Zuviel Google: Kritik an Altersverifikationssystem für Android

Die EU arbeitet an einer Plattform zur Altersverifikation unter anderem für iOS und Android. Die Umsetzung der European Digital Identity (EUID) für Android steht seit der Veröffentlichung des Quellcodes und der Dokumentation auf Github in der Kritik, da sie alternative Android-Varianten außen vor lässt und zu sehr auf Google-Dienste setzt.

Altersverifikation nur für Android-Geräte mit Google-Diensten

Die erste Android-Version setzt bei der Altersverifikation auf Googles Play-Integrity-API. Diese Schnittstelle ist indes nur in von Google lizenzierten Systemen verfügbar. Zudem müssten genutzte Apps aus dem Play-Store heruntergeladen werden, für den ein Google-Konto erforderlich ist.

Zwar handelt es sich laut den Entwicklern um einen ersten Anlauf, der „ausschließlich zur Demonstration des Ablaufs“ entwickelt wurde. Allerdings machen schon jetzt einige Entwickler darauf aufmerksam, dass der Ansatz zum einen alternative Android-Versionen wie LineageOS oder GrapheneOS damit ausgegrenzt werden, zum anderen verstoße die derzeitige Lösung gegen die Auflagen der EU.

Es ginge und müsste auch ohne Google

Wie Daniel Micay, Sicherheitsforscher und -Entwickler für GrapheneOS auf Github festhält, gebe es mit der Hardware-Attestation-API bereits ”eine viel stärkere Schnittstelle“ als die Play-Integrity-API. Diese ist auch von alternativen Android-Versionen nutzbar und es entfalle eine „unnötige Abhängigkeit von den Google Play-Diensten und den Play-Integrity-Services von Google”.

Laut Micay ist die Hardware-Attestierungs-API auf allen Geräten verfügbar, die mit Android 8 oder neuer auf den Markt gebracht wurden und noch Sicherheits-Patches erhalten. Der Entwickler hält die Hardware-API überdies für sicherer als die softwarebasierte Play-Integrity-API, die leichter umgangen werden könne.

Unterstützung hält Micay von der Entwicklerin der Karten-App Catima, Sylvia van Os: Sie stellt vor allem die Vertiefung der „Abhängigkeit von amerikanischen Tech-Giganten bei der Altersüberprüfung“ in Frage. In einem weiteren Thread halten Entwickler unter anderem den Google-Konto-Zwang für ein Open-Source-Projekt für inakzeptabel.

Die bisherige Entwicklungs-Lösung dürfte oder müsste im Grunde unweigerlich zugunsten alternativer Android-Versionen geändert werden. Denn ein elementarer Bestandteil der Auflagen für die Entwicklung ist der EU-Webseite zum Projekt zufolge die Interoperabilität: „Die Lösung gewährleistet eine nahtlose Integration über verschiedene Gerätebetriebssysteme, Brieftaschenanwendungen und Online-Dienste hinweg.“

Die Entwickler der Lösung haben zwar mittlerweile die Dokumentation angepasst und den Verweis auf die Play-Integrity-API entfernt. Stattdessen wird nun auf OWASP-MASVS-Konformität (Mobile Application Security Verification) verwiesen. Das genüge indes nicht; stattdessen fordern Entwickler, dass deutlich darauf hingewiesen werden müsse, dass für entsprechende Apps keine Play-Integrity-API genutzt werden dürfe.

Die Altersverifikation wird zunächst in den fünf Ländern Frankreich, Spanien, Italien, Dänemark und Griechenland getestet, so Reuters. Die fünf Länder können die Lösung an ihre Bedürfnisse anpassen und sie in eine nationale App integrieren.

(afl)