Digitaliseringsstyrelsen efter kritik: Derfor virker NemID-app ikke på rootede telefoner

Illustration: Privatfoto
Det har vakt frustrationer hos Android-brugere, at den nye NemID-app ikke virker på rootede telefoner. Men adgang til appen fra en rooted telefon kan kompromittere appen, lyder Digitaliseringsstyrelsens forklaring.

Digitaliseringsstyrelsen lancerede i dag, tirsdag, den længe ventede NemID Nøglekort-app.

Applikationen gør det muligt at logge på NemID uden det fysiske papkort, men den har vakt en del frustrationer blandt Android-brugere, fordi den ikke kan bruges på rootede telefoner.

»Løsningen er løbende blevet sikkerhedstestet og vurderet af flere forskellige 3.-parts sikkerhedseksperter. Med en så vigtig løsning som NemID-nøgleapp, så er det vigtigt, at den lever op til en række sikkerhedsstandarder, som fx PSD2-kravene. Derfor er det besluttet at blokere for rootede devices,« lyder det i et skriftligt svar fra Digitaliseringsstyrelsen.

Flere brugere brokker sig dog over den besked, da de netop mener at kunne højne sikkerheden på en smartphone ved at roote den.

»Ringe at den ikke kan køre på rootede enheder. Jeg har netop rootet telefonen for at kunne få højere sikkerhed og færre apps, som kan tilgå mine personlige data,« skriver en bruger i Google Play-butikken.

Flere får også beskeden om, at applikationen ikke kan bruges på deres rootede telefon - selvom den pågældende telefon ikke er rootet.

'Fortsæt med nøglekort'

Digitaliseringsstyrelsen er godt klar over det og forklarer, at visse telefoner »opfører sig« som om de er rootede. Og hvis man får den besked er der ikke noget at gøre.

»Vi kan godt forstå deres (brugernes, red.) frustration, men det er et helt bevidst sikkerhedsmæssigt valg, at vi har slået denne mulighed fra. Vi har valgt at gå ud med NemID nøgleapp vel vidende, at enkelte telefoner derfor ikke kan køre appen. Dem der har en sådan telefon, eller har rootet deres telefon, må i første omgang fortsætte med at benytte nøglekortet,« skriver Digitaliseringsstyrelsen.

Version2 har også spurgt ind til, hvorfor det er så svært at se i Google og Apples app-butikker, at NemID-appen rent faktisk stammer fra Digitaliseringsstyrelsen. Den eneste afsender, der optræder, er udvikleren “e-nettet”, der står bag appen.

Flere brugere har kritiseret, at det ved første øjekast er svært at identificere, at appen stammer fra det offentlige. Den kritik giver Digitaliseringsstyrelsen dog ikke meget for.

»E-nettet er den finansielle sektors udviklingsleverandør og fremgår derfor i App Store og Google Play Store. Vi er fuldt opmærksomme på vigtigheden af, at man kan skelne reelle apps fra kopi apps. Vi kommunikerer aktivt via alle vores kanaler bl.a. Nemid.nu og borger.dk, med beskrivelser og links til de rigtige apps. Desuden er vores leverandører meget aktive i at få fjernet kopi apps i App Store og Google Play.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (32)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Thomas Toft

Jeg har (selvfølgelig) root/admin adgang i både Windows og Linux på mine maskiner. Hvornår blokere de dem? Der er trods alt en langt større risiko for malware der stjæler ens oplysninger i Windows end på telefoner.

Tobias Volfing

Jeg har (selvfølgelig) root/admin adgang i både Windows og Linux på mine maskiner. Hvornår blokere de dem? Der er trods alt en langt større risiko for malware der stjæler ens oplysninger i Windows end på telefoner.

Har jeg overset noget, eller findes appen også til Windows og Linux?

Ellers er de vel allerede 'blokerede'. Nøglekortet (som jeg i hvert fald benytter i Linux og Windows) virker stadig på rootede enheder. De er ikke stillet værre end Windows/Linux som jeg ser det.

Hans Nielsen

Når de ikke mener, at de kan garanti sikkerheden på en rooted telefonen. Så kan jeg heller ikke se, at de kan det på ikke rootet telefon.

Så jeg leves med papkortet og bruger dem mindst muligt. Banker er jo blevet nemmere at have med at gøre, de kræver kun ID når du laver "handler" EBooks kan tilgås med thunderbird og add on.

Og de få gange du bruger skat, og skal indberette er ikke mange.

Lad dog dem, som tør bruge NI uden 2 faktor om det.

Nytteværdien er vel heller ikke så høj, for dem om ikke lever sit liv gennem en smartphone.

Hvad siger de til telefoner fra ZTE, Archos og Prestigio, eller kan det ikke gøre på telefoner som ikke er certificeret af Google ?

https://www.version2.dk/comment/377145#

Jesper Lund

Jeg kan fint bruge nemid appen på min rootede telefon med linageos 15.1 (Oreo)

Måske fordi LineageOS kan installeres uden at du er root på telefonen? (det er en option).

Afhængig af hvad der menes med "rooted", altså om det også omfatter unlock af bootloader, hvilken man kan opfatte som en sikkerhedsrisiko. Eller man kan opfatte det som en sikkerhedsforbedring, fordi det giver dig mulighed for at fjerne producentens malware, uønskede applikationer (og Google spyware), og få Android opdateringer til telefonen efter at producenten er holdt op med at levere dem.

Hans Nielsen

Det er sgu rimeligt sikkert


Hvis din telefon bliver hacket, hvad er sikkerhedslaget mellem dig og telefonen så værd ?

Hvis dit fingeraftryk eller dets hash ikke er gemt på telefonen. Så får den bare lavet et, første gang du åbner den.
Hvis de også sender dette "hjem" og gemmer det. Så kan du ikke i resten af dit liv, bruge den finger som sikkerhed nogen steder.

Henrik Madsen

Og de få gange du bruger skat, og skal indberette er ikke mange.

De fleste af dem jeg kender bruger alligevel tastselv kode løsningen på SKAT's hjemmeside da den stadigvæk er meget nemmere end PapID.

SKAT har da netop heller ikke fjernet tastselv login af den samme årsag. Altså at rigtigt mange stadigvæk bruger tastselv login.

Endnu et bevis på at folk undgår nemid hvis det er muligt.

Et system som folk undgår når de kan, er i mine øjne ikke et succesfuldt system.

Andreas Jensen

Jeg kan fint bruge den nye app på min telefon som er rooted.

OnePlus 3T, LinageOS 14.1 SultanXDA, MagiskSU + MagiskHide.

De fleste der er tekniske nok til at roote deres telefoner, burde være tekniske nok til at omgå root detection...

Lasse Færch

Andreas kan du måske hjælpe mig?

Jeg har OnePlus 5, LineageOS 15.1 og Magisk.

Jeg har sat flueben ved NemID appen i Magisk Hide, appen virker stadigvæk ikke.

Jeg har ikke problemer med andre apps som jeg skjuler root for.

Christian Nobel

Virkelig? Det kender jeg ingen, der gør.

Nu er du så nok hverken bonkammerat med Henrik eller mig, men jeg bruger altså heller ikke N-omvendt tretal-mID, så det er i hvert fald to.

I det hele taget så må man lade Skat, at tastselv koden er ganske velfungerende, og når Skat holder fast ved den, så er det givetvis dels fordi det er en ret sikker løsning, dels at der nok er en hel del mere end to der benytter den.

Og så er der lige den lille juridiske krølle, at der faktisk ikke er lovgrundlag til at at stille krav om at N-omvendt tretal-mID kun må være den eneste adgangskanal - dette er eksplicit udtrykt af både Helge Sander og Charlotte Sahl-Madsen.

Embedsmandsværket har så selv efterfølgende lavet en række fortolkninger, men de er reelt ikke i overensstemmelse med selv lovgivningen, heller ikke fsva. brug som digital signatur.

Lars Tørnes Hansen

Jeg har læst - og fundet kilden til informationen igen and CyanogenMod har en switch hvor man skifte imellem rooted eller ikke rooted.

Nu er CyanogenMod jo en gammel sag fra fortiden, så Lineage OS har muligvis den samme funktion.

CyanogenMod includes a simple toggle on its settings screen that allows you to enable or disable root access. Upgrading to a new version of CyanogenMod or your custom ROM won’t unroot your device if the ROM comes with an integrated way to enable root.

Fra: https://www.howtogeek.com/115297/how-to-root-your-android-why-you-might-...

Det er noget der kunne være interessant at kigge på.


Ellers har Linux kernen jo 7 namespaces per process, som man kan bruge til at overbevise den app om at mobilen ikke er rooted.

http://man7.org/linux/man-pages/man7/namespaces.7.html

Mig bekendt er det LDC der kan bruges til at lave fifleri med de namespaces et Linux program er underlagt.


I værste tilfælde kan man hijacke Android API kald via brug af LDD_PELOAD miljøvariablen.

https://stackoverflow.com/questions/426230/what-is-the-ld-preload-trick

Brug af LDD_PRELAOD er set blevet brugt i malware ude i det fri: Beskyttelsen mod den er set uid og set gid bit, hvorved miljø variablen ignoreres for den lib*.so fil.

Hvad sikkerhed angår så er LDD_PRELOAD er en væsentlig angrebsvektor for malware. Det kunne så også være en faktor der gør at det måske er en rigtig dårlig ide at roote en Android Mobil.

Simon Rigét

Digi-sludder-seringsstyrelsen ...

forklarer, at visse telefoner »opfører sig« som om de er rootede.

En rootet telefon opfører sig ikke anderledes en en ikke rootet.
Det er deres metode til at snage i androids opsætningen der fejler.
- og det burte de da også helt afholde sig fra.

Henrik Madsen

Og så er der lige den lille juridiske krølle, at der faktisk ikke er lovgrundlag til at at stille krav om at N-omvendt tretal-mID kun må være den eneste adgangskanal - dette er eksplicit udtrykt af både Helge Sander og Charlotte Sahl-Madsen.

Embedsmandsværket har så selv efterfølgende lavet en række fortolkninger, men de er reelt ikke i overensstemmelse med selv lovgivningen, heller ikke fsva. brug som digital signatur.

Desværre er der bare rigtigt mange offentlige instanser som er totalt ligeglade.

Har oplevet en kommune hvor jeg måtte vride armen HELT om på dem, før de accepterede at jeg gerne ville skrive mit barn op til folkeskolen uden NemID.

For min skyld må SKAT gerne lukke ned for adgang til skat.dk for folk der ikke har NemID, bare de så i stedet begynder at sende mig mine skattepapirer og selvangivelse i papirformat.

Erik Bachmann

Når jeg bruger nøgle app'en kan jeg ikke se, hvilket site som loginanmodningen kommer fra.
Teksten er blot: "Godkend følgende? Handling hos NemLog-in"
Jamen er det på Borger.dk, sygehuset, biblioteket?? Eller man-in-the-middle?!?

Som den hjælpsomme borger, som jeg anser migselv for at være, ville jeg naturligvis give denne observation videre til Nem-Id. Men desværre - ingen e-mail. Jamen så chat da? Desværre KUN efter at have opgivet et nøglekortsnummer. Så med kun en nøgleapp - eller helt uden nøglekort - ingen support.

Ufortrødent ringer jeg så til supporten. Telefonkøen registrerer mit opkaldsnummer og giver mig valget imellem at

1) blive ringet op
2) angive et andet tlfnr
3) vente.

Mit tlf.nr bliver oplæst ciffer for ciffer af TO forskellige stemmer på skift. Vælger 3 og bliver anmodet om at indtaste min tlf.nr MANUELT.

Sjældent godt underholdt kom jeg igennem til den stakkels supporter, der ikke viste noget om - noget, men som tog imod mine observationer.

Sidder tilbage med fornemmelsen af at dette system er lidt løst i koderne. Det ER trods alt et sikkerhedssystem.

Nå - jeg må ind og lave GDPR på kontaktlisterne til at alle de personer, som jeg har fornavn og telefonnr. på.

Henrik Madsen

Hvad er sikkerhedslaget mellem dig og dit nøglekort værd hvis jeg lige snupper et billede af nøglekortet?

Du er hverken værre eller bedre stillet med en app på din telefon end med et nøglekort. App'en er bare lidt lettere at bruge.

Du kan ikke sidde i Ukraine og tage et billede af mit NemID kort som ligger i en skuffe, men du kan hacke dig ind på min mobil som er forbundet til nettet 24/7

Ser du forskellen.

De samme folk som for få måneder siden sagde "Du må ikke tage et billede af dit nøglekort da det kompromitterer sikkerheden i systemet" siger nu "hey, her er en app som du installerer på din telefon og så kan du få alle de NemID koder du har brug for".

Kan du ikke se det paradoksale ?

Michael Thomsen

Hvorfor blev der ikke spurgt mere ind til:

  1. Det er uendeligt let at lave en nemid-klon app i Google App store og få folk til at downloade den. Da man skal bruge ikke bare en men hele to papkort-koder har svindleren mange muligheder for at logge ind på ens konto og overføre penge til højre og venstre (man kan fiske både brugernavn, kode og to nøgler uden at brugeren opdager det, og hvis man siger "noget gik galt" kan man fiske endnu flere nøgler hos de fleste, for hvem har ikke oplevet problemer med nemid?). Bare registrer firmanavnet nemid e.l. hos Google og så får du flere downloads end e-ndernettet (eller hvad det var de kaldte sig).

  2. Når man har rootet en telefon er det meget let at skjule overfor en app at telefonen er rootet. At Nets ikke har forstået det kommer dog ikke synderligt bag på mig. De har mere travlt med at gå op i ligegyldige standarder (som de kan vaske deres hænder med) end at lave sikkerhedsmæssige ordentlige systemer. Det er rent held, at de ikke er blevet hacket endnu (bortset fra insider-hackeren fra Se&Hør; hvilket så også kun beviser hvor ringe deres reelle sikkerhed er)..

Log ind eller Opret konto for at kommentere