【安全资讯】汇丰银行因侧载密码管理器而封锁部分移动应用用户

概要：

近日，英国部分汇丰银行移动银行客户报告称，在通过开源应用商店F-Droid安装了Bitwarden密码管理器后，被锁定无法使用该银行的应用程序。这一事件凸显了金融机构在移动安全策略与用户软件选择自由之间的潜在冲突，引发了关于应用侧载安全性与银行风险控制边界的讨论。

主要内容：

F-Droid董事会成员Neil Brown表示，他在通过F-Droid而非Google Play安装了开源密码管理器Bitwarden后，被汇丰银行的UK移动银行应用的安全屏幕标记为存在风险，从而被阻止访问。Bitwarden是一款可通过Google Play、Galaxy商店等官方渠道以及F-Droid侧载获取的密码管理工具。

Bitwarden首席客户官Gary Orenstein分析认为，问题根源在于汇丰银行为其移动应用设置了特定的安全权限级别。该设置允许汇丰应用检测手机上是否存在非通过Google Play商店安装的应用，一旦发现，便会阻止汇丰应用的安装或运行。这可能是通过配置其应用安全控制（如Play Integrity）来实现的。

尽管具体技术细节尚未得到汇丰官方确认，但Brown推测可能与SafeNet等技术有关。他提出了一些潜在的技术变通方案，例如在设备的单独配置文件中使用银行应用，或者为银行应用使用单独的物理设备，但这无疑增加了用户的成本和复杂性。

汇丰银行发言人回应称，保护客户账户和个人信息是首要任务，其应用会执行检查以识别潜在的恶意软件风险，并可能要求用户采取额外步骤来确保账户安全。目前，Bitwarden和F-Droid均表示愿意与银行就此问题进行讨论，但尚未安排任何会议。这一事件反映了金融机构在平衡安全性与用户体验及选择权方面面临的挑战。