Europese leeftijdsverificatie-app onder vuur over Google Play Integrity API
De leeftijdsverificatie-app die de Europese Commissie laat ontwikkelen is onder vuur komen te liggen wegens het verplicht gebruik van de Google Play Integrity API, waardoor de app niet op alternatieve Android-gebaseerde besturingssystemen kan werken, zoals GrapheneOS. Via de app moeten gebruikers straks kunnen aantonen dat ze oud genoeg zijn om websites te bezoeken waarvoor een minimale leeftijd geldt. Volgens de Europese Commissie gaat het om een "tijdelijke leeftijfsverificatie-oplossing" totdat de Europese digitale identiteitswallet eind 2026 beschikbaar komt.
In de disclaimer van het onlangs gelanceerde prototype van de app staat dat toekomstige Androidversies "app and device" verificatie gaan ondersteunen die is gebaseerd op de Google Play Integrity API. Via deze API (application programming interface) kunnen app-ontwikkelaars controleren dat hun app op een 'genuine' Androidtoestel draait. Zo wordt gecontroleerd of het toestel niet is geroot. Daarnaast wordt gecontroleerd of de app via de Google Play Store is gedownload en geïnstalleerd, wat het gebruik van een Google-account vereist. Dit moet volgens Google misbruik, ongeautoriseerde toegang en aanvallen tegengaan.
Er is nu op de GitHub-pagina van het project een oproep gedaan om deze verplichting te laten vallen. De Google Play Integrity API is namelijk niet voor alle Android-gebaseerde besturingssystemen beschikbaar. Zo kan bijvoorbeeld GrapheneOS geen gebruikmaken van de Play Integrity API omdat Google dit niet toestaat. Hierdoor werken allerlei apps niet met dit besturingssysteem.
"We willen gebruikers van alternatieve besturingssystemen niet straffen, maar er is op dit moment geen andere optie. Play Integrity heeft geen manier om te raden of een alternatief besturingssysteem het Android-beveiligingsmodel ondermijnt. Als het geen officieel besturingssysteem is, moeten we ervan uitgaan dat het fout is", zo liet Google vorig jaar weten.
GrapheneOS vraagt app-ontwikkelaars daarom gebruik te maken van de Android hardware attestation API, waarmee de authenticiteit en integriteit van de hardware ook is te controleren. Daarnaast zou deze API "onnodige afhankelijkheid van Google Play services en Google's Play Integrity servers" voorkomen. Het nieuws dat alternatieve Android-besturingssystemen straks geen gebruik kunnen maken van de leeftijdsverificatie-app zorgt voor honderden kritische reacties op Hacker News en Reddit.
Hoezo onafhankelijk van US BigTech willen zijn.
Google bepaalt, de EU volgt gedwee.
Dit kan niet de bedoeling zijn, hoop ik... Graag een open alternatief, die goed ondersteund wordt en geen allerlei andere zaken uitvoert op je apparaat zoals de Google Play Store/framework.
Digital ID, zometeen i.c.m. een CBDC en het is af !
Laten we hier niet intrappen mensen.
Laten we pleiten voor alternatieven die privacy vriendelijker en minder communistich van aard zijn.
Trump geeft met zijn anti-cbdc wetgeving inmiddels het goede voorbeeld dat dit kan.
Laat mevr. Maxima maar stikken in haar CBDC promotie...
Dit, en die Google Play Integrity API lijkt me in strijd met de DSA en Europese wetgeving aangaande oneerlijke concurrentie. (Het is anti-competitief)
Zo worden concurrenten (waaronder het veiliger alternatief GrapheneOS) actief buiten spel gezet met het monopoliespel dat Google zelf heeft opgezet.
Ik doneer om deze reden ieder jaar een goed bedrag aan de ontwikkelaars van GrapheneOS, ze kunnen het hard gebruiken aangezien ze hierdoor nu meer ontwikelaars moeten inhuren, en dat kost geld.
Dit is toch zeer incompetent van de overheid. Dit laat weer zien dat de burger niet op 1 staat!
TheYOSH
Dan KAN deze app natuurlijk ook, het is een kwestie van niet willen.
Leeftijdsverificatie voor bestellen op AH.nl omdat je toevallig een paracetamol doosje koopt of een blikje frisdrank met caffeine?.. mooi, gewoon niet meer kopen daar...
Wanneer de omzet kelderd, dan gaan ZIJ miepen, en de stem van AH is nu eenmaal luider dan die van jantje klootvogel van 18 jaar oud uit whateverbroek.
Dan KAN deze app natuurlijk ook, het is een kwestie van niet willen.
En wat dacht je van de DigiD app? Werkt ook prima.
Dan KAN deze app natuurlijk ook, het is een kwestie van niet willen.
https://www.security.nl/posting/897273/Triodos+laat+bank-app+na+aanpassingen+weer+op+GrapheneOS+werken
Onkunde belonen, erger nog bekrachtigen, leidt tot meer onkunde. Meer, moeilijk en kostbaar terug te draaien, achteruitgang en rompslomp. Wel stelt het sommigen in staat om snel hoger te klimmen, maar hoe hoger, hoe harder de val. Daarmee velen daarvan afhankelijk gemaakten meesleurend in diezelfde val. Die het daarna zelf maar moeten zien te redden.
Vraag het iedere eerdere gezond groeiende onderneming die het spreekwoordelijke "zoontje van de directeur" aan het roer hield. Failliet. Kapot. Gebroken.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?