Europese regeringen introduceren digitale ID-wallets, die door burgers kunnen worden gebruikt om toegang te krijgen tot diensten en om hun leeftijd online te verifiëren. Er is echter een probleem: deze portemonnees zijn afhankelijk van beveiligingsdiensten van Google en Apple. Deze staan bekend als de Google Play Integrity API en Apple’s Managed Device Attestation¹. Deze beveiligingsdiensten (ook wel ‘remote attestation’ genoemd) worden gebruikt om te waarborgen dat wallet-apps draaien op hardware die niet is gemanipuleerd. Door deze afhankelijkheden in onze digitale infrastructuur te stoppen, maakt Europa haar samenleving afhankelijk van particuliere bedrijven en dient zij hun bedrijfsbelang.
Dit is het probleem:
De Play Integrity API van Google is niet alleen een beveiligingsfunctie: het versterkt de controle van Google over het Android-ecosysteem.
De Play Integrity API van Google is een goed voorbeeld van hoe grote techplatformbedrijven macht opbouwen. De API is gratis software die Google aan ontwikkelaars geeft om hen te helpen bij het ontwikkelen van apps. Hiermee kunnen ontwikkelaars controleren of een app op een ‘echt gecertificeerd Android-apparaat’ draait, om zo de integriteit van een mobiel apparaat te testen. Dit kan ontwikkelaars helpen bij het verminderen van misbruik door bots, fraude in bankapps of valsspelen in game-apps.
We hebben wel degelijk een keuze. Er bestaat een open alternatief voor Google Play Integrity: de Hardware Attestation API van Android. Deze biedt een veiligheidscontrole op basis van hardware, zonder dat het beleid van het Google-ecosysteem wordt opgelegd. Maar deze mogelijkheid wordt door veel ontwikkelaars genegeerd.
Meer lezen? Ga naar de Engelstalige versie van dit artikel.
