Розробники GrapheneOS висловили занепокоєння щодо зростаючого впливу Google та Apple на екосистему мобільних операційних систем та вебсервісів. На їхню думку, ці технологічні гіганти поступово обмежують можливості для альтернативних платформ, створюючи непрозорі бар’єри для доступу до застосунків та сервісів.
Критика API для перевірки цілісності
У серії публікацій на платформі X, команда GrapheneOS детально розкритикувала такі інструменти, як Google Play Integrity API, Apple App Attest API та Privacy Pass. Заявляється, що хоча ці системи позиціонуються як заходи безпеки, насправді вони надають Apple та Google потужні важелі контролю над тим, яке обладнання та програмне забезпечення можуть взаємодіяти з певними застосунками та вебсервісами. GrapheneOS особливо наголошує на вимогах Google щодо апаратної атестації. Зокрема, для рівня Strong Integrity у Play Integrity API вже потрібна така перевірка, і Google поступово поширює її на Device Integrity – більш поширений рівень перевірки. Apple, зі свого боку, вже зробила апаратну атестацію обов’язковою у своєму App Attest API.
Вплив на конкуренцію та блокування GrapheneOS
Розробники GrapheneOS вважають, що подібні механізми призведуть до поступового витіснення конкурентів серед розробників мобільних ОС та виробників пристроїв. Особливе обурення викликає той факт, що Google Play Integrity API фактично блокує роботу самого GrapheneOS, хоча, як стверджують розробники, їхня операційна система є більш безпечною порівняно з деякими офіційно сертифікованими версіями Android.
Privacy Pass та майбутні вебсервіси
Критика також торкнулася Apple Privacy Pass, який інтегрує апаратну атестацію у веб-середовище. GrapheneOS припускає, що Google також планує впровадити аналогічні підходи для своїх популярних вебсервісів, таких як reCAPTCHA.
Нова система reCAPTCHA Mobile Verification
Згадується також нова система Google reCAPTCHA Mobile Verification. Ця система може вимагати підтвердження автентичності користувача за допомогою сертифікованого смартфона на Android або iPhone для проходження CAPTCHA на настільних платформах, таких як Windows або Linux. Для цього користувачам пропонується сканувати QR-код за допомогою свого мобільного пристрою. GrapheneOS стверджує, що Google таким чином отримує можливість фактично вимагати наявність iPhone або сертифікованого Android-пристрою для доступу до певних вебсайтів та сервісів. Такий підхід, на думку проєкту, є антиконкурентним.
Вимоги банків та державних установ
Окремо розробники GrapheneOS зазначають, що урядові установи та банківські організації все частіше вимагають використання App Attest та Play Integrity для здійснення цифрових платежів, перевірки віку, використання цифрових документів та доступу до державних сервісів. За словами GrapheneOS, такі вимоги вже активно просуваються в Європейському Союзі.
Вердикт ІТ-Блогу: Варто уважно стежити за розвитком подій, особливо якщо ви використовуєте альтернативні операційні системи або стурбовані зростанням контролю над доступом до цифрових сервісів.
Дізнатися більше на: mezha.ua