Googleがデバイス上の他のアプリを見るためのAPIを削除したと思ってたけど、もしかしたら知らない別のAPIがあるのかもね。

Google Play経由で配布されるアプリについては、限られた使用ケースのために使用許可をリクエストできるよ： https://support.google.com/googleplay/android-developer/answ... その後、Googleの審査と承認が必要だけどね。HSBCは「ウイルス対策」の使用ケースを使ってると思う。

まだ可能だよ、どのアプリを問い合わせるかを宣言する必要があるけどね。それでも、デバイスにインストールされているすべてのアプリを問い合わせるための抜け道があるんだ。HSBCのアプリは「」の権限を宣言してて、これは明示的な承認が必要なんだよね（https://support.google.com/googleplay/android-developer/answ...）。でも、> 「金融規制対象の金融取引を促進するための検証可能なコア目的を持つアプリ（例えば、専用の銀行アプリや専用のデジタルウォレット）は、セキュリティ目的のためにインストールされたアプリに広くアクセスできるかもしれない。」

誰もがあなたの電話に入っているアプリを知っているよ。

開発者モードを有効にしていると、これも動かないよ。HSBCアプリがやってることは、ちょっとやりすぎだと思う。

> 開発者モードを有効にしていると、これも動かないよ。シンガポールの他の多くの銀行アプリも、シティバンクを含めてこのバカげた制限があるよ。ほとんどのアプリが監査を通過するために使ってる第三者の「セキュリティフレームワーク」は本当におかしい。

私の国でも同じことをする認証アプリ（https://mygov.be/）が始まったけど、何を目指してるのか全然わからない。セキュリティのための隠蔽？パワーユーザーをイライラさせたいの？私は開発者で、毎日adbや開発者設定を使ってるから、開発者モードを常に無効にしなきゃいけないのが本当に面倒くさい。

それがGoogleのSafeNetだよ。HSBCはこれを引き起こすレベルを選んじゃった。Googleがアプリのブラックリストを管理してるから、企業の意向にどんどん自由を奪われてる。彼らがやりたくないって決めたら、法律で禁止されてなくてもできるんだ。スイスやEUの人たちは、アメリカの圧力で地元の銀行から口座を閉じられてる。アメリカは自由な発言に対して制裁を始めていて、それが原因で口座が閉じられることもある。スイスの法律では、1つの銀行（Postfinance）は銀行サービスを提供しなきゃいけないけど、制裁を受けると送金システムが使えなくなるし、他の通貨やクレジットカードも使えないから、実質的に無意味なんだ。健康保険や家賃の支払いもできなくなるよ。

> EUの人たちがアメリカの圧力で地元の銀行から口座を閉じられてるって、どういうこと？EU市民だけど、USDのせいでEUの銀行から排除された人の話なんて聞いたことないよ。ロシア関連の人がアメリカで制裁を受けたって話は聞くけどね。これに関するストーリーのリンクはある？

古いSafetyNetやその代わりのPlay IntegrityのAPIドキュメントには、これに関する情報が見当たらないんだけど、これがSafetyNetに関連しているっていうソースを見せてくれない？このAPIや、それがブロックするアプリについてもっと詳しく知りたいんだ。

> HSBCがこのレベルを選んだせいでこうなってる。Googleがアプリのブラックリストを管理してるけど、Bitwardenをフラグ付けする理由は何なの？

> スイスの法律では、1つの銀行（Postfinance）が銀行サービスを提供することが求められてるけど、制裁を受けると送金システムが使えなくなるし、他の通貨やクレジットカードも使えない。Twintも使えないから、実質的に無意味なんだよね。健康保険や家賃の支払いもできない。面白いのは、この特定の法理がロシアのオリガルヒ（ヴェクセルベルク）に対して施行されたことなんだ。家賃や健康保険についてはわからないけど、特に健康保険は法的に必要だからね。

もっと厄介なことになってるよ。アメリカはスイスのオフショアバンキングシステムを解体しようとしてるんだ。最初はアメリカのクライアントから始まって、そこから広がってる（参照: https://www.privatebankerinternational.com/news/hsbc-swiss-p...）。この銀行口座を持たない超富裕層たちがどこに行くか、そして誰が彼らにビジネス用のゴールドカードを提供してるか、想像できる？

スイスでは、銀行がPlay Integrityを使わない選択ができるけど、一般的には使いたがらないね。Yuhは、元々PostfinanceとSwissquoteの両方が所有してたけど、Play Integrityなしで動いてる。GrapheneOSのサポートも確認済みだよ（参照: https://github.com/PrivSec-dev/banking-apps-compat-report/is...）。本当の問題は、ほとんどの「レガシー」銀行が、バカみたいな規制に従わなきゃいけないことなんだ。銀行は怠け者で、そういう規制に従うための最短ルートを見つけるだけ - つまり、Google Play Integrityを有効にすること。アメリカの件については、そうだね、制裁を受けるとこうなる。ロシア人（や他の制裁対象国の人たち）も、他の場所で似たような制限があると思う。スイスでは、アメリカ国籍の人が口座を開くのがすごく大変なんだ。銀行の秘密法のおかげで、多くのアメリカ人がスイスでIRSからお金を隠せたからね。

PostfinanceのアプリはGrapheneでは動かないって確認したよ。フィードバックを送ったら、彼らは取り組んでるって言ってたから、もしかしたら希望があるかも。でも、そうなると古いiPhoneを銀行アプリ用に残しておかなきゃいけない。スイスでアメリカ人として銀行を利用するのは目から鱗だよ。地元の銀行は、あなたがアメリカ人だとわかると、ほとんどが「帰れ」って感じだし。どの政権に関係なく、アメリカは金融と税金に関して本当に全体主義的だよ。

> スイスやEUの人々は、アメリカの圧力によって地元の銀行から口座を閉じられている。アメリカの市民がスイスで銀行口座を開くのは確かに難しいけど、その理由は自由な発言というよりはFATCA（外国口座税務コンプライアンス法）だよ。アメリカ人向けの銀行口座の要件は非常に厳しくて、銀行は法的な問題を避けるためにそういう顧客との取引を避けることが多いんだ。制裁リストに載っている顧客との取引を避ける理由もある。そういうリストに載る人は、トランプさんについて悪口を言ったからではないんだ。最近、ただ大統領の逆鱗に触れたことで制裁を受けた人たちを見れば、状況が変わるかもしれないね（例えば、ECの委員やICCの裁判官など）。

> 俺たちはこれらの企業の意向によって自由を急速に失いつつある。どの企業のこと？グーグル？俺はほとんど何にでも彼らを責めるけど、Postfinanceやtwint、健康保険会社、家主、君が挙げた企業たちはどうなんだ？彼らは第三者を介さずにビジネスをする方法を提供すべきじゃないの？例えば、OPが言ってるように、HSBCのウェブサイトはAndroidでまだ使えるけど、他の銀行は「敏感な」機能をホームページから削除しちゃったし。アプリに100%依存しているネオバンクもほとんどそうだよ。君が言った政府もそうだけど、国民が第三者や対立的なシステムに頼らずに商業活動を行うのをどれだけ難しくしているのかな？彼らが言う「ルールに従っているだけだ（弁護士が解釈した通りに）」という主張は分かるけど、みんなが「最も簡単な」ターゲット、つまりグーグルを責めるけど、グーグルがこの立場にいるのは、消費者や企業、政府などが「便利さ」に飛びついて、他のことを無視しているからなんだよね。

> アメリカは自由な発言を理由に人々に制裁を始めて、口座を閉じられることになった。制裁を受けた人たちは「ヘイトスピーチ」と戦う人たちだった。これはブリュッセルの機械の中で最もオーウェル的な部分だね。純粋な権力のレベルでイライラするけど、彼らが少しは抑えられるのは想像しにくいことではないよ。

妻が懐かしさからフィリップフォンを使おうとしたんだけど、彼女はAndroid 14（技術的にはAndroid Go 14）をサポートする新しいスマホを持ってるから、基本的なアプリには大体対応してるはずなんだ。でも、彼女の銀行アプリの1つが、アプリが画面共有してるって言って動かないんだ（POSB銀行のアプリは「Androidシステム」アプリとして認識してくれてるけど）。多分、二つ目の画面が何かのせいで画面共有として報告されてるんだと思う。POSBがそれをマルウェアだと考えてるんだろうね。もちろん、POSBに助けを求めても何もしてくれない。シンガポールでの人々の財政的な最大の脅威はマルウェアじゃなくて詐欺だよ（アメリカで言う「豚の解体」がここでも流行ってる）。マルウェアは常に脅威だけど、低確率の脅威に対して過剰に警戒するせいで、機能しないことが問題だと感じる時もある。

これを必要としないイギリスの銀行はたくさんあるし、そのアプリはルート化されたデバイスでも動くよ。Monzoはリスクが増えることを警告して、その後は自分で選択してアプリを使い続けるかどうか決められるんだ。しかも、Current Account Switching Serviceのおかげで、HSBCみたいな旧式の銀行から簡単に移行できるのがいいところだね。

私の体験はそうじゃなかったな。最も一般的な銀行を使いたかったけど、ほとんどが使わせてくれなかった。ある時、Chipがライブアシスタントを通じて突然連絡してきて、アプリの使用をやめるように言われた。すぐにルート化されたデバイスは使えなくなるって。私はルート化したままアプリを使い続けたけど、何も起こらなかった。BarclaycardやNationwideなどはアプリを使わせてくれないか、検出を回避する方法が必要だった。確かに他のアプリもたくさんあるけど、私が見つけた中ではそれらのアプリや銀行は製品がひどかった。

みんな厳しくなってきたね。過去1年で、BarclaysとLloydsのアプリが私の電話で壊れた。TSBは今のところまだ使えるけど、銀行としては技術的に無能だから、SafetyNetを使わないのは意図的じゃなくて、単に遅れてるんだと思う。将来的にまだ使えると思うのはMonzoだけかな。君が言うように、彼らは検出して怖い警告を出して、使い続けさせてくれるから。

ちょっと関連する話だけど、いくつかの銀行アプリはパスワードフィールドに独自のキーボードを実装してるから、パスワードマネージャーが使えなくて、結局簡単に思い出せる（推測しやすい）パスワードを使わざるを得ないんだよね。

同じような話だけど、前の銀行は6〜8桁の数字だけのパスワードを強制してきた。もう数年経って、私が顧客じゃなくなった今、そのポリシーが変わったかどうかはわからないけど。

うん、私のもそうだよ、ウェブでもね。フランスの銀行は本当にスクランブルされた数字キーボードが好きだよね。そして、6桁から8桁のパスワードが大好き。マウスでクリックしないといけないし、パスワードマネージャーは必要ない！アプリも定期的にパスワードを求めてくるけど、電話のバイオメトリクスの代わりにね。これが良いことならいいんだけど、いつも地下鉄みたいな公共の場で起こるから、スクランブルされた視覚的キーボードで6桁のコードを入力するのが一番避けたい場所なんだよね。タイピングが遅くなって、メモリーが働く余地がなくなるし。あと、そのアプリはATMのメモを受け取ってないみたいで、ユーザー入力にランダムな遅延で視覚的/音声的フィードバックを与えないから、他の人に何を入力してるか見られちゃう。私の知る限り、この視覚的スクランブルキーボードのトレンドは、キーロガーが横行していた頃に始まったんだ。銀行のウェブサイトでクリックしたときにマウスの周りの20pxをスクリーンショットするように素早く適応したけど、銀行は全然適応しなかったね。

面白いよね、ほとんどのバンキングアプリがギリギリのマルウェアみたいなことをやってるのに、ほとんどの銀行はウェブブラウザを通じて使うオンラインバンキングを持ってる。彼らはその信頼性を技術的に保証できないのに。

これって、しばしば恣意的な「セキュリティ」コンサルタントが出してくる実装リストが原因なんだよね。例えば、脱獄検出とか。昔よく聞いたのが面白かった: 「アプリをアンインストールした後も、資格情報がキーチェーンに残る」。そうだね、天才、アンインストール時にコードを実行できないんだけど。

HSBCはまだちゃんと機能するバンキング用のウェブサイトを運営してる。これを使い続ける人が多いほど、いいことだよ。顧客が制限の多い不便なモバイルアプリよりもオープンなウェブを好むっていう明確なシグナルになるからね。私は、アプリ版の2FAの代わりに、銀行の物理的なRSAフォブを使い続けてる。

イギリスでは、そうするには物理的なトークンが必要だよ。それに、アプリとトークンの両方は持てないから、今アプリが使えないなら、トークンを手に入れて銀行アクセスを復元するのに時間がかかるよ。

モバイル用のウェブサイトを作ったことがあるけど、PWAs（プログレッシブウェブアプリ）を聞いたことがないなら、ぜひチェックしてみて！実際には、2つのファイルを追加するだけで、モバイルブラウザからインストール可能にしたり、オフライン機能のキャッシュ動作を定義できるんだ。1つ目はmanifest.json：アプリの名前、アイコン、テーマカラー、インストール時の起動方法を定義するJSONファイル。2つ目はサービスワーカー：オフライン使用のためのリソースキャッシングを制御するJSファイル。残念ながら、PWAsはネイティブアプリに比べてあまりサポートされていないけど、もっと広まってほしいな。あまり複雑でないアプリには、開発コストを大幅に下げることができるし、開発体験もHTML + JS + CSSで簡単にできるんだ。ゴチャゴチャしたSDKもいらないし、遅いエミュレーターや高価なデバイスでのテストも減るし、ブラウザからインストールできるから、PlayストアやApp Storeでのリスティングを維持する必要もないんだよ。

PWAsは数年前から存在しているけど、アプリストアの悪影響やサイドローディングのドラマについての議論があっても、全然普及してないね。いい解決策ではあるけど、「普通」のユーザーに使ってもらうには向いてないかな。

イギリスの銀行は、顧客が詐欺に遭った場合に部分的な責任を負って、警告を無視しない限りは失った資金を返金するんだ。デバイスの制御を失うことは、詐欺のライフサイクルの一部だよ。銀行からのメッセージを偽造したり、傍受したりするのもその大きな部分。アンチウイルスソフトはグローバルな権限が必要だし、そういうことを考えると、彼らができるだけクライアントのデバイスをロックダウンしたい理由は理解できるよ。グーグルはそれを簡単にする方法を提供しているからね。