Carteira de identidade digital da UE para verificação de idade deve ser vinculada ao Google e à Apple; surgem objeções do GitHub

A especificação de verificação de idade do EU Digital Identity Wallet (Carteira de Identidade Digital da União Europeia) planeja vincular todo o fluxo de verificação de autenticidade do app e do dispositivo à Google Play Integrity API e ao Apple App Attestation; depois que a notícia vazou, a thread oficial do GitHub foi inundada instantaneamente, e a comunidade de desenvolvedores praticamente ficou totalmente contra.

Motivos da oposição dos desenvolvedores: o Yivi da Holanda já tem alternativas verificadas, e a vinculação forçada viola dois grandes princípios

Com base nos comentários da thread do GitHub, os três principais argumentos dos opositores são:

O Yivi da Holanda já oferece uma solução não-Google: o app de identidade holandês Yivi (antecessor do IRMA) não precisa depender de serviços do Google para concluir a verificação de idade, e já foi publicado na loja de código aberto F-Droid, provando diretamente que a integração com o Play Integrity não é uma condição necessária do ponto de vista técnico.

A especificação se contradiz: a especificação do EU Digital Identity Wallet define três princípios próprios e, ao forçar a vinculação aos serviços privados de Google e Apple ao mesmo tempo, viola os dois princípios de “interoperabilidade” e “padrões abertos”.

Problema de soberania digital: serviços governamentais não deveriam depender de serviços externos de terceiros; se o Google ou a Apple ajustarem políticas, derrubarem serviços ou ocorrer uma vulnerabilidade sistêmica, os mecanismos de verificação de identidade de cada país serão forçados a parar.

Pesquisador de segurança quebra App PIN em 2 minutos

De acordo com a reportagem, um pesquisador de segurança testou e descobriu que, em dispositivos Android, basta editar um arquivo de preferências em texto puro, excluir a entrada do PIN criptografado e desativar o valor booleano de reconhecimento biométrico; em menos de 2 minutos, dá para redefinir o PIN do app, desativar o login biométrico e, ainda assim, as credenciais armazenadas podem ser recuperadas integralmente; outro pesquisador reproduziu essa falha e registrou mais problemas, incluindo armazenamento de dados pessoais sem criptografia.

Esses problemas de segurança foram usados por parte dos comentários para questionar: para impedir invasão remota, vale a pena “amarrar” todo o sistema à autenticação em hardware? Alguns desenvolvedores também questionam por que a verificação de idade precisa ser feita como um app nativo; com Web App moderno junto com a Digital Credentials API, o mesmo resultado pode ser alcançado.

Holanda e Itália adotam o Google Play Integrity

Segundo a reportagem, a postura dos governos dos diferentes países não é uniforme: Holanda e Itália adotam atualmente o Google Play Integrity sem condições; a Suíça, por sua vez, por motivos como proteção de dados, soberania dos dados e liberdade de escolha do usuário, passou a usar o mecanismo de autenticação embutido no Android, abrindo mão do Play Integrity.

Quanto às alternativas, o fornecedor do app de verificação de idade Scytales se pronunciou dizendo que a verificação de integridade do seu app de verificação de idade para a UE não depende de Google ou Apple; o “Unified Attestation”, lançado pela Volla Systeme GmbH, fornece tokens de integração de curta duração e funcionalidade de verificação offline, podendo coexistir com o Play Integrity, e foi visto por parte dos comentários como uma solução de compromisso.

Perguntas frequentes

Por que os desenvolvedores são contra vincular o EU Digital Identity Wallet ao Google Play Integrity?

Com base na thread do GitHub, os principais motivos incluem: o app Yivi da Holanda já conclui a verificação de idade sem depender de serviços do Google, provando que existem alternativas; a vinculação forçada viola os princípios de “interoperabilidade” e “padrões abertos” definidos pela própria especificação da UE; e serviços governamentais que dependem de plataformas de empresas privadas podem gerar riscos de soberania digital.

O alerta de DMA da Waag Futurelab se refere a quê, de forma específica?

De acordo com a reportagem, a organização sem fins lucrativos Waag Futurelab, da Holanda, alerta em seu artigo que o design da Google Play Integrity API pode fazer com que governos atuem como executores das políticas de plataformas de empresas privadas, e que o desenho pode entrar em conflito com a Lei de Mercados Digitais (DMA) da UE, que busca impedir a monopolização por grandes empresas.

Quais diferenças existem nas posições dos países sobre a integração do Google Play Integrity?

De acordo com a reportagem, Holanda e Itália adotam sem condições o Google Play Integrity; já a Suíça, por proteção de dados, soberania dos dados e liberdade de escolha do usuário, troca para o mecanismo de autenticação embutido no Android e abre mão do Play Integrity.

Isenção de responsabilidade: as informações nesta página podem ter origem em fontes terceiras e servem apenas como referência. Não representam as opiniões da Gate e não constituem orientação financeira, de investimentos ou jurídica. A negociação de ativos virtuais envolve alto risco. Não tome decisões baseando-se apenas nas informações desta página. Para mais detalhes, consulte a Isenção de responsabilidade.
Comentário
0/400
Sem comentários