英国のHSBCモバイルバンキングの一部顧客が、オープンソースのアプリカタログ経由でBitwardenパスワードマネージャーをインストールした後、銀行のアプリから締め出されたと報告している。
F-Droidの理事であるNeil Brown氏は、セキュリティ画面がBitwardenをリスクとして検知したため、HSBCの英国モバイルバンキングにアクセスできなくなったと述べた。Brown氏は、Google PlayではなくF-Droid経由でパスワードマネージャーをインストールしていた。
オープンソースのパスワードマネージャーであるBitwardenは、Google PlayやGalaxyストアなどの公式チャネルに加え、F-Droidからのサイドロードでも入手できる。
HSBCは、サイドロードされたBitwardenのインストールが同一端末上で自社アプリと共存できない理由について、The Registerに明確な回答を提供しなかった。
F-DroidとBitwardenの双方の関係者は、この問題はHSBC側に起因するとみている。
Bitwardenの最高顧客責任者(CCO)であるGary Orenstein氏は、次のように語った。「HSBCは、自社のモバイルアプリにおいて、Google Playストア以外からインストールされた他のアプリが端末内にあるかどうかをHSBCアプリが確認できるレベルのセキュリティと権限を選択しており、もしそれが見つかった場合にはHSBCアプリのインストールを許可しないようにしているようです。」
Brown氏は、「私の知る限り、これはHSBCが一方的に下した判断であり」、問題はF-Droid自体が原因ではないと述べた。
HSBCがアプリの安全性制御であるPlay Integrityを、そのようなケースでは動作を禁じるよう設定したのではないか、という見方もあるが、これは未確認のままだ。
「技術的な詳細については、分かりません」とBrown氏は語った。「SafeNetが原因かもしれませんが、確かなことは分かりません。端末上で別プロファイル内にバンキングアプリを入れて使う、といった技術的な回避策があるかもしれません。あるいは――ユーザーのコスト増につながるため理想的ではありませんが――バンキングアプリ用に別の物理端末を使うことです。」
「私のアプローチは、postmarketOSのテストをきっかけに、アプリの利用から提供元のウェブサイトの利用へ戻すことです。」
HSBCの回答からは多くは読み取れなかった。広報担当者は次のように述べた。「お客さまの口座と個人情報を保護することが最優先です。当社のアプリは潜在的なマルウェアリスクを特定するためのチェックを行っており、口座の安全を保つためにユーザーに追加の手順を求める場合があります。」
BitwardenとF-Droidはいずれも、この件について銀行と協議する用意があると述べたが、現時点では会合はまだ予定されていないと理解している。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/01/07/hsbc_bitwarden_sideloaded/
