للتحقق من العمر باستخدام محفظة العملات الرقمية التابعة للاتحاد الأوروبي: هل تريد الربط بـ Google أو Apple؟ مطورو البرامج يحمّلون GitHub بكثافة ويهاجمون كابوس الخصوصية الخفي

يُخطَّط لربط آلية التحقق من العمر في محفظة الاتحاد الأوروبي لهوية رقمية بتقنيات التحقق من سلامة التطبيقات في Google Play وApple App Attestation. وبينما تتدفّق مناقشات على GitHub الرسمية، بلغ حجم الاعتراضات قرابة 300 تعليق معارضة، حيث انتقد المطوّرون بشدة هذا التوجه، قائلين إنه ينتهك مبدأ قابلية التشغيل البيني الذي تعهّدت المواصفات بتخصيصه.

(الملخص السابق: تحذير صارم من الاتحاد الأوروبي لأبل: إذا لم تفتح نظام iOS، فقد تصل العقوبة الأشد إلى 20% من المبيعات العالمية) (إضافة خلفية: تعاون أوروبي لإطلاق منصة رقمية لتتبّع الوقاية من الوباء، لكن تسرّب خبر عن إزالة «بروتوكول لا مركزي DP3T» سراً)

فهرس المقال

Toggle

  • على ماذا يحتجّون: السيادة ومعايير الانفتاح يتعثّران معاً
  • باحث أمن يَكسر رمز PIN للتطبيق خلال دقيقتين
  • كل دولة تمشي في طريق: هولندا وإيطاليا تقبلان كل شيء، وسويسرا ترفض

تعتزم مواصفة محفظة الهوية الرقمية للاتحاد الأوروبي (EU Digital Identity Wallet) فرض التحقق من عمر المستخدم عبر ربط كامل منظومة التحقق من أصالة التطبيق والجهاز بواجهة برمجة Google Play Integrity API وآلية Apple App Attestation. وما إن خرجت الرسالة إلى العلن حتى انفجرت سلسلة نقاشات GitHub الرسمية، إذ بدا أن مجتمع المطوّرين شبه موحّد في القول: «لا».

إن سلسلة النقاش الموسومة «Do not add Google Play Integrity integration»، التي أطلقها المطوّر TheLastProject، تحمل طلباً مشتركاً من غالبية التعليقات: لا ينبغي أن تُقفل عملية التحقق من العمر على خدمات حصرية لعملاقتين للتكنولوجيا في الولايات المتحدة.

على ماذا يحتجّون: السيادة ومعايير الانفتاح يتعثّران معاً

أول نقطة انطلاق لدى المعترضين تتعلق بتطبيق هوية هولندي يُدعى Yivi (النسخة السابقة IRMA). إذ يتيح هذا التطبيق منذ وقت طويل إجراء التحقق من العمر دون الاعتماد على خدمات Google، بل إنه متاح أيضاً على متجر المصدر المفتوح F-Droid، بما يقدّم دليلاً مباشراً على أن تكامل Play Integrity ليس شرطاً تقنياً ضرورياً.

النقطة الثانية تتمثل في تناقض المواصفة مع نفسها. فمواصفة محفظة الهوية الرقمية للاتحاد الأوروبي تضع ثلاث مبادئ أساسية مخصصة، لكن يُفرَض فيها ربط خدمات التحقق الخاصة لدى Google وApple، وهو ما يعني انتهاكاً مزدوجاً لكلٍّ من «قابلية التشغيل البيني» و«المعايير المفتوحة»؛ ويشكّك المطوّرون في منطق ذلك، قائلين: كيف يمكن لمواصفة رسمية تدّعي الانفتاح أن تصل إلى حد الاعتراف بخيار شركتين أمريكيتين فقط.

النقطة الثالثة: السيادة الرقمية. تشدد تعليقات عدة على أن خدمات الحكومة لا ينبغي أن تعتمد على خدمات طرف ثالث خارجي. وكلما زادت طبقات الاعتماد، زادت معها حزمة المخاطر الأمنية المحتملة. وإذا أجرت Google أو Apple تعديلات على السياسات أو سحبت الخدمات أو حدثت ثغرة منهجية، فسيُدفع نظام التحقق من الهوية في الدول المختلفة إلى التوقف على نحو جماعي.

كما انخرطت منظمة غير ربحية هولندية Waag Futurelab في المعركة. وفي مقال بعنوان〈European digital ID wallets are a gift to Google and Apple〉، قالت صراحة إن هذه المحافظ تعتمد على Google Play Integrity API وآليات تحقق أجهزة Apple، ما يجعل الحكومة مجرد منفّذ لسياسات منصات شركة خاصة؛ وزادت Waag الأمر أيضاً من خلال الإشارة إلى أن تصميم Google Play Integrity API قد يتعارض مع قانون أسواق رقمية في الاتحاد الأوروبي (DMA)، المصمم للحد من احتكار الشركات الكبرى.

باحث أمن يَكسر رمز PIN للتطبيق خلال دقيقتين

جرى اختبار نموذج التهديد أيضاً. طرح أحد المعلقين سؤالاً مباشراً: هل يستحق ربط المنظومة بأكملها بتوثيق على مستوى العتاد لمنع المهاجمين عن بُعد من اختراق الأجهزة وسرقة إثبات «بلوغ سن الرشد» لتصفّح مواقع للبالغين؟ وشكك آخرون أيضاً في ضرورة أن يُصمَّم التحقق من العمر كتطبيق أصلي حصراً، قائلين إن تطبيقات الويب الحديثة مع Digital Credentials API يمكن أن تحقق النتيجة نفسها.

وليست هذه الاعتراضات بلا أساس. أجرى باحث أمن تجريبي على أجهزة Android، ووجد أنه يكفي تعديل ملف تفضيلات نصي بسيط على الجهاز، ثم حذف إدخالات PIN المشفّرة وإيقاف قيمة منطقية خاصة بالتحقق الحيوي، وذلك خلال أقل من دقيقتين لإعادة تعيين App PIN وإيقاف تسجيل الدخول بالتحقق الحيوي؛ ومع ذلك يمكن لا تزال الشهادات المخزنة أن تُسحب بالكامل. وأعاد باحث آخر إنتاج الثغرة وسجّل مزيداً من المشكلات، من بينها أن البيانات الشخصية تُخزّن دون تشفير.

وأثار الاعتماد الإجباري على آليات حصرية استياءً إضافياً. أشار المطورون إلى أن المستخدمين الذين لا يثبتون برامج Google أو Apple، إضافةً إلى الفئات التي تستخدم أنظمة «مجرّدة من Google» مثل GrapheneOS و e/OS، قد يُستبعدون مباشرة من خدمات الهوية الرقمية؛ كما استُشهد مراراً بسابقة تعثّر تطبيق محفظة إيطالي (Italian Wallet) بسبب تكامل Play Integrity كدليل تحذيري سابق.

كل دولة تمشي في طريق: هولندا وإيطاليا تقبلان كل شيء، وسويسرا ترفض

لا تتفق مواقف الحكومات في الدول كافة. ففي الوقت الحالي تتبنى هولندا وإيطاليا Google Play Integrity دون شروط، بينما اختارت سويسرا آلية تحقق مدمجة داخل Android لأسباب تتعلق بحماية البيانات والسيادة المتعلقة بالبيانات وحرية اختيار المستخدم، وبذلك تخلّت مباشرة عن Play Integrity.

كما دخل الموردون أنفسهم لمحاولة إخماد الجدل. فقد صرّح مورد تطبيقات التحقق من العمر Scytales بأن فحوصات سلامة تطبيقات التحقق من العمر في الاتحاد الأوروبي لا تعتمد على Google أو Apple. وطرحت جهة في صفّ المصدر المفتوح حلولاً بديلة، منها «Unified Attestation» التي تقودها Volla Systeme GmbH، والتي تروّج لأكواد تكامل قصيرة الأجل مع تحقق دون اتصال بالإنترنت، ويمكن أن تتعايش مع Play Integrity؛ وقد رأى بعض المعلقين أنها حل وسط.

وقال عدد من الأشخاص الذين يعرّفون أنفسهم كمختصين في الأمن السيبراني في سلسلة النقاشات إن ذلك أشبه بـ«كوابيس للخصوصية والأمن». وفي المقابل، ظهرت أصوات أكثر تشدداً رافضة لأي نوع من التحقق من العمر أو تدقيق الهوية عبر الإنترنت. ومع ذلك، من المؤكد أن عملية وضع مواصفة محفظة الهوية الرقمية للاتحاد الأوروبي كانت تُعد دائماً نموذجاً يُحتذى به عالمياً. فإذا ما حُسم تكامل Google Play Integrity، فمن المرجح أن يتحول إلى واقع مُحتّم تُشير إليه دول أخرى كمرجع؛ لذا فإن هذه الاحتجاجات قد تكون مجرد بداية.

AAPL%0.78-
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
  • أعجبني
  • تعليق
  • إعادة النشر
  • مشاركة
تعليق
إضافة تعليق
إضافة تعليق
لا توجد تعليقات
  • مُثبت