Google: European-Digital-Identity-Lösung (EUID) wird zum Zankapfel

Google: Die European-Digital-Identity-Lösung (EUID) zur Altersverifikation für Google Android scheint die Vorgaben der EU noch nicht zu erfüllen. Die Europäische Union arbeitet an einer Lösung zur Altersverifikation für Apple iOS und Android. Die Entwicklung wird von Veröffentlichungen des Quellcodes und der entsprechenden Dokumentationen auf Github begleitet und sorgt bereits vor der Fertigstellung für ordentlich Kritik.

Das hat offenbar einen guten Grund, setzt die Umsetzung der European Digital Identity (EUID) für Android doch bei der Altersverifikation auf Googles Play-Integrity-API. Damit werden alternative Android-Varianten quasi ignoriert, da die verwendete Schnittstelle ausschließlich in von Google lizenzierten Systemen verfügbar ist. Zudem müssten genutzte Apps aus dem Play-Store heruntergeladen werden, für den ein Google-Konto erforderlich ist.

European-Digital-Identity-Lösung (EUID) sorgt für Streit

Die Kritik könnte allerdings ein wenig verfrüht kommen, da es sich bei der aktuellen Version laut der Entwickler nur um einen ersten Anlauf handeln würde, der „ausschließlich zur Demonstration des Ablaufs“ entwickelt wurde. Einige Entwickler mahnen jedoch an, dass die vorliegende Implementierung alternative Android-Versionen wie LineageOS oder GrapheneOS ausgrenzen und außerdem gegen die Auflagen der EU verstoßen würde.

Wie Daniel Micay, Sicherheitsforscher und -Entwickler für GrapheneOS auf Github mitteilt, gebe es mit der Hardware-Attestation-API bereits „eine viel stärkere Schnittstelle“ als die Play-Integrity-API. Diese ist auch von alternativen Android-Versionen nutzbar und es entfalle eine „unnötige Abhängigkeit von den Google Play-Diensten und den Play-Integrity-Services von Google“. Micay ergänzt, dass die Hardware-Attestierungs-API auf allen Geräten ab Android 8 verfügbar sei und dass er die Hardware-API für sicherer halte als die softwarebasierte Play-Integrity-API.

„Unnötige Abhängigkeit von Google Play-Diensten“

Unterstützung hält Micay von der Entwicklerin der Karten-App Catima, Sylvia van Os: Sie stellt vor allem die Vertiefung der „Abhängigkeit von amerikanischen Tech-Giganten bei der Altersüberprüfung“ in Frage. Andere Entwickler halten unter anderem den Google-Konto-Zwang für ein Open-Source-Projekt für inakzeptabel. Die bisherige Entwicklungs-Lösung dürfte oder müsste im Grunde unweigerlich zugunsten alternativer Android-Versionen geändert werden.

Denn ein elementarer Bestandteil der Auflagen für die Entwicklung ist der EU-Webseite zum Projekt zufolge die Interoperabilität: „Die Lösung gewährleistet eine nahtlose Integration über verschiedene Gerätebetriebssysteme, Brieftaschenanwendungen und Online-Dienste hinweg.“ Die Entwickler der Lösung haben zwar mittlerweile die Dokumentation angepasst und den Verweis auf die Play-Integrity-API entfernt. Stattdessen wird nun auf OWASP-MASVS-Konformität (Mobile Application Security Verification) verwiesen. Das genügt einigen Entwicklern nicht, sie fordern, dass deutlich darauf hingewiesen werden müsse, dass für entsprechende Apps keine Play-Integrity-API genutzt werden dürfe.

Quellenangabe: Heise Online