Emulera Mobilt Bank-ID

Har mer än en gång råkat ut för att BankID på fil inte duger.
Har startat BankID-programmet, väntat på frågan, och antingen fått slå in lösenord eller direkt fått svar att ett fel inträffat eller "åtgärden kunde ej genomföras".

Så även om de bör vara samma så har de petat in fulheter som gör att de är olika.

3-4 år sedan så fungerade ett par android emulatorer att köra bankid på.
Sen slutade allihop att fungera ganska fort.

Sen dess så har jag ej lyckats få det att fungera alls, installera går dock fint men antingen så kraschar det direkt efter uppstart heller när en förfrågan kommer (som man aldrig hinner att se).
Även provat på raspberry pi 3 och 4 men funkar inte där heller.

Var nog lite otydlig i mitt förra inlägg Menade såklart när man ska skapa ett nytt Mobilt BankID, alltså, från ens bank. Då måste man skanna en QR-kod nu för tiden. Sätta igång Mobilt BankID = skapa ett nytt Mobilt BankID.

Kan du nämna någon site där det inte fungerar?

Flixbus förra eller året innan, kommer inte riktigt ihåg, det var innan covid-cirkusen startade.
Det gick alldeles utmärkt att fylla i alla uppgifter, allt fungerade hela vägen till beställnigen skulle bekrätas, autentiseringsfråga ploppade upp i BankID-programmet på datorn men efter att man fyllt i sitt lösenord och skulle identifiera sig så avbröts det på grund av att något fel uppstått.

Har även råkat ut för liknande saker på andra sidor.
Det kan även tilläggas att samma BankID fungerat utmärkt på andra sidor.

Det finns ett fall där hundratals mobiltelefoner som hade en bank-app hackades och klonades till en server där de emulerades för att länsa kontona. Jag är rädd att något liknande skulle kunna göras med BankID.
https://arstechnica.com/information-technology/2020/12/evil-m...

Det har funnits mängder av attacker på olika bank-appar, men den här var nog den mest sofistikerade.

Jag tycker f.öv. att det borde vara lag på att tjänster som stödjer en typ av E-legitimation måste stödja alla av de som är godkända, så att man kan välja en som inte kan användas för att komma åt alla ens bankkonton, som inte försvinner om bankkontot stängs och som Bankföreningen inte ska kunna se var/när man använt det för myndigheter och t.ex. 1177.se.

Kan inte se att dom ens använder BankID (men har av naturliga skäl inte försökt boka nån bussresa), kan det varit något av betalningsalternativen som krävde det? Frågar mest för att jag själv är nyfiken på att testa då jag "jobbar i branschen" (inte bussbranschen då alltså )

"The thieves then entered usernames and passwords into banking apps "

Med den setupen lär dom haft problem ändå får man anta...

Sen är det så klart så att Sverige har rätt unika förutsättnigar för lösningar som BankID iom att vi har ett väl utbyggt (och accepterat) system för personnummer.

Ja, det är nog det smidigaste åtminstone. Köp en riktigt billig mobil med så ny Android version som möjligt så bör det åtminstone hålla många år mellan bytena. Mobilt Bank-ID stödjer som tidigare nämnts fortfarande Android 5.0 - och det kom ut 2014, för snart 7 år sen alltså.

Kommer dock snart höjas till minimikrav på Android 6.0.

Och är telefonen 5-6 år och rootbar går det i de flesta fall bra att köra Android 11 på dem och troligen några versioner till när de väl kommer, Lineageos rullar på det mesta även om tillverkarna själva skiter i telefonerna innan de lämnat fabriken.

Nu var det länge sedan jag testade men jag har för mig att BankID appen har nån kontroll som gör att den inte lirar på rootade telefoner. Om det sen kan rundas osv är mer än jag vet.

Ja, personnummer/PIN är ju ekvivalent med användarnamn/lösenord. Personnumret går nog att leta upp med hög träffsäkerhet i publika databaser från personuppgifter som redan finns i telefonen.
Skärmen där PIN ska matas in skulle kunna gå att spoofa på något sätt.

Det som behövs för att vara säkert är att krypteringsnycklarna för att autentisera telefonen hos BankID skapats i och ligger i telefonens krypteringsmodul ("Secure Enclave"/TrustZone) — en hårdvaruenhet som inte ska kunna lämna ifrån sig dem. Jag skulle vilja se en utfästelse om att BankID alltid använder dem. Om nycklarna ligger i filsystemet så skulle de kunna kopieras.
(Men det har hittats sårbarheter i versioner av Secure Enclave och TrustZone också ...)

Man autensierar dock inte telefonen som sådan hos BankId utan man låser upp sin privata nyckel på den enheten där man kör klienten. Men visst, kommer man över både den privata nyckeln och dess lösenord så...

BankID är av naturliga skäl rätt hemlighetsfulla om hur tjänsterna fungerar i detalj även för de som använder dom i sina egna tjänster. Inte direkt open source om man säger så. Sen är det väl ingen hemlighet att det är PKI i grunden, men då mer kring hur man skyddar klienten/certet i olika miljöer osv.

Och du kan garantera att det kommer fungera?
Och då inte bara installera utan även starta appen och använda appen!

Många år sedan bluestack slutade fungera för mig, har dock inte provat på ca 1år.

Den har en Androidversion som stöds så det finns inget som pekar åt att den inte skulle fungera.

Det finns en Android emulator som heter Andy. Det är mer renodlad Android. Du skulle kunna kolla om det fungerar i den. När jag använt den så har allt jag velat ha fungerat bra.

Blocket?

Japp! funkade inte för mig när jag provade för 1-2 år sedan.

Och när jag körde den där driven för runt ett år sedan att prova alla olika android emulatorer så provades dom på 3 olika datorer två intel 4790k med win 10/2500k med win 8,1 och linux/AMD A10-6800K med win7.
Samt provade jag då även raspberry pi.
Men samma sak hände på nästan allt bankid gick fint o felfritt att installera men kraschade så fort man startade det, i nåt enstaka fall så gick det att starta en gång tills man fick en förfrågan till bankid och krasch sen efter det kraschade det direkt vid start.

Sen i 2-3 fall så gick det inte ens att installera bankid pga, för gammal android version.

Ja funkar inte andy så kan man ju även testa att köra Android via virtualbox. Har för mig att jag läste att de körde Android 10 där så det är ju lite nyare.

Testade det med och även android på wmvare.
Samma sak.