Een lezer vroeg me:
Allerlei partijen maken zich zorgen (F-Droid, EFF) over de plannen van Google voor de verplichte registratie van app-ontwikkelaars. Volgens Google zou dit gebruikers juist tegen “bad actors” moeten beschermen, maar het maakt het downloaden van apps via alternatieve app stores behoorlijk riskant. Is dit werkelijk toegestaan onder de EU Digital Markets Act?De Digital Markets Act is in 2022 ingevoerd om eindelijk niet meer achter Big Tech aan te hoeven rennen. Het klassieke mededingingsrecht biedt natuurlijk de optie om alle vormen van machtsmisbruik aan te pakken, maar als je zo veel geld (en advocaten) hebt als FAANG en MANGO dan duurt het jaren, zo niet decennia voordat dit definitief uitgevochten is. En ondertussen is je markt allang kapot.
De DMA benoemt simpelweg een trits praktijken die niet mogen, en een pakket met eisen waar “poortwachters” van grote “kernplatformdiensten” aan moeten voldoen. De Commissie kan bij overtreding direct ingrijpen en boetes of bindende aanwijzingen opleggen. Natuurlijk kun je dan naar het Hof van Justitie, maar een stuk gestroomlijnder is het.
Eén van die eisen is dat een ecosysteem zoals Android meerdere afrekenmogelijkheden en appstores moet kunnen hebben (art. 6 lid 4). Voor Android is F-Droid de bekendste, en die heeft grote moeite met Google’s voorgenomen openstelling van deze optie bij Android.
De reden is dat Google er meteen de voorwaarde bij stelt dat iedere Android developer zich bij Google moet registreren. Dit maakt gebruik van F-Droid heel moeilijk: zij kunnen niet afdwingen dat hun gebruikers dat doen, en de enige optie is dan dat F-Droid zichzelf voordoet als de maker van alle via hun appwinkel aangeboden apps. En dat werkt natuurlijk niet.
Google draagt als reden aan dat ze zo malafide apps buiten de deur wil houden. Een formele identiteitscheck zal bad actors immers wel afschrikken (niet lachen daar achterin). Maar Google hééft al een uitgebreide set maatregelen hier tegen (Play Protect) dus dat voelt wat gezocht.
Mag het van de DMA, die eis van Google? Heel algemeen lijkt het erop van wel:
Het wordt de poortwachter niet belet maatregelen, voor zover die strikt noodzakelijk en evenredig zijn, te treffen om ervoor te zorgen dat softwareapplicaties of appstores van derden de integriteit van de door hem ter beschikking gestelde hardware of besturingssystemen, niet in gevaar brengen, op voorwaarde dat dergelijke maatregelen naar behoren gemotiveerd worden door de poortwachter.Op het eerste gezicht kun je Google’s “zorgen om malware” en gekozen maatregel van identiteitscontrole dus niet terzijde schuiven. Ik maak me zorgen dat het effect op F-droid te subtiel is, veel mensen nemen al snel genoegen met “dit moet voor de security”. Het wetsartikel eist natuurlijk een uitgebreide motivatie, en die zou ik dus wel eens willen lezen.
Arnoud
Ik vind het wel een ding dat als Google app bouwers bant omdat ze malware verspreiden dan ze dan met een vrijwel identieke versie naar een andere store kunnen gaan om daar hun malware te verspreiden. Maar ik denk niet dat deze verplichte app registratie bij Google daarvoor gaat uitmaken. Je identiteit veranderen is op het internet een simpel klusje
Waarom kan fdroid niet afdwingen dat de applicatieontwikkelaars zich identificeren? Dat ze het niet willen kan ik begrijpen, maar waarom kan het niet?
De registratie bij F-Droid maakt nog niet dat de applicatie ook op een android telefoon draait. Daar is toestemming van (registratie bij) Google voor nodig.
En de registratie bij Google betekent vooral dat blackhats nog meer interesse krijgen in het stelen van inloggegevens en andere sleutels bij legitieme Android ontwikkelaars, zodat ze via supply-chain aanvallen zoveel mogelijk gebruikers kunnen infecteren.
Dit gaat vooral dat ontwikkelaars zich moeten registreren en dan vervolgens binden aan een bepaalde app. Als de ontwikkelaars de app ook aanbieden via de play store gaat dat automatisch, maar als een app niet via de play store aangeboden wordt moet dit “handmatig” gedaan worden (er is waarschijnlijk wel een API die dat kan). Dit is dan niet afhankelijk van de specifieke app store waar de app word aangeboden.
Aan de ene kant is dit redelijk om er voor te zorgen dat malware buiten de deur gehouden kan worden (zonder wack-a-mole), aan de andere kant is het zo dat het dan voor app bouwers iets makkelijker is om ook via de play store de app aan te bieden (een app dat alleen via een ander kanaal beschikbaar is moet toch bij Google aangemeld worden – en er is een – vrij lage – vergoeding aan gebonden). Verder is het zo dat dit maar een keer per app hoeft, niet bij elke update.
Al met al denk ik dat het, omdat het eenmalig is, aan de redelijke kant valt, ook vooral omdat dit alleen ontwikkelaars betreft, niet gebruikers. De aanname hier is natuurlijk dat dan de beoordeling van malware eerlijk is, en een echt review process heeft (bij klachten)
Waar ik mij vooral aan stoor is dat ik zelf een todo appje heb gemaakt – niet omdat het moet, maar omdat het kan. Wat ik naar tevredenheid op mijn telefoon gebruik.
Google wil nu dat ik mij voor $25 ga registreren om mijn eigen app op mijn eigen telefoon te kunnen gebruiken.
Ik heb nu een tweede telefoon waar ik Graphene OS op aan het testen ben.
Als ik daar wel gewoon mijn eigen apps gratis op kan blijven gebruiken en mijn bank apps gewoon blijven werken, dan stap ik helemaal over. Dan heb ik in één klap een heleboel privacy en de vrijheid om met mijn eigendom te doen wat ik wil terug. (En kunnen ze in de EU mijn rug op met hun spionage wensen)
Ik ben ook al enige tijd op zoek naar een goed alternatief, Graphene of e/OS zou ik graag willen gebruiken, maar ik loop de hele tijd tegen isses aan als ik daar naar aan het kijken ben. Ik wil heel graag meer privacy, maar die telefoon is in de eerste plaats een gebruiksvoorwerp, ik moet er wel de dingen op kunnen doen die ik er mee wil doen. Helaas loopt bijvoorbeeld de rabobank braaf achter google aan (https://tweakers.net/nieuws/238036/rabobank-app-werkt-niet-meer-op-alternatieve-android-roms-vanwege-integrity-api.html) en ik verwacht eigenlijk dat meer van dat soort apps die Integrity api gaan gebruiken. Zaken als een webbrowser en zo zullen het wel blijven doen, maar hoe doe jij het met bijvoorbeeld bankapps of de digid app?
Vooralsnog werkt de ABN app, voor ING gebruik ik dat scanner apparaatje van ze. Voor ABN heb ik ook zo’n apparaatje thuis liggen, daarmee kan het ook via de browser, mochten ze overstappen op integrity API.
Dat boeit me niet zo heel veel, omdat ik mijn bankzaken eigenlijk alleen thuis doe en ik buitens huis altijd het meest praktische en privacy respecterende middel gebruik: cash!
Overigens zijn er binnen de EU al vragen overgesteld, aangezien deze API geen enkele werkelijke security biedt, maar wel vendor lock in op officiele Android afdwingt en custom roms en AOSP buitensluit.
Verder gewoon doen wat ik doe sinds ik aan het testen ben met GrapheneOS: 1 ster reviews, omdat de app niet werkt. Vendor lock-in vermomd als schijnveiligheid moeten we niet belonen.
De Rabo-app werkt prima op GrapheneOS. Is te installeren via de Aurora Store; er is dus (nog) geen beveiliging tegen.