[Elengedve] Revolut / custom FW not supported - de nem custom

Android

Hi,

 

Par hete regisztraltam a Revolutnal, feltettem az alkalmazast, tettem penzt a szamlara, fizettem vele, kuldtem penzt ismerosnek, stb.

Egy-ket hetig nem hasznaltam az appot es amikor legkozelebb megnyitottam ez fogadott:

Sorry, Revolut is not supported on devices with custom firmware 

A telefon egy Redmi Note 9, gyari firmware-rel nem rootolt. A bootloader nyitva van, de az kb. amiota megvan a telefon, szoval nem most tortent. A developer mode be volt kapcsolva (a Revolut app telepitesekor is), most kikapcsoltam, nem szamitott. Ugyan volt nehany alkalmazas amit frissitettem, de annak azert nem illene problemat okozni. Mar le- / feltelepitettem a Revolutot parszor, ujrainditgattam a telefont, toroltem a Revolut app adatait - semmi sem segitett. Felraktam az OTP appot, az nem panaszkodik.

Probaltam google-ozni a problemara, jellemzoen olyanokat talaltam, hogy rootolt / custom firmware-es telefonra hogyan lehet felhackelni a Revolut appot - de nem ez erdekelne, hiszen a telefon nem butykolt.

Feltettem egy masik telefonra a Revolut alkalmazast, azon mukodik, de az nem opcio, hogy azt hasznalom.

A supportos chathez is be kell jelentkezni, amihez meg mindenkepp a mobil app kell - ami meg nem megy - igy azt sem erem el.

Vegul Google keresessel talatam egy e-mailcimet arra irtam a Revolut supportnak, automatikus valasz jott (24-48 oran belul valaszolnak) - kevesse bizom benne, hogy ertelmes valaszt adnak :-(

 

Van esetleg valakinek otlete, hogy ez mitol lehet / mi lehet a megoldas?

 

Koszi

 

Szerk:

Hi there,
For security reasons, Revolut can't be used on devices that don't meet our integrity requirements.
This may be due to modified system settings or firmware.
To resolve this, try the following steps:
• Reinstall the official firmware from the device manufacturer
• Lock the bootloader if it is currently unlocked
• Perform a factory reset
• Install all available system updates
These steps help ensure your device is secure and supported for using Revolut.

  • 1188 megtekintés

( arpi_esp v | 2025. 07. 05., szo – 18:33 )

>  otlete, hogy ez mitol lehet

pegasus? :)

( hrgy84 | 2025. 07. 05., szo – 18:35 )

Anyunak régen RedMi telefonja volt, akkoriban működött a Revolut vele, szerintem a firmware-t bökték el a kici kínaiak.

Nem tudom mi alapján gondolja custom firmware-nek, de talán nincs digitálisan aláírva. Én inkább a telefon forgalmazójával/gyártójával futnék pár kört, főleg ha garanciális a telefon.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

( willy v | 2025. 07. 05., szo – 19:38 )

Nem fognak veled foglalkozni. Főleg a nyitott bootloader miatt. Vagy vegyél egy telefont, vagy ha ez nem út, akkor próbáld meg azzal, hogy lezárod a bootloadert.

> Nem fognak veled foglalkozni.

Igen ettol tartok en is.

Nyilvan ezert nem szeretnek masik telefont venni, hiszen a Revolutot leszamitva, meg ha regi is (ja, regi, mert manapsag evente kellene cserelni a telefonokat), megy rajta minden mas.

A telefon a lezaras meg azert fajdalom, mert akkor kell egy wipe majd ujra feltenni / beallitgatni mindent ami most rajta van.

/sza2

Digital? Every idiot can count to one - Bob Widlar

Értem, de Revolut úgy döntött, hogy bizonyos jogi kockázatokat lezár, ezt implementálta a belső szabályozásba, hogy ezzel megfeleljen a szabályzói igényeknek és az számára kevés gondot jelentsen.
Gondolom egy ideje gyűjthetik az adatokat mennyi olyan előfizetőjük lehet, aki nem tudja majd használni ha bekapcsolják ezt a szűrést. Egy hete kb. elindultak a panaszok, szóval vagy ők kezdték el a szigorítást, vagy változott a telefonodról szolgáltatott információ az app számára.
Nem hiszem, hogy a döntést emiatt megváltoztatnák. Jelzem, felkészülhetsz más banki appok hasonló problémáira is. 

Dobd fel a Google Services-t (az igazit!) és fel tudod szinkronolni a legtöbb telefon beállítást + a telepített app listát a felhőbe, mármint ami az Android OS-hez köt. A custom Lineage cuccokat nyilván nem, de legalább annyi időt is spórolsz.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

( dhary | 2025. 07. 06., v – 09:22 )

Szerkesztve: 2025. 07. 06., v – 09:22

POCO telefonom van, gyári fw van rá a MIUI meg a HYPEROS. Ha ezek is vannak fent nyitott bootloader-rel, akkor nekem a google wallett nem működött, a revolut mondjuk pont igen, de ezt utoljára január-februárban teszteltem. Bezártam a bootloader-t és az már tetszik a wallett-nek. Csak egy tipp, sok sikert hozzá.

Amúgy szerintem is röhej a google féle "biztonsági" politika, hogy egy full bloatware zárt kínai rom-okkal (vagy inkább romokkal) működnek a dolgok és megkapják a google approved matricát, de a 100% opensource projektek meg veszelyesek. Van nekem is egy Redmi 9S-em, amikor nagyon rámjön a "nézzük javult-e a helyzet azóta" akkor előveszem, felteszem a legújabb LOS-t, még a bootloader-t is bezárom - aztán látom, hogy valamin fixen bukik a dolog, akkor morgolódva visszadobom a fiókba.

Ha végig gondolod, akkor nem a szoftver a veszélyes a készüléken, hanem az, hogy lopás esetén hozzáférnek mindenhez a telefonban a nyitott bootloader és más felnyitott dolgok miatt.

Nem véletlenül nem kabrió a bank pénzszállító páncélautója sem.

Amíg nincsen baj, mindenki nagyon öntudatos és nagyon vigyáz magára és nagyon felelősségteljes. Aztán, ha beüt a krach, akkor meg mindenki más a hibás és próbálnak kibújni a felelősség alól. Szóval egyik cég sem fog ahhoz igazodni, hogy néhányan a tárva-nyitva hagyott rendszerben hisznek. Mégha a felhasználó viszonylag tudatos és vállalja is a felelősséget, a média biztosan besározza baj esetén a céget, akkor is, ha az ügyfél döntése volt, hogy nyiott elektronikus tárcával a kezében járkál mindenütt.

Eleve az, hogy tudatos vagy, is nagyon relatív. Ha rosszul leszel az utcán, és kilopják a zsebedből a telefonodat, akkor feldughatod a tudatosságodat. Vagy ha elcsap egy autó. És igen, ennek relatív kicsi az esélye, de egy bármilyen pénzügyi vagy adminisztratív szervezet számára már kvázi elviselhetetlen kockázat. Lehet utálni nyugodtan a nagy cégek telefonjait, de az biztos, hogy SOKKAL nehezebb feltörni őket. Figyelem: nem azt mondom, hogy lehetetlen, hanem hogy nehezebb. És ez már elég védelem egy szolgáltató szempontjából. 

(Ezt pont most szívtam meg én is, és nem a jobbik oldaláról, kellett volna, hogy meg tudjak kerülni egy PIN kódos védelmet, hát ma már ilyet nem lehet).

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

"kilopják a zsebedből a telefonodat"

 

Azért én még egy nagyobb összegben is fogadnék rá, hogy nemhogy egy sima utcai tolvaj, de még pl. a HUP tagok sem tudnának belépni a tárgyi telefonról (egy nyitott bootloader esetében) a revolut fiókba kb. soha. (De ha mégisnetánesetleg, akkor a revolut bizony egy kalap szar, arra meg nem fizetek!)

De lehet gyakorolni. :D

( Friczy v | 2025. 07. 06., v – 10:04 )

Revolut fórumon többször olvastam hasonló esetekről, ezek közül volt, amikor a Revolut orvosolta a problémát, szóval esély van rá.

( debiandor | 2025. 07. 06., v – 13:34 )

Az én tapasztalatom a Revolut-al, hogy érdemben nem próbálták megoldani a hasonló problémámat. (bocsi a tl;dr miatt)

Szerintem ez bárkivel megeshet mobil bankolásnál, a szolgáltató akkor zárja ki az eszközét, amikor akarja. Engem nagyon bosszant, de ez most trend, a LineageOS-t és alternatíváit úgy látszik, ezzel a módszerrel tüntetik el: "sérült integritású" telefonnak nevezik.

A Magyar Nemzeti Bank 5/2023. (VI.23.) számú ajánlása is tartalmazza a sérült integritású eszközök kizárását, mint jó gyakorlatot:
"52. Az MNB az SCAr. 4. cikk (2) bekezdés c) pontja alapján, valamint az SCAr. 6-8. cikke alkalmazásában elvárja, hogy a pénzforgalmi szolgáltató a felmerülő kockázatokkal arányosan korlátozza a sérült integritású"

Én 2024-től egy éven át gond nélkül használtam LineageOS-en a Revolutot, amikor ezt az ellenőrzést idén februárban bevezették. Próbáltam kicsikarni belőlük email-ban, hogy az ÁSZF-ben ez hol van benne, hogy mindennemű előzetes figyelmeztetés nélkül elzárnak a pénzemtől, és így ez legális-e egyáltalán, de lepattintottak. A problémámat megoldani nem próbálták, ilyeneket írtak:
 "We have no plans to support those systems in the foreseeable future."
 "The best option would be to switch to a supported device."

Az én LineageOS-emben nincs telepítetve google csomag, a root-olás, ZygiskNext, és PlayIntegrityFix nekem nem segített. Bevallom gyanús fórumleírásokat (pl. https://xdaforums.com/t/guide-how-to-bypass-new-revolut-root-custom-fir… ) követtem, de volt olyan csak bináris modul amit már nem mertem telepíteni, legvégül pedig csak egy másik hibaüzenetig sikerült eljutnom, ami a custom firmware helyett a root-olt telefon kizárására vonatkozik.

Végül a "megoldásom" az volt, hogy egy ismerős gyári firmware-s telójára telepítettem Revolut-ot, beléptem és elutaltam a pénzt onnan. Nekik ezt írtam: "I'm not going to change my phone, much easier to change my bank."

Szerintem a lehetőség adott, hogy tárva nyitva lévő rendszer helyett a felhasználó választhasson, hogy bekapcsolt védelemmel vagy anélkül használja a készüléket. Mármint, ha a LineageOS-ban is le lehetne zárni a rendszert, akkor az is biztonságos lehetne. Mármint, ha hivatalosan azzal jött a készülék.

Ha utólag lett rátéve, akkor lehet rajta vannak olyan gyártói védelmek inaktiválva, ami miatt nem zárható le.

A probléma az én olvasatomban az, hogy a rendszer lezártsága, és nem pedig a lezárás lehetősége a védelettség döntési pontja. Ezen felül én kicsit problémásnak érzem azt, hogy OS-en belülről ki-be lehet nyitogatni a rendszert, mármint mi akadályoz meg egy támadót ugyanebben? Az Androidban nem igazán létezik a "sudo" intézménye, ha valamire egyszer jogot adtál egy alkalmazásnak (akármiért) akkor annak lehetősége van bármikor, bármilyen körülmények között érvényesíteni azt a jogosultságot.

Az a baj, hogy mentül többet gondolkodom ezen a "nyitott bootloader" kérdésen, annál több security kétely merül fel bennem ezzel kapcsolatban, ha a szolgáltató oldalát nézem.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Nem tudom minden gyártónál úgy van-e, de ha titkosított a fájlrendszer, akkor a legalább a felnyitás művelet törölheti a rendszerből a kulcsot = factory resetként is hat. 
Visszább írja is a topicnyitó, hogy a visszazárás azért fájdalma, mert az is teljes törléssel jár és mindent újra be kell állítania. 

Szóval úgy tűnik erre gondoltak a gyártóknál, hogy ha állítható a zártság, attól adathoz ne férjen hozzá más, mert törlődik.
A nem gyári romos megoldásnál viszont a visszazárásnak van kockázata, mert lehet inkompatibilis és brickeli az alternatív rom esetén, mert hiányzik a megfelelő digitális aláírás induláskor.

Az Androidban nem igazán létezik a "sudo" intézménye, ha valamire egyszer jogot adtál egy alkalmazásnak (akármiért) akkor annak lehetősége van bármikor, bármilyen körülmények között érvényesíteni azt a jogosultságot.

Mármint ha nem azt választod, hogy "most az egyszer". 

Gyanús, hogy normál gyári romoknál nincs olyan, hogy magasabb jogot adtál. A már felnyitott, hekkelt rendszeren szokott lenni olyan szoftvercsomag, amivel lehet játszani azzal, hogy van-e root joga vagy sem, de ott már eleve kompromittálódott a készülék. Ha lopott készüléken a felhasználó egy gombnyomásán múlik, hogy futhat-e root joggal valami, az sem biztonságos.

Alapból egy nem rootolt készüléken vannak jogkörök, amikkel nem rendelkezhet utólag telepített alkalmazás, csak a rendszer image készítésekor betett alkalmazásnak lehet olyan magas jogszintje. Ezért szokott kelleni a rootolás, ha valaki variálni akar ilyesmivel. 

Nem teljesen látom, hogy kapcsolódik ez. Én abból a szempontból néztem, hogy ha azt mondod egy jogosultság kérésre, hogy most az egyszer, az effektív eléggé hasonlít ahhoz, mintha mindig sudo-zni kellene. Mikor meg megnyomod a persze gombot, az meg kb olyan, mintha arra a konkrétumra kapott volna egy NOPASSWD-t. Ez nyilván a gyakorlatban nem sudo, ez csak egy analogia, de szerintem azt, amit hrgy felvetett ("ha valamire egyszer jogot adtál egy alkalmazásnak (akármiért) akkor annak lehetősége van bármikor, bármilyen körülmények között érvényesíteni azt a jogosultságot") pont fedi. 

A valódi root és kérdésköre szerintem egy másik kérdés.

("ha valamire egyszer jogot adtál egy alkalmazásnak (akármiért) akkor annak lehetősége van bármikor, bármilyen körülmények között érvényesíteni azt a jogosultságot") 

Már ez sem igaz. Az új android verziók a nem használt alkalmazások esetén elveszik a kritikus jogokat. 

ÉS erre van egy új jog, hogy ne tegye ezt egy adott appnál.

Lásd: "Remove permissions if app isn't used"

Jalos

( kallaics | 2025. 07. 07., h – 08:33 )

A problémát megírta maga a posztoló. A nyitott boot loader a probléma. Visszazárja és fut a Revolut minden probléma nélkül jó eséllyel.