Європейський галузевий консорціум розпочав розробку відкритої альтернативи Google Play Integrity — механізму безпеки, який визначає, чи можуть банківські, державні та платіжні застосунки працювати на Android-пристрої. Ініціатива має спростити використання смартфонів із альтернативними операційними системами без сервісів Google.
Проєкт очолює німецька компанія Volla Systeme GmbH. До консорціуму також увійшли розробник мобільної операційної системи /e/OS компанія Murena, французька компанія Iodé та швейцарська Apostrophy. Учасники планують створити відкриту систему перевірки безпеки під назвою UnifiedAttestation.
За словами ініціаторів проєкту, нинішня система Google Play Integrity перевіряє, чи працює застосунок на пристрої з офіційною версією Android і сервісами Google. Саме через цю перевірку багато застосунків із чутливих сфер — зокрема банкінгу, цифрових гаманців або ідентифікації — відмовляються запускатися на смартфонах із альтернативними операційними системами.
Це створює серйозні обмеження для Android-пристроїв без Google-сервісів, таких як /e/OS або інші custom ROM, оскільки вони не проходять перевірку Play Integrity. У результаті користувачі таких систем часто не можуть використовувати банківські або державні застосунки.
У Volla вважають, що така модель формує структурну залежність від екосистеми Google. Оскільки перевірка безпеки прив’язана до сервісів компанії та її дата-центрів, альтернативні Android-системи фактично опиняються поза підтримкою ключових застосунків.
Учасники консорціуму називають це «парадоксом безпеки»: перевірку довіри до системи здійснює саме та компанія, екосистеми якої альтернативні операційні системи намагаються уникати.
Щоб вирішити проблему, консорціум планує створити відкриту систему UnifiedAttestation для мобільних операційних систем, заснованих на Android Open Source Project (AOSP).
Архітектура UnifiedAttestation передбачає три ключові компоненти. Перший — це системний сервіс операційної системи, який застосунки зможуть використовувати для перевірки відповідності системи вимогам безпеки. Інтеграція, за задумом розробників, вимагатиме лише кількох рядків коду.
Другий компонент — децентралізований сервіс перевірки. Він має підтверджувати, що операційна система на конкретному пристрої має чинний сертифікат безпеки.
Третій елемент — відкрита тестова система для перевірки та сертифікації операційних систем на конкретних моделях смартфонів або планшетів.
Крім того, консорціум планує запровадити механізм peer review, у межах якого учасники зможуть перевіряти та сертифікувати операційні системи й пристрої один одного. Такий підхід має підвищити прозорість процесу і зробити перевірку безпеки публічно перевірюваною.
UnifiedAttestation планують розробляти як open-source проєкт із відкритою архітектурою. За аналогією з Android Open Source Project система може бути опублікована під ліцензією Apache 2.0.
Ініціатори також планують розвивати проєкт як галузеву ініціативу під егідою Eclipse Foundation — однієї з найбільших open-source організацій у Європі. Попередні переговори щодо цього вже розпочалися.
За даними Volla, інтерес до проєкту вже проявили європейський виробник смартфонів і один із великих азійських виробників, а також організації на кшталт німецької UBports Foundation. Крім того, розробники урядових застосунків зі Скандинавії розглядають можливість використання нової системи як ранні учасники.
Це важлива новина для Android-екосистеми, оскільки вона може змінити ситуацію з використанням альтернативних операційних систем без сервісів Google. Якщо UnifiedAttestation отримає підтримку розробників застосунків, користувачі custom ROM зможуть використовувати банківські, державні та платіжні сервіси без залежності від Google Play Integrity. Ініціатива також вписується в ширший європейський тренд цифрового суверенітету та розвитку відкритих технологій.
Читайте на ProIT: Нові правила Google Play: менші комісії, власні платежі розробників і реєстрація сторонніх магазинів.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
