@hehemrin

> du menar att de också har möjlighet
> att genom att tex ha tillgång till
> källkoden och logga mina knapptryckningar,
> skulle kunna logga in i mitt namn

Ja.

Om vi tänker oss exemplet att du har en iPhone, då finns det tre aktörer:
- Du själv
- BankID (Finansiell ID-Teknik BID AB)
- Apple

Om vi nu gör antagandet att BankID själva är duktiga, hederliga och pålitliga.

Då menar jag att du fortfarande kan bli lurad, av Apple.

1/?

@hehemrin

Exempel på saker Apple kan göra:
- de kan köra en annan app istället för BankID, något som ser ut som BankID men är skapat/modifierat av Apple.
- de kan veta vad som visas på skärmen
- de kan registrera var du trycker på skärmen
- de kan visa dig en sak och bakom kulisserna göra något annat

2/?

@hehemrin

OBS att en app (i detta fall BankID-appen) aldrig kan göra någonting direkt, appen gör bara saker via operativsystemet. Om appen vill visa något på skärmen så sker det via operativsystemet, som bestämmer vad som faktiskt visas. Smma sak med touch-input, annan input, och samma sak med nätverkskommunikation.

3/?

@hehemrin

Apple kan t.ex. veta din personliga kod till ditt BankID, och Apple skulle kunna göra en inloggning i ditt namn genom att fejka interaktionen med dig, din iPhone skulle kunna kommunicera med BankIDs servrar precis som om du hade gjort inloggningen själv, BankID skulle inte märka någon skillnad.

4/?

@hehemrin

Man kan jämföra med vad "Pegasus spyware" kunde göra: "Think of it as if you've put your phone in someone else's hands."
Då var det för att någon utomstående installerat malware för att få den kontrollen, men när det gäller Apple självt så har Apple den kontrollen redan från början. Det är ju Apple som bestämmer, inte du.

5/?