EU-Altersverifikation: Google-Abhängigkeit bei offizieller App wird diskutiert

Die Europäische Union entwickelt aktuell eine Whitelabel-App zur Altersverifikation, die von den Mitgliedsstaaten übernommen und angepasst werden soll. Der Quellcode ist auf GitHub öffentlich zugänglich und kann eingesehen werden. Aktuell gab es einige Diskussionen um die App, denn die Empfehlungen wurden von vielen kritisiert.

Ein kritischer Punkt in den Empfehlungen zeichnete sich bei der geplanten Implementierung der Remote-Attestation-Funktion ab. Diese soll sicherstellen, dass die App authentisch ist und auf einem vertrauenswürdigen Betriebssystem läuft. Die Definition von „vertrauenswürdig“ ist hier eng an Google gekoppelt: Das Betriebssystem muss von Google lizenziert sein, die App muss über den Play Store installiert werden und die Sicherheitsprüfungen des Geräts müssen bestanden werden.

Die Entwickler setzen in ihren Empfehlungen auch auf Googles „Play Integrity“ anstelle der Standard-Android-Attestation. Dies könnte zu einer starken Abhängigkeit von Google-Diensten führen. Alternative Android-Systeme, wie GrapheneOS, würden dann anscheinend ausgeschlossen, selbst wenn sie die technischen Anforderungen erfüllen würden. Auch selbst kompilierte Versionen der App könnten eventuell nicht funktionieren, da sie nicht aus dem Play Store stammen. Die Altersverifikationsdienste werden solche Installationen ablehnen.

Die Problematik wurde bereits länger in den GitHub-Issues des Projekts thematisiert. Immerhin hat man mittlerweile reagiert, man gab an, die Readme so angepasst zu haben, dass nur noch auf die OWASP-MASVS-Konformität (Mobile Application Security Verification) hingewiesen wird. Das reicht einigen allerdings nicht, aktuell wird gefordert, dass explizit darauf hingewiesen werden soll, dass die App keine Play Integrity erfordern darf.

Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.