Chi utilizza una ROM personalizzata o una versione di Android priva dei servizi Google sa bene quanto sia fastidioso scoprire che molte app bancarie e finanziarie non funzionano.
Il motivo è che la stragrande maggioranza di queste app si affida alla Play Integrity API di Google, un sistema di verifica della sicurezza del dispositivo che, per sua natura, esclude chi ha scelto di allontanarsi dall’ecosistema standard di Android.
La Play Integrity API è infatti uno strumento sviluppato da Google per consentire alle app di verificare che il dispositivo su cui girano non sia stato manomesso, che il sistema operativo sia autentico e che l’ambiente sia considerato sicuro. È dunque una misura pensata per contrastare le frodi e tutelare gli utenti, ma che nella pratica finisce per penalizzare chi ha scelto consapevolmente di installare sistemi operativi alternativi, fork di Android senza Google o distribuzioni orientate alla privacy.
Il risultato è che milioni di utenti che usano ROM come LineageOS, GrapheneOS o sistemi analoghi si trovano impossibilitati ad accedere alla propria banca tramite smartphone.
Segui TuttoAndroid su Google Discover
Offerte Amazon Prime Day, scopri quando!
Iscrivi ad Amazon Prime per poter approfittare delle offerte Prime Day, i primi 30 giorni sono gratis!
Nasce UnifiedAttestation: un’alternativa europea e open source
Un’iniziativa europea chiamata UnifiedAttestation punta a risolvere questo problema costruendo un’alternativa libera e open source alla Play Integrity API di Google. Il progetto, guidato dal produttore di smartphone Volla con la partnership di Murena, la società dietro /e/OS, e del team di iodé OS, ha predisposto un codice che verrà distribuito con licenza Apache 2.0, rendendolo così disponibile a chiunque voglia integrarlo o contribuire al suo sviluppo.
Il funzionamento previsto si basa su un approccio di revisione reciproca tra i membri del consorzio: i sistemi operativi e i modelli di dispositivo vengono certificati collettivamente, attraverso un processo di peer review interno all’iniziativa. Volla sostiene che integrare il supporto nelle app esistenti richiederebbe soltanto poche righe di codice, abbassando così la barriera per gli sviluppatori che volessero aderire.
Serve il supporto degli sviluppatori
Nonostante le premesse incoraggianti, UnifiedAttestation non è una soluzione automatica: ogni sviluppatore di app dovrà infatti scegliere attivamente di supportare questo sistema alternativo.
In altri termini, almeno nel breve periodo non ci si può aspettare che la propria app bancaria preferita inizi magicamente a funzionare su una ROM custom. L’adozione dipenderà dalla volontà delle singole aziende di investire nel supporto a questo nuovo standard, e i grandi istituti finanziari non sono storicamente noti per la loro rapidità nell’abbracciare alternative aperte.
Non tutti inoltre accolgono con entusiasmo questa iniziativa. Il team di GrapheneOS ha per esempio espresso una posizione critica sui social, sostenendo che il problema di fondo non è la mancanza di un’alternativa alla Play Integrity API, ma l’esistenza stessa di sistemi che attribuiscono ad aziende private il potere di decidere quali sistemi operativi possono girare sulle app degli utenti.
Secondo GrapheneOS, la Play Integrity API andrebbe semplicemente eliminata per via normativa, e creare un sistema parallelo gestito da Volla e Murena non risolve il problema alla radice, bensì lo replica in forma diversa.