E-legitimation och åldersverifiering. Förlåt. Både långt och lite rörigt. Himla trött. Men viktig fråga för mig. Sammanfattning för den som av förklarliga skäl inte orkar läsa så mycket: Handlar mestadels om nya e-legitimationen. Inlåsning i Apple/Google. Kommer kanske innefatta appen för åldersverifiering också, bli del av kommande e-legitimationen.

Om det här med åldersverifiering ska bli en integrerad del av EU-ländernas e-legitimation, de digitala plånböckerna (just här kommer det kallas "Sverige-id"(1) - det har talats om det (2) - så blir det inlåsning i Google Play och Apples App Store. (3) (4). Om verifiering av ålder också ska gälla sociala medier, eller andra delar av olika tjänster, så blir det också svårt att tala om frivillighet.(5)

Här företaget Yoti som pysslar med åldersverifiering. Osäker var någonstans, kanske Storbritannien. Men person som ville verifiera ålder gentemot någon Sony-tjosan. Använde telefon med operativsystemet GrapheneOS. Yoti sade att de skulle anmäla till "the authorities". Med specifik hänvisning till GrapheneOS. (6). Osäker på vad som menas, men barockt i alla fall. Ytterligare en negativ aspekt av åldersverifiering.

Det bör förresten också tilläggas att förordningen som ligger bakom den digitala identitetsplånboken talar om teknikneutralitet. "Denna förordning bör säkerställa teknikneutralitet, dvs. varken gynna eller diskriminera någon teknik som används för att genomföra den nya betrodda tjänsten för elektroniska liggare." https://eur-lex.europa.eu/eli/reg/2024/1183/oj/swe

"Due to past security concerns, Yoti automatically flags multiple verification attempts and any devices running GrapheneOS. These instances are automatically reported to both the authorities and our security team."

(1) https://polisen.se/tjanster-tillstand/pass-och-nationellt-id-kort/statlig-e-legitimation-sverige-id/

(2) "The Age Verification use case allows citizens to prove they are above a specific age threshold (e.g., over 16, 18, or 21) using a verifiable digital credential stored in their EUDI Wallet."
https://ec.europa.eu/digital-building-blocks/sites/download/attachments/930450954/Use%20Case_Manual_Age%20verification.pdf

(3) Såväl "official app store" som att knyta samman nedladdning på andra sätt med farliga appar. Det bör tydliggöras att det nästan liknar en kopia av de talepunkter från Google-Android/Android GMS där de kopplar samman sin api Play Integrity med säkerhet. Vilket uppenbart är marknadsföring och utestängande. Skapa ett helt slutet ekosystem. Detta borde egentligen vara något för förordningen om digitala marknader, DMA, men av tendenserna att döma så kommer inget alls att hända.

"preferably make their certified Wallet Solutions available for installation via the official app store of the relevant operating system (e.g., Android, iOS)." + "side-loading" + "malicious apps."

https://eudi.dev/1.10.0/architecture-and-reference-framework-main/

Det är förresten EU-kommissionen som ansvarar via generaldirektoratet för kommunikationsnät, innehåll och teknik. De är ordförande för gruppen - European Digital Identity Cooperation Group - som arbetar fram de här referenserna för hur den digitala plånboken ska vara.
https://digital-strategy.ec.europa.eu/en/policies/european-digital-identity-cooperation-group

https://commission.europa.eu/about/departments-and-executive-agencies/communications-networks-content-and-technology_en

Så det går heller inte att säga att det bara är typ "tjänstemän som kör sitt eget race". Det finns en politisk koppling.

(5) Frågor och svar, Myndigheten för digital förvaltning, DIGG.
https://www.digg.se/digitala-tjanster/digital-identitetsplanbok/fragor-och-svar

"Måste alla använda den statliga identitetsplånboken?

Nej, det kommer att vara frivilligt att använda identitetsplånbok"

(4). Personlig kommunikation, e-post, med såväl Polismyndigheten som DIGG. Svaren antyder att det sannolikt enbart kommer att vara möjligt att ladda ner den digitala identitetsplånboken via Apple och Googles appkataloger App Store och Google Play. (Parentes, EU säger "programvarubutiker". Men exempelvis F-Droid är knappast en "butik". Föredrar benämningen "appkatalog" som samlande term. Också parentes: Den speciella implementeringen just här kommer alltså att kallas "Sverige-ID". Det kommer kanske kallas olika i olika EU-länder. Det är en förordning, den reviderade eIDAS-förordningen som ligger bakom att alla EU-länder måste skaffa.)

(6) https://discuss.grapheneos.org/d/36134-grapheneos-user-reported-to-authorities-for-using-grapheneos

#eudiwallet #ageverification #eidas #eidas2 #google #apple #playstore #appstore #integritet #digitalintegritet #lockin #privacy #playintegrity

Recommendations by the EU commission. As mentioned in the document, the so called "Architecture and Reference Framework" should "serve as a basis" for all EU countries implementing the e-wallet (see amended eIDAS regulation, "eIDAS 2.0").

So the basis, regardless of what different EU countries decide, is to have the app locked in the mobile phone duopoly of operating systems, Apple and Google. (Which will automatically include the so called Play Integrity API.)

"6.5.2.2 Wallet Solution authenticity is verified

To ensure that the User can trust the Wallet Solution, Wallet Providers preferably make their certified Wallet Solutions available for installation via the official app store of the relevant operating system (e.g., Android, iOS)."

https://eudi.dev/2.8.0/architecture-and-reference-framework-main/

#eidas #eu #duopoly #playintegrity

Wait, so reCaptcha can now require that you have an iPhone or an Android phone with Google Play Services?

This is really really bad. ​​ And, what's worse, is it seems nobody is talking about it.

For anyone unfamiliar, Apple's App Attest and Google Play Integrity are "hardware attestation" which uses a hardware lockout to verify that you device is 'valid' and not tampered with. It sounds like good security in theory, until you think about it for more than two seconds. It effectively means that, in order to have a 'valid' device, you need to be approved by either Apple or Google. As such, it doesn't work with non-Google Android ROMs like GrapheneOS, /e/, LineageOS, etc. Once your device isn't considered valid by Play Integrity it locks you out of hundreds of apps, effectively giving Google complete monopolistic control over Android.

This change to reCaptcha brings that same monopolistic control to the web. If you thought you could be above the Apple/Google duopoly in some way, congratulations, it's officially impossible. You have to own a Google Play-certified phone or iPhone in order to use the internet in 2026.

For anyone hoping the European Union will step in, I wouldn't hold your breath.

#Google #reCaptcha #GooglePlay #PlayIntegrity

Google’s new QR-based reCAPTCHA ties web verification to Play Integrity and Apple attestation systems instead of traditional CAPTCHA check 🌐
Privacy-focused Android variants like GrapheneOS and LineageOS risk losing access as device approval becomes part of web authentication 🔐

@GrapheneOS
@lineageos

🔗 https://www.heise.de/en/news/Google-s-new-reCAPTCHA-Potential-hurdle-for-Google-free-Android-variants-11288619.html

#TechNews #Google #reCAPTCHA #Captcha #GooglePlay #PlayIntegrity #GrapheneOS #LineageOS #Privacy #OpenWeb #Android #Security #FOSS #Telemetry #Web #Freedom #OpenSource

Good to see a POC that shows how useless security-wise is the Play Integrity:

Android LPE using DRAM bitflip => https://bsky.app/profile/retr0.id/post/3mljtyauw322d

A requirement to get any security protection with the Play Integrity is that attackers can't bypass it on any device.

As soon as an attacker can bypass it, it is possible to distribute app clones (fake banking app) that proxy-pass the Integrity requests to a controlled device, defeating the Play Integrity.

On the other side, how many users are locked-out of critical services because of the Play Integrity? For legit users, any non-trivial workaround is a blocker.

Play Integrity is not about security, but about coercition, Google's tool to impose their conditions: eg. forcing OEM to preinstall their apps, some with privileges (Chrome, Youtube, Play Services, etc)

#Google #PlayIntegrity #Android #LPE

Hatte das Thema die Tage schon. Hat mich halt Zeit gekostet für vglw. ernüchterndes Ergebnis 😶

Banken mit TAN/ #OnlineBanking ohne #AppZwang muss man suchen.
Würde gerne solche Annehmlichkeiten wie Bezahlen mit dem Handy nutzen, oder #AndroidAuto. 👀 Aber halt datensparsam. 💁

Hab intensiv versucht die #PlayIntegrity auszutricksen. Zwecklos 🥲
Install mehrerer #Magisk Module. Dann sowas: Öffnet Link zu #Telegram Channel, gehst zurück und siehst das am Log-Ende 😵

Ausnahmsweise läuft eine App unter #grapheneos nicht, weil angeblich das Betriebssystem nicht sicher sei? 😡

Das kannst du tun: Schreibe 📨 dem App-Hersteller eine Nachricht, er möge doch bitte dafür sorgen, dass seine App GrapheneOS akzeptiert. Und liefere ihm gleich die Anleitung ⬇️ samt Erläuterung dazu.

Anleitung für App-Entwickler und warum es eine gute Idee ist, die 'Standard Android Hardware Attestation API' zu verwenden:

Attestation compatibility guide | Articles | GrapheneOS
https://grapheneos.org/articles/attestation-compatibility-guide

#banking #customrom #playintegrity #android #security

RE: https://wolnoscwkieszeni.pl/unified-attestation-europejski-odpowiednik-play-integrity/

Po dłuższej przerwie na blogu wylądował nowy wpis o Unified Attestation.

Jest to europejski odpowiednik Play Integrity, czyli centralny system atestacji urządzeń. Ta inicjatywa producenta smartfonów Volla jest promowana jako uniezależnienie się od Google. Jednak czy uniezależnienie się od jednej korporacji ma polegać na uzależnieniu się od innej?

Temat dość istotny z punktu widzenia niezależności i konkurencyjności mobilnych systemów operacyjnych, a nie zauważyłem żeby przebił się do polskich internetów.

Ps. Kto znajdzie w tekście easter egga? 😉

#unifiedattestation #playintegrity #volla #murena #eos #iodeos #grapheneos #android