L’Europa vuole un’alternativa open source a Google Play Integrity

Il controllo dell’integrità dei dispositivi Android rappresenta oggi un elemento chiave per molte applicazioni “delicate”, in particolare quelle che interagiscono con servizi bancari, identità digitali e sistemi di pagamento mobile. In Europa sta prendendo forma un’iniziativa che punta a ridefinire questo meccanismo: un consorzio industriale guidato dall’azienda tedesca Volla Systeme sta lavorando a una soluzione open source concepita come alternativa alla tecnologia di verifica utilizzata da Google. L’obiettivo dichiarato è consentire l’esecuzione di applicazioni critiche anche su dispositivi che non integrano i servizi proprietari del colosso di Mountain View, mantenendo allo stesso tempo un livello di sicurezza verificabile.

Android fu distribuito nel 2007 come sistema operativo open source, ma molte componenti centrali sono diventate progressivamente proprietarie, in particolare i servizi integrati nei dispositivi certificati. Nel corso degli anni questi componenti hanno assunto un ruolo determinante nel determinare quali applicazioni possano funzionare correttamente su uno smartphone. Tra questi spicca il sistema di attestazione dell’integrità del dispositivo, Google Play Integrity (ex SafetyNet), utilizzato da numerose app finanziarie e governative per verificare lo stato di sicurezza dell’ambiente Android.

Il ruolo di Google Play Integrity per le app Android più critiche

Molti sviluppatori di app critiche basano i propri controlli su Google Play Integrity API, un’interfaccia che consente di verificare se il dispositivo soddisfa determinati requisiti di sicurezza.

Il servizio analizza diversi fattori, tra cui la presenza dei servizi Google ufficiali, lo stato del bootloader, l’eventuale presenza di modifiche al sistema operativo e la validità della firma del firmware. In pratica l’API restituisce un attestato crittografico che indica se il dispositivo può essere considerato affidabile per l’esecuzione di operazioni importanti.

Il modello deriva dall’evoluzione di un sistema precedente, SafetyNet Attestation, introdotto per contrastare rooting, firmware modificati e ambienti di esecuzione potenzialmente compromessi.

La verifica sfrutta una combinazione di controlli software e hardware, tra cui meccanismi di attestazione supportati da componenti come Trusted Execution Environment (TEE) o moduli hardware di sicurezza integrati nei chipset moderni. L’applicazione riceve una risposta firmata da Google e decide se consentire o bloccare l’esecuzione di determinate funzioni.

Il risultato pratico è che molti servizi digitali non funzionano su dispositivi privi dei servizi Google oppure su sistemi Android alternativi. Smartphone con firmware personalizzati, distribuzioni privacy-oriented o versioni Android completamente libere spesso non superano il controllo di integrità.

Ciò limita fortemente la possibilità di utilizzare app bancarie o wallet digitali in ambienti che non fanno parte dell’infrastruttura ufficiale di Google.

Un consorzio europeo per una verifica di integrità open source

Il nuovo progetto promosso da Volla Systeme punta a costruire un meccanismo di attestazione aperto e verificabile. Ha già un nome: si chiama Unified Attestation.

L’idea centrale consiste nello sviluppare una tecnologia che permetta alle applicazioni di controllare l’integrità del dispositivo senza dipendere da servizi proprietari. Il sistema dovrebbe fornire funzionalità analoghe a quelle offerte dall’attuale API di Google, ma con codice accessibile pubblicamente e con la possibilità per diversi attori di implementare l’infrastruttura.

Secondo le informazioni diffuse nelle prime fasi del progetto, il consorzio intende definire una piattaforma che consenta di verificare se un dispositivo Android soddisfa determinati criteri di sicurezza prima di autorizzare operazioni come pagamenti, accesso a identità digitali o servizi pubblici.

Un elemento rilevante riguarda la trasparenza del codice. Un’implementazione open source permette a ricercatori e sviluppatori di esaminare i meccanismi di sicurezza utilizzati per la verifica dell’integrità. L’analisi pubblica riduce il rischio di controlli opachi o decisioni unilaterali da parte di un singolo fornitore di piattaforma, aspetto spesso criticato nel modello attuale.

Compatibilità con Android alternativi e servizi senza Google

La proposta si inserisce in una lunga serie di tentativi di ridurre la dipendenza dai servizi proprietari di Google nel mondo Android. Progetti come microG hanno già dimostrato che molte API dei servizi Google possono essere replicate tramite implementazioni open source compatibili.

microG, ad esempio, riproduce diverse interfacce dei Google Play Services per consentire alle applicazioni di funzionare anche su sistemi Android privi dei componenti ufficiali.

Un meccanismo di attestazione aperto potrebbe facilitare ulteriormente lo sviluppo di distribuzioni Android indipendenti, tra cui piattaforme orientate alla privacy o firmware personalizzati.

In molti casi questi sistemi offrono aggiornamenti più rapidi o controlli più rigorosi sui dati personali, ma incontrano ostacoli quando devono interagire con applicazioni che richiedono i servizi Google.

Le sfide tecniche di un sistema di attestazione aperto

Realizzare un’alternativa credibile non è un compito semplice. I sistemi di attestazione dell’integrità combinano numerosi elementi tecnici: verifica delle firme del firmware, analisi dello stato del sistema operativo, controlli hardware e validazione remota tramite server fidati. Una soluzione open source dovrà offrire meccanismi equivalenti per impedire che dispositivi compromessi possano aggirare i controlli.

Uno dei punti più delicati riguarda la gestione delle chiavi crittografiche e delle attestazioni hardware. Molti smartphone moderni integrano moduli di sicurezza che permettono di generare prove crittografiche sull’integrità del sistema. Il nuovo progetto dovrà definire modalità standardizzate per raccogliere queste prove e trasmetterle alle applicazioni in modo verificabile.

Un altro aspetto riguarda l’interoperabilità tra diversi produttori di dispositivi e fornitori di servizi. Le app che oggi utilizzano Google Play Integrity ricevono risposte firmate da un’infrastruttura centralizzata. In un modello aperto, più entità potrebbero gestire nodi di verifica o sistemi di certificazione, con la necessità di stabilire standard comuni per evitare frammentazione o incompatibilità.

La critica di GrapheneOS all’iniziativa Unified Attestation

Il progetto europeo non ha ricevuto soltanto consensi. Tra le critiche più dure figura quella del team di GrapheneOS, una distribuzione Android open source orientata alla sicurezza che sviluppa un sistema operativo indipendente compatibile con i dispositivi Pixel. GrapheneOS integra numerose modifiche al codice Android Open Source Project (AOSP) per rafforzare isolamento delle applicazioni, protezioni della memoria, gestione dei permessi e meccanismi di sandboxing.

Gli sviluppatori del progetto hanno espresso una forte opposizione all’iniziativa Unified Attestation, sostenendo che l’idea di replicare il modello di attestazione utilizzato da Google rischia di perpetuare gli stessi problemi.

Secondo GrapheneOS, sistemi di questo tipo permettono a specifici produttori o gruppi industriali di decidere quali dispositivi o sistemi operativi possano eseguire determinate applicazioni, creando una barriera artificiale per altre piattaforme.

Il team del sistema operativo Android sicuro ritiene che il problema principale non sia l’origine geografica della tecnologia, ma il modello stesso basato su attestazioni controllate da soggetti privati. Dal loro punto di vista un’infrastruttura europea che selezioni i dispositivi autorizzati aumenterebbe il rischio di ridurre concorrenza e libertà degli utenti.

Gli sviluppatori sostengono inoltre che la verifica dell’integrità dovrebbe basarsi su standard tecnici pubblici definiti da autorità indipendenti. In tale scenario qualunque sistema operativo o produttore potrebbe ottenere certificazioni di sicurezza rispettando criteri trasparenti, senza dipendere dall’approvazione di un singolo fornitore di piattaforma o di un consorzio industriale.