Unter Führung der deutschen Volla Systeme GmbH planen europäische Hersteller eine Open-Source-Alternative zu Google Play Integrity. Ein erstes Arbeitstreffen unter Teilnahme von Volla, Murena und der e-Foundation sowie Iodé und Apostrophy fand am 13. Februar statt. Mit der Initiative soll die Abhängigkeit von einem einzelnen US‑Konzern verringert werden. Ziel ist es, diese Industrieinitiative als offenes Kooperationsformat unter dem Dach der Eclipse Foundation zu etablieren.
Was ist Google Play Integrity?
Google Play Integrity ist eine von Google bereitgestellte Schnittstelle für Android‑Apps, mit der Entwickler überprüfen können, ob eine App auf einem zertifizierten Android‑Gerät läuft, aus dem offiziellen Google Play Store installiert und nicht manipuliert wurde.
Für viele Nutzer bedeutet Play Integrity, dass Apps auf Custom‑ROMs, de-Googled OS, stark modifizierten oder gerooteten Geräten blockiert oder eingeschränkt werden können, weil diese Umgebungen als nicht vertrauenswürdig eingestuft werden. Die Einschränkungen betreffen private Nutzer ebenso wie Regierungsstellen, wobei es vorwiegend um oft essenzielle Apps für Identitätsnachweis, Banking- sowie Behördensoftware oder digitale Wallets geht.
UnifiedAttestation als Alternative
Da eine solche Zertifizierung jedoch ausschließlich für Googles eigenes, proprietäres Stock Android angeboten wird, ist dies ein Ausschlusskriterium für alternative Betriebssysteme auf Android-Basis. Diesem Zustand möchte die Initiative mit einem alternativen Modell unter dem Projektnamen UnifiedAttestation abhelfen.
Mit UnifiedAttestation schaffen wir ein transparentes und vertrauenswürdiges Verfahren für die Sicherheitsprüfung, auf die Entwickler und Herausgeber von Apps gleichermaßen vertrauen können. Damit beseitigen wir die letzte Hürde für die Verwendung alternativer mobiler Betriebssysteme.
Dr. Jörg Wurzer, Geschäftsführer der Volla Systeme GmbH und Initiator des Konsortiums
UnifiedAttestation sieht eine modulare Architektur mit drei zentralen Elementen vor:
- Ein Betriebssystem-Dienst, der mit wenigen Codezeilen in Apps integriert werden kann. Apps können darüber eine Anfrage stellen, ob das jeweilige Betriebssystem definierte Sicherheitsanforderungen erfüllt.
- Ein dezentral betriebener Validierungsdienst, der prüft, ob das Zertifikat eines Betriebssystems auf dem betreffenden Gerät gültig ist.
- Eine offene Test-Suite, die zur Prüfung und Zertifizierung eines Betriebssystems für ein konkretes Gerätemodell dient.
Quelloffen unter Apache-Lizenz
Eine Basisversion wurde auf dem ersten Treffen bereits vorgestellt. Die Software wird quelloffen entwickelt und unter einer liberalen Apache 2.0 Lizenz veröffentlicht. Sie kann damit auch in kommerziellen Produkten ohne Lizenzkosten eingesetzt werden.
Weitere europäische und ein führender Hersteller aus Asien sowie europäische Stiftungen wie die deutsche UBports-Stiftung haben Interesse an der Unterstützung angemeldet. Erste Entwickler und Herausgeber staatlicher Apps aus Skandinavien prüfen zudem, das neue Verfahren einzusetzen.
Parallel zum Projektstart sucht Volla Systeme bereits erste App-Entwickler und Herausgeber, die UnifiedAttestation als Early Adopter einsetzen. Gespräche mit Entwicklern von ID- und Verwaltungs-Apps laufen bereits. Auch auf politischer Ebene besteht im Rahmen der Bestrebungen zu digitaler Souveränität Interesse an einer europäischen, transparenten Lösung.
Kritik von GrapheneOS
Im Gegensatz dazu hält GrapheneOS die Initiative für keine gute Idee. Die Entwickler lehnen UnifiedAttestation strikt ab und fordern App-Entwickler auf, es zu meiden. Sie sehen darin ein anti-kompetitives System, das Hersteller wie Volla, Murena und iodé nutzen, um ihre eigenen Geräte zu bevorzugen und andere OS wie GrapheneOS auszuschließen. Ähnlich wie Play Integrity erlaube es Firmen, zu entscheiden, welche OS für Apps nutzbar sind. Statt neuer zentraler Systeme fordern sie Regulierung von Play Integrity und faire, kostenlose Zertifizierungsstandards für alle – auch für kleinere Projekte.
GraphenOS mahnt hier zu Recht, denn im Grunde wäre es staatliche Pflicht Monopole zu verhindern und für faire Standards für alle Marktteilnehmer zu sorgen.
Unverständlich ist jedoch, dass dies GraphenOS erst dann einfällt, wenn eine offene Alternative zu Play Integrity geschaffen werden soll.
Warum schreibt ihr nicht einfach einen Artikel und teilt den auf gnulinux und linuxnews.
Manches mal verstehe ich das nicht!
Wenn wir schon beim Thema sind: Volla unterstützt ja auch die UBports Foundation und Ubuntu Touch, wird die Zertifizierung auch für Ubuntu Touch Software und den Open Store verfügar sein. Vielleicht als Opt-in?
In der News habe ich geschrieben, dass die UBports-Foundation interessiert ist. Die entwickeln Ubuntu Touch.
Klingt prinzipiell mal gut. Die Kritik von GrapheneOS kann ich zwar auch verstehen, allerdings ist so eine Zertifizierung anders kaum möglich.
Wer benutzt am PC mit Linux nur auf ähnliche Weise zertifizierte Software? Canonical ist mit Snap zwar nicht mehr so weit entfernt davon aber soweit geht man bei Ubuntu nicht. Aber was ja nicht ist kann ja noch werden, schöne neue Welt!
Zertifiziert wird hier eigentlich das OS. Auf Desktops macht man das nicht, auf Android ist diese Möglichkeit aber vorhanden und da gibt es nun mal Apps, die den Dienst verweigern, wenn sie kein original Google-Android vorfinden. Durch solche Zertifizierungsprogramme könnte man die App-Anbieter dann womöglich dazu bringen, bestimmte Alternativen auch zu erlauben.