В ЄС цифровий гаманець вимагає перевірку віку: хочете прив’язати до Google, Apple? Розробники наповнили GitHub, обурюючись приватністю — кошмаром

Єврокомісійна система перевірки віку для цифрового гаманця ідентичності ЄС (EU Digital Identity Wallet) планує прив’язати механізм до Google Play Integrity та Apple App Attestation. Після появи повідомлення офіційне обговорення на GitHub миттєво заповнили майже 300 заперечувальних коментарів; розробники різко розкритикували цей крок за порушення принципу сумісності, налаштованого згідно специфікації.
(Довідка: жорстке попередження ЄС Apple: якщо не розкривати iOS-систему, найсуворіше покарання сягне 20% від глобального виторгу)
(Додаткова довідка: Європа разом запустила платформу цифрового відстеження для протидії COVID-19, але сталося повідомлення, що потай прибрали «децентралізований протокол DP3T»)

Зміст

Toggle

  • Про що сперечаються: суверенітет і відкриті стандарти знову зірвалися
  • Дослідник із безпеки за 2 хвилини обходить App PIN
  • Кожна країна — своїм шляхом: Нідерланди та Італія беруть усе, Швейцарія каже ні

Розроблена ЄС специфікація перевірки віку для цифрового гаманця ідентичності (EU Digital Identity Wallet) має намір прив’язати весь комплект перевірок справжності застосунку та пристрою до Google Play Integrity API та Apple App Attestation. Щойно інформація з’явилася, офіційна гілка обговорення на GitHub миттєво захлинулася, а спільнота розробників майже одностайно кричала: «ні».

Це обговорення під назвою «Do not add Google Play Integrity integration», започаткував розробник TheLastProject; більшість коментарів має дуже просту спільну вимогу: перевірка віку не повинна «зашиватися» в ексклюзивні сервіси двох американських технологічних гігантів.

Про що сперечаються: суверенітет і відкриті стандарти знову зірвалися

Перший аргумент противників — нідерландський застосунок для ідентифікації «Yivi» (колишній IRMA). Цей застосунок уже давно здатен виконувати перевірку віку повністю без залежності від сервісів Google; він навіть може бути розміщений в відкритому магазині F-Droid, що напряму доводить: інтеграція Play Integrity не є технічно необхідною умовою.

Другий аргумент — специфікація сама собі суперечить. Специфікація цифрового гаманця ідентичності ЄС встановлює три головні принципи; примусова прив’язка до приватних сервісів Google та Apple означає, що водночас порушуються обидві позиції — «взаємна сумісність» і «відкриті стандарти». Розробники ставлять під сумнів: офіційна специфікація, яка претендує на відкритість, як могла дійти до ситуації, коли визнаються лише дві американські компанії?

Третій аргумент — цифровий суверенітет. У багатьох коментарях підкреслюють, що урядові сервіси не мають покладатися на зовнішніх сторонніх провайдерів; щоразу, коли з’являється ще один рівень залежності, з’являється ще цілий пакет потенційних ризиків для безпеки. Якщо Google або Apple змінять політики, приберуть сервіси чи станеться системна вразливість, механізми підтвердження ідентичності в різних країнах будуть змушені «впасти разом», зупинившись.

Нідерландська некомерційна організація Waag Futurelab також долучилася до боротьби. У статті «European digital ID wallets are a gift to Google and Apple» вона прямо заявляє, що ці гаманці покладаються на Google Play Integrity API та механізм сертифікації пристроїв Apple, фактично перетворюючи уряд на виконавця політик приватної компанії на платформі; Waag ще й окреслює, що така конструкція Google Play Integrity API може суперечити Директиві ЄС «Законом про цифрові ринки» (DMA), яка спрямована на запобігання монополізації з боку великих компаній.

Дослідник із безпеки за 2 хвилини обходить App PIN

Також перевірили модель загроз. У коментарях прямо поставили питання: щоб запобігти віддаленому зламу пристрою з метою викрадення підтвердження «досяг повноліття» для перегляду сайтів для дорослих, чи варто весь комплекс систем прив’язувати до апаратної атестації? Є й ті, хто сумнівається: навіщо робити перевірку віку виключно як нативний застосунок? Адже сучасний Web App у поєднанні з Digital Credentials API теж може досягти такого самого ефекту.

Сумніви не безпідставні. Один дослідник із кібербезпеки під час експерименту з’ясував: на Android достатньо відредагувати файл налаштувань із чистим текстом, видалити запис зашифрованого PIN, вимкнути бінарний (boolean) прапорець біометричного розпізнавання — і менш ніж за 2 хвилини можна скинути App PIN, вимкнути вхід із біометрією, а збережені облікові дані/креденшали все одно можна повністю витягнути; інший дослідник відтворив цю вразливість і зафіксував більше проблем, зокрема незахищене збереження персональних даних у незашифрованому вигляді.

Примусова взаємно-виключна модель також викликала обурення. Розробники зазначили, що користувачі, які не встановили Google або Apple застосунки, і спільнота, що використовує de-Googled системи (наприклад, GrapheneOS, e/OS), імовірно, будуть просто виключені з послуг цифрової ідентичності; італійський гаманець (Italian Wallet) у минулому також згадували як негативний приклад — через провал інтеграції з Play Integrity.

Кожна країна — своїм шляхом: Нідерланди та Італія беруть усе, Швейцарія каже ні

Ставлення урядів різниться. Нідерланди та Італія наразі безумовно застосовують Google Play Integrity; натомість Швейцарія, виходячи з міркувань захисту даних, суверенітету даних і свободи вибору користувачів, переходить до вбудованого в Android механізму сертифікації й прямо відмовляється від Play Integrity.

На боці провайдерів теж виступили, щоб загасити пожежу. Постачальник застосунків для перевірки віку Scytales заявляв, що цілісна перевірка його європейського застосунку для перевірки віку не залежить від Google або Apple. Відкритий табір також запропонував альтернативи: ініціатива Volla Systeme GmbH під назвою «Unified Attestation» робить акцент на короткострокових інтеграційних токенах і офлайн-валідації та може співіснувати з Play Integrity; частина коментарів розглядає це як компромісне рішення.

Кілька людей, які назвали себе фахівцями з кібербезпеки, прямо заявили в обговоренні, що це «кошмар для приватності та безпеки»; є й більш радикальні голоси, які взагалі виступають проти будь-якої системи онлайн-перевірки віку або перевірки ідентичності. Але можна вважати певним: процес створення специфікації для цифрових гаманців ідентичності ЄС доволі часто вважають глобальним шаблоном; щойно інтеграцію Google Play Integrity буде затверджено, вона, ймовірно, стане усталеним фактом для інших держав. Ця хвиля протестів, дуже ймовірно, є лише початком.

AAPL-0,78%
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
  • Нагородити
  • Прокоментувати
  • Репост
  • Поділіться
Прокоментувати
Додати коментар
Додати коментар
Немає коментарів
  • Закріплено