A német Volla Systeme GmbH iparági konzorciumot hozott létre egy nyílt forrású, Google-független alternatíva fejlesztésére a Google Play Integrity helyett. A projekt célja, hogy a Google-szolgáltatások nélküli, jellemzően AOSP-alapú mobil operációs rendszereken is lehessen olyan biztonsági ellenőrzést használni, amelyet a banki, állami, azonosítási és wallet alkalmazások elvárnak.

A Google a Play Integrity API-t úgy írja le, mint egy olyan interfészt, amellyel az alkalmazás backendje ellenőrizheti, hogy a felhasználói műveletek és szerverkérések valódi alkalmazásból, Google Play-ről telepített példányból és hitelesített Android-eszközről érkeznek-e. A cél a manipulált alkalmazások, nem megbízható eszközök és emulált környezetek kiszűrése, valamint a visszaélések, csalások, jogosulatlan hozzáférések és egyéb támadások elleni védelem.

A Volla szerint ez a modell strukturális függést hoz létre, mert az érzékeny alkalmazásoknál szükséges megbízhatósági ellenőrzés a Google infrastruktúrájához és tanúsítási rendszeréhez kötődik. A konzorcium álláspontja szerint ez de facto kizáró tényező lehet a Google-mentes alternatív rendszerek, például az /e/OS és más custom ROM-ok számára.

A fejlesztés alatt álló, UnifiedAttestation nevű rendszer három fő elemből áll: egy operációsrendszer-szintű szolgáltatásból, amelyet az alkalmazások néhány sor kóddal meghívhatnak; egy decentralizált validációs szolgáltatásból, amely ellenőrzi, hogy az adott operációs rendszer tanúsítványa érvényes-e az adott készüléken; valamint egy nyílt tesztcsomagból, amellyel egy operációs rendszer és egy konkrét eszközmodell biztonsági megfelelősége vizsgálható.

A Volla közlése szerint a kezdeményezésben többek között a Murena, az e.foundation, a francia iodé és a svájci Apostrophy vesz részt, és más gyártók, valamint az UBports Foundation is érdeklődést mutatott. A szoftvert Apache 2.0 licenc alatt, nyílt forráskóddal kívánják publikálni, hosszabb távon pedig az Eclipse Foundation égisze alatt működő nyílt együttműködési formátumot képzelnek el.

A történet lényege nem pusztán technikai. A konzorcium szerint a cél a digitális szuverenitás erősítése: az, hogy a mobilos megbízhatósági ellenőrzés ne kizárólag egyetlen amerikai szereplő kezében legyen, hanem nyíltan, átláthatóan és több szereplő által ellenőrizhető módon működjön.

• Volla Systeme: Volla initiates industry consortium for open alternative to Google Play Integrity
• Android Developers: Overview of the Play Integrity API

(A cikk nyomokban Mesterséges Intelligencia által szolgáltatott adatokat tartalmaz, így a tartalmát érdemes duplán ellenőrizni!)