Carteiras digitais de identidade da UE para verificação de idade deverão ser associadas ao Google e à Apple, surgem críticas do GitHub

A especificação de verificação de idade da carteira de identidades digitais da UE (EU Digital Identity Wallet) planeia integrar todo o fluxo de verificação de autenticidade da app e dos dispositivos com a Google Play Integrity API e com a Apple App Attestation; após a notícia, a discussão oficial no GitHub foi imediatamente inundada, e a comunidade de programadores ficou praticamente unânime na oposição.

Razões da oposição dos programadores: a Yivi holandesa já tem uma alternativa verificada, e a ligação obrigatória viola dois princípios-chave

De acordo com as mensagens na discussão do GitHub, os três argumentos centrais dos opositores são os seguintes:

A Yivi holandesa já disponibilizou uma solução que não depende do Google: a app de identidade holandesa Yivi (anteriormente IRMA) consegue concluir a verificação de idade sem depender de serviços do Google, e já está publicada na loja de código aberto F-Droid, provando diretamente que a integração com a Play Integrity não é, tecnicamente, uma condição necessária.

A especificação contradiz-se: a especificação da carteira de identidades digitais da UE define três princípios próprios e, ao impor em simultâneo a ligação aos serviços privados de verificação do Google e da Apple, viola tanto o princípio da «interoperabilidade» como o princípio dos «padrões abertos».

Questões de soberania digital: os serviços governamentais não devem depender de serviços externos de terceiros; se o Google ou a Apple ajustarem políticas, retirarem serviços ou ocorrerem vulnerabilidades sistémicas, os mecanismos de verificação de identidade de vários países serão forçados a parar.

Um investigador de segurança quebra o PIN da app em 2 minutos

De acordo com o relato, um investigador de segurança testou e descobriu que, em dispositivos Android, basta editar um único ficheiro de preferências em texto puro, remover as entradas do PIN encriptado e desligar o valor booleano da biometria; em menos de 2 minutos é possível redefinir o PIN da app, desligar o login com biometria, e as credenciais guardadas ainda podem ser extraídas na íntegra; outro investigador reproduziu esta vulnerabilidade e registou mais problemas, incluindo o armazenamento de dados pessoais sem encriptação.

Estas falhas de segurança foram usadas por parte das mensagens para questionar: para evitar ataques remotos, valerá a pena ligar todo o sistema de forma rígida à autenticação em hardware? Alguns programadores também questionaram a necessidade de fazer a verificação de idade numa app nativa; com uma Web App moderna e a Digital Credentials API, o mesmo objetivo pode ser atingido.

A Holanda e a Itália adotam a Google Play Integrity

De acordo com o relato, a atitude dos governos face a este mecanismo não é uniforme: a Holanda e a Itália, atualmente, adotam a Google Play Integrity sem condições; a Suíça, por sua vez, por causa de preocupações com proteção de dados, soberania de dados e liberdade de escolha do utilizador, mudou para o mecanismo de autenticação embutido no Android, deixando a Play Integrity de lado.

Quanto a alternativas, o fornecedor de apps de verificação de idade Scytales declarou que as verificações de integridade da sua app de verificação de idade na UE não dependem do Google nem da Apple; a «Unified Attestation» lançada pela Volla Systeme GmbH disponibiliza tokens de integração de curta duração e funcionalidades de verificação offline, e pode coexistir com a Play Integrity, sendo vista por parte das mensagens como uma solução de compromisso.

Perguntas frequentes

Por que razão os programadores se opõem à carteira de identidades digitais da UE com ligação à Google Play Integrity?

De acordo com a discussão do GitHub, as principais razões incluem: a app holandesa Yivi já conclui a verificação de idade sem depender dos serviços do Google, provando que existe uma alternativa; a ligação obrigatória viola os princípios definidos pela UE para a especificação, nomeadamente «interoperabilidade» e «padrões abertos»; e o risco de soberania digital se os serviços governamentais dependerem de políticas de plataformas de empresas privadas.

O aviso da Waag Futurelab no âmbito da DMA a que se refere, de forma concreta?

De acordo com o relato, a organização sem fins lucrativos holandesa Waag Futurelab alerta no seu artigo que o desenho da Google Play Integrity API pode transformar os governos em executores das políticas de plataformas de empresas privadas, e que o seu desenho pode contrariar o Regulamento da UE «Digital Markets Act» (DMA), cujo objetivo é impedir a monopolização por grandes empresas.

Qual é a diferença entre as posições dos vários países face à integração da Google Play Integrity?

De acordo com o relato, a Holanda e a Itália adotam, sem condições, a Google Play Integrity; já a Suíça, com base em preocupações com proteção de dados, soberania de dados e liberdade de escolha do utilizador, alterou para o mecanismo de autenticação embutido no Android e abandonou a Play Integrity.

Aviso legal: As informações contidas nesta página podem provir de fontes externas e têm caráter meramente informativo. Não refletem os pontos de vista nem as opiniões da Gate e não constituem qualquer tipo de aconselhamento financeiro, de investimento ou jurídico. A negociação de ativos virtuais envolve um risco elevado. Não se baseie exclusivamente nas informações contidas nesta página ao tomar decisões. Para mais detalhes, consulte o Aviso legal.
Comentar
0/400
Nenhum comentário