custom field 2
DC

Este foarte complicat (aparent) ceea ce spui. Probabil ca, după cum spuneai, cineva se va sesiza și va modifica in aplicația Orange Money modalitatea de acces în aplicație, și poate se vor ușura setările de securitate.

Salut,

Dacă lecturezi forumurile dedicate, vei descoperi că foarte multe (majoritatea) aplicațiilor bancare nu merg pe terminale rootate. Raiffeisen Smart Mobile, iNG, George, Orange Money - nu funcționeaza !
Nu doar o simplă aplicație ... Rootarea terminalului deschide o mulțime de posibilități pentru răufăcători ... Chiar dacă nu accesezi un site dubios ...
Succes !

P.S: "Daca aplicatia detecteaza root, o sa-ti puna device ID-ul pe global blacklist, si o sa-ti spuna ca esti rootat chiar si ulterior daca stergi Magisk de tot." - reddit ...

Raiffeisen si ING functioneaza daca ascunzi root-ul. Unicredit doar te avertizeaza si apoi te lasa sa utilizezi aplicatia.
Ia spune-mi si mie ce pericole am eu pe userul de root si nu le-as fi avut pe user normal?
Am root oficial oferit de producator, fara utilizarea vreunei aplicatii/metode care foloseste un exploit pentru a capata drepturi de root.
Apropo, malware-urile care se respecta au deja incluse in ele exploitul prin care capata si ruleaza pe userul de root fara nicio actiune a userului. Repet ce-am zis in postarile trecute, conteaza strict unde iti bagi degetele si pe ce apesi. Cea mai mare vulnerabilitate a oricarui device e omul, nu root-ul ala.
Eu nu fac experimente pe telefonul meu ca sa se intample ceva, daca vreau sa testez ceva folosesc o masina virtuala Android.
Discutia asta pare ca nu duce nicaieri, o sa folosesc Revolut in continuare si asta e.

DC
DC

DC

User level
Nivel
1
289 / 750
puncte
Custom field 2
DC

Orange Money are termeni și condiții cu care ești de acord în momentul în care te hotărăști să o utilizezi sau nu, depinde de tine, până la urmă este un serviciu comercial opțional.

@DC:

Din moment ce terminalul nu vine din fabrică deja rootat, ci este modificat ulterior de client, nici un dezvoltator nu va face în mod special aplicații pentru această situație. În momentul când ai acces root, poți din 2 click-uri să ștergi fișiere de sistem, sau să instalezi aplicații care să dăuneze. Nu e vorba de cazul tău în special, ci de ceea ce se poate întâmpla.
În altă ordine de idei:
"John Wu
@topjohnwu
Android is freaking nuts. It is BIZARRE to me that Android allows any app to get a list of installed apps. Not only that, you can ANALYZE the content of ANY installed APK. Who the f**k think this is good idea. This basically makes hiding Magisk Manager a mission impossible."
Succes !

Stiu ca e optionala folosirea Orange Money. Eu doar am vrut sa aduc in discutie problema, poate la o versiune ulterioara vor face o statistica cu instalarile blocate din aceasta cauza si vor decide sa mai munceasca un pic, sa scoata restrictia si sa mai castige cativa clienti. Sau poate nu le va pasa. E decizia lor, la orice exista alternative.

DC
DC

DC

User level
Nivel
1
289 / 750
puncte
Custom field 2
DC

Salut @DC,

Daca vrei in continuare sa folosesti aplicatia Orange Money pe telefonul tau iti sugerez sa deschizi o sesizare din sectiunea Contact, poate echipa DEV nu a luat in calcul scenariul tau de utilizare.
E important sa afli daca vor debloca aceasta restrictie si cum te pot ajuta.
De altfel, sunt de acord cu ceilalti colegi si cred ca in primul rand trebuie sa ne gandim la securitate.

Salut! Am observat că petreci timp în Comunitatea Orange, dar nu te-ai înscris încă.
Dacă te inscrii și devii membru, poți adresa întrebări în comunitate, poți să ajuți și tu alți membri și poți câștiga puncte, badge-uri și să te bucuri de multe alte beneficii!