¿La UE verifica la edad para las billeteras digitales y quiere vincularlas a Google o Apple? Desarrolladores inundan GitHub y denuncian una pesadilla de privacidad

La UE està planejant incorporar un mecanisme de verificació d’edat per a la seva cartera de carteres de identitat digital vinculada a Google Play Integrity i a Apple App Attestation. El debat oficial al GitHub s’ha omplert de prop de 300 comentaris contraris; els desenvolupadors critiquen que aquesta mesura viola el principi d’interoperabilitat personalitzable d’acord amb les especificacions.
(Antecedents: advertència ferma de la UE a Apple: si no obre el sistema iOS, la sanció màxima serà del 20% dels ingressos globals)
(Context addicional: Europa impulsa conjuntament una plataforma digital de seguiment per a la prevenció, però s’ha filtrat que van retirar silenciosament el protocol «decentralitzat DP3T»)

Taula de continguts

Toggle

  • Per què es queixen: sobirania i estàndards oberts, tots dos incompleixen
  • Investigador de ciberseguretat: trenca un PIN d’app en 2 minuts
  • Cada país fa el seu camí: Països Baixos i Itàlia ho accepten tot, Suïssa diu que no

L’especificació de verificació d’edat que impulsa la UE per a la cartera d’identitat digital (EU Digital Identity Wallet) pretén vincular tot el sistema de verificació d’autenticitat de l’app i del dispositiu a l’API Google Play Integrity i a l’Apple App Attestation. Després que es fes públic el missatge, el fil de discussió oficial de GitHub va quedar inundat de seguida, i la comunitat de desenvolupadors gairebé per unanimitat va clamar: «no».

El fil, titulat «Do not add Google Play Integrity integration», el va iniciar el desenvolupador TheLastProject; les demandes comunes de la majoria de comentaris són molt simples: la verificació d’edat no hauria de quedar lligada a serveis privatius exclusius de dues grans empreses tecnològiques nord-americanes.

Per què es queixen: sobirania i estàndards oberts, tots dos incompleixen

El primer punt de mira dels opositors és l’app de identitat neerlandesa «Yivi» (abans IRMA). Aquesta aplicació ja pot fer la verificació d’edat sense dependre gens dels serveis de Google; fins i tot es pot publicar a la botiga de codi obert F-Droid, demostrant directament que la integració de Play Integrity no és una condició tècnica necessària.

El segon punt de mira és que l’especificació contradiu el que diu. L’especificació de la cartera d’identitat digital de la UE defineix tres grans principis: obligar a vincular els serveis privatius de Google i Apple implica alhora incomplir tant l’«interoperabilitat» com els «estàndards oberts»; els desenvolupadors qüestionen com pot ser que una especificació oficial que presumeix d’obertura acabi reconeixent només dues empreses nord-americanes.

El tercer punt de mira és la sobirania digital. Molts comentaris destaquen que els serveis governamentals no haurien de dependre de serveis externs de tercers; com més capes de dependència, més riscos potencials de seguretat s’hi afegeixen. I si Google o Apple modifiquen polítiques, eliminen serveis o hi ha una vulnerabilitat sistèmica, els mecanismes de verificació d’identitat dels diferents països es veuran obligats a aturar-se en cadena.

L’organització neerlandesa sense ànim de lucre Waag Futurelab també s’hi ha sumat. En un article titulat «European digital ID wallets are a gift to Google and Apple», diu explícitament que aquestes carteres depenen de l’API Google Play Integrity i dels mecanismes de certificació de dispositius d’Apple, convertint els governs en executors de polítiques de plataformes privades; Waag també assenyala que el disseny de l’API Google Play Integrity podria contradir el Reglament de Mercats Digitals (DMA) de la UE, pensat per prevenir els monopolis d’empreses grans.

Investigador de ciberseguretat: trenca un PIN d’app en 2 minuts

També s’ha posat sobre la taula el model d’amenaça. Un comentari pregunta directament: per evitar que persones malintencionades facin una intrusió remota al dispositiu i robin el testimoni de «major d’edat» per navegar per llocs per a adults, val la pena encadenar tot el sistema a una certificació de maquinari? Hi ha qui també qüestiona per què cal que la verificació d’edat es faci necessàriament com una app nativa; amb una Web App moderna juntament amb l’API de Digital Credentials també es pot aconseguir el mateix efecte.

Les crítiques no són infundades. Un investigador de ciberseguretat ha provat que, en dispositius Android, n’hi ha prou d’editar un fitxer de preferències de text pla: eliminar l’entrada del PIN encriptat, desactivar el valor booleà de reconeixement biomètric i, en menys de 2 minuts, es pot restablir el PIN de l’app i desactivar l’inici de sessió biomètric. A més, les credencials emmagatzemades encara es poden recuperar completament; un altre investigador ha replicat aquesta vulnerabilitat i ha registrat més problemes, incloent l’emmagatzematge no encriptat de dades personals.

La exclusivitat imposada també ha generat malestar. Els desenvolupadors indiquen que els usuaris que no tinguin instal·lat cap programari de Google o Apple, així com les persones que usen sistemes de-Googled (com GrapheneOS, e/OS), probablement quedaran directament exclosos del servei d’identitat digital; com a precedent, el cas de la cartera italiana (Italian Wallet) del passat, quan la integració de Play Integrity va fallar, també s’ha citat repetidament com a advertiment.

Cada país fa el seu camí: Països Baixos i Itàlia ho accepten tot, Suïssa diu que no

L’actitud dels governs no és uniforme. Països Baixos i Itàlia, actualment, adopten Google Play Integrity sense condicions; Suïssa, en canvi, per consideracions de protecció de dades, sobirania de les dades i llibertat d’elecció de l’usuari, ha optat pel mecanisme de certificació integrat a Android, abandonant directament Play Integrity.

El costat dels proveïdors també ha intentat apagar el foc. L’empresa proveïdora d’apps de verificació d’edat Scytales ha manifestat que la comprovació d’integritat de l’app de verificació d’edat de la UE no dependrà de Google o Apple. També l’ecosistema de codi obert ha proposat alternatives: «Unified Attestation», impulsat per Volla Systeme GmbH, que aposta per tokens d’integració de curta durada i verificació offline, i que pot coexistir amb Play Integrity; alguns comentaris el veuen com una solució de compromís.

Diverses persones que es presenten com a professionals de ciberseguretat han dit directament que és un «malson de privacitat i seguretat»; també hi ha veus més radicals que s’oposen fins i tot a qualsevol sistema de verificació d’edat o comprovació d’identitat en línia. Tot i això, el que és segur és que el procés de definició de l’especificació de la cartera d’identitat digital de la UE s’ha considerat tradicionalment com un model global; un cop quedi tancada la integració de Google Play Integrity, és probable que acabi sent un fet consumat que altres països utilitzaran com a referència. Aquesta protesta, molt probablement, només serà l’inici.

AAPL-0,78%
Ver original
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
  • Recompensa
  • Comentar
  • Republicar
  • Compartir
Comentar
Añadir un comentario
Añadir un comentario
Sin comentarios
  • Fijado