Supporto per GrapheneOS: Evitare l'uso di Play integrity API, invece usare hardware attestation API

[das-auge]

Qual è il problema che vorresti risolvere?
Attualmente, la versione Android dell' IO-app sta usando la API Play Integrity di Google. Questo blocca altri sistemi operativi come GrapheneOS, anche se soddisfa requisiti di sicurezza ancora più elevati di Android di Google. Quindi, con GrapheneOS al momento non é possibile aggiungere la patente di guida all'app.

Quale soluzione proponi?
Utilizzare invece l'API di attestazione hardware di Android: Fornisce una forma di attestazione molto più forte dell'API Play Integrity, con la possibilità di inserire nella whitelist le chiavi di sistemi operativi alternativi. Inoltre, evita una dipendenza non necessaria dai servizi Google Play e dai server Play Integrity di Google.

Hai già considerato soluzioni alternative?

L'app IO in Italia è un'applicazione governativa centralizzata che fornisce ai cittadini un accesso sicuro e semplice a vari servizi pubblici a livello locale e nazionale. Non c'è alternativa al supporto di TUTTI i dispositivi che soddisfano i requisiti tecnici per rendere le funzioni dell'app realmente accessibili a tutti i cittadini. È necessario evitare restrizioni arbitrarie da parte di un'azienda privata come Google, che non si basano sulla sicurezza del dispositivo.

Altre informazioni
Unteriori informazioni da parte di GrapheneOS su come realizzare la compatibiltá con TUTTI i dispositivi sicuri.

[Darkon82]

Perché continuate ad aprire issue quando c'è già una issue per la stessa identica cosa #6327 dove ormai è chiaro che NON intendono rimuovere le play integrity API?

[das-auge]

Perché continuate ad aprire issue quando c'è già una issue per la stessa identica cosa #6327 dove ormai è chiaro che NON intendono rimuovere le play integrity API?

La presente é un suggerimento, mentre #6327 non lo é.

Considero questo non un optional ma una questione di protezione dei consumatori e di sovranità digitale. Non credo che la legge italiana permetta a un'applicazione statale di delegare a un'azienda americana a definire chi è autorizzato a utilizzare l'applicazione (chi fornisce a questa azienda i propri dati) e chi no. Questo potrebbe certamente essere trasformato in una questione politica, ma gli sviluppatori hanno ancora la possibilità di evitarlo.

Qualcuno ha già contattato la tutela consumatori utenti o l'AGCOM per questa facenda?

[Darkon82]

Perché continuate ad aprire issue quando c'è già una issue per la stessa identica cosa #6327 dove ormai è chiaro che NON intendono rimuovere le play integrity API?

La presente é un suggerimento, mentre #6327 non lo é.

Considero questo non un optional ma una questione di protezione dei consumatori e di sovranità digitale. Non credo che la legge italiana permetta a un'applicazione statale di delegare a un'azienda americana a definire chi è autorizzato a utilizzare l'applicazione (chi fornisce a questa azienda i propri dati) e chi no. Questo potrebbe certamente essere trasformato in una questione politica, ma gli sviluppatori hanno ancora la possibilità di evitarlo.

Qualcuno ha già contattato la tutela consumatori utenti o l'AGCOM per questa facenda?

Al di là che tra suggerimento e issue per una app come IO cambia veramente poco e mi sembra, scusa se lo dico, ma un sofismo più che una motivazione.

Ti dico che se leggi dove ho linkato un utente ha già fatto istanza per avere risposte e gli è stato ufficialmente risposto. Se segui il link trovi tutta la risposta. Inoltre in questi giorni è stato annunciato che anche l'app di identità digitale europea userà i play integrity quindi non voglio demoralizzarti ma ritengo questa come molti hanno convenuto anche nell'altra una battaglia inutile.

Tra l'altro l'azienda americana non sta affatto comunicando chi è autorizzato o meno a usare l'app. Infatti le API usate comunicano a IO solo se il device è conforme a determinati criteri di sicurezza o meno ed è poi IO a decidere di darti o meno accesso. Di per se le play integrity API non bloccano l'accesso a niente e si limitano a dare un responso sulla sicurezza del device.

Tra l'altro mi viene da sorridere quando dici che può diventare una questione politica... guarda che IO non è che viene sviluppata da un team di sviluppatori a caso. Gli sviluppatori di IO hanno ricevuto precise istruzioni dalla politica stessa e poi quale caso politico vorresti tirare su? Siamo un pugno di gente anche solo a sapere cosa siano le play integrity API e ancora meno a usare grapheneOS che dubito in Italia copra anche solo lo 0,5% dei device. Dimmi te quale caso politico vuoi farne e come... perché io non solo non vedo gente interessata alla cosa ma non ci sono nemmeno lontanamente i numeri per farne qualcosa che abbia rilevanza anche solo in un piccolo comune figuriamoci a livello nazionale.

Infine è inutile che tenti con AGCOM e simili perché la prima cosa che ti chiedono è: stai usando software ufficiale? Il device è a norma?

Siccome grapheneOS non è una ROM ufficiale ma che piaccia o no rimane una installazione custom e siccome questo comunque sia comporta delle modifiche al device che non sono ufficiali non vi è normativa ad oggi che ti possa salvare. La risposta di qualsiasi istituzione sarebbe che se usi un device con gli aggiornamenti ufficiali del produttore il servizio funziona e di conseguenza è una tua libera scelta decidere di usare software custom per il quale non ti può essere garantito il supporto.

Altrimenti se era così semplice che bastava fare istanza ad AGCOM e avevi risolto sarebbe già stato fatto da tempo ma, e ribadisco leggiti la issue linkata, perfino gli sviluppatori di grapheneOS che per un po' han partecipato hanno lasciato perdere proprio perché non c'erano né i numeri per fare pressione né un interlocutore disposto a mediare.

[andrew-ld]

non é vero che "Infatti le API usate comunicano a IO solo se il device è conforme a determinati criteri di sicurezza o meno ed è poi IO a decidere di darti o meno accesso. Di per se le play integrity API non bloccano l'accesso a niente e si limitano a dare un responso sulla sicurezza del device."

le API di play integrity indicano se il produttore del device ha fatto o meno un contratto con google, la sicurezza non viene garantita., ci sono centiania di device in cui puoi diventare root tramite exploit noti in cui play integrity funziona lo stesso.

[andrew-ld]

Siccome grapheneOS non è una ROM ufficiale ma che piaccia o no rimane una installazione custom e siccome questo comunque sia comporta delle modifiche al device che non sono ufficiali non vi è normativa ad oggi che ti possa salvare. La risposta di qualsiasi istituzione sarebbe che se usi un device con gli aggiornamenti ufficiali del produttore il servizio funziona e di conseguenza è una tua libera scelta decidere di usare software custom per il quale non ti può essere garantito il supporto.

lasciando perdere grapheneos, se compro un huawei con rom stock e aggiornamenti ufficiali applicati non posso accedere a it-wallet, perche non ha un contratto con google

[Darkon82]

le API di play integrity indicano se il produttore del device ha fatto o meno un contratto con google, la sicurezza non viene garantita., ci sono centiania di device in cui puoi diventare root tramite exploit noti in cui play integrity funziona lo stesso.

Ribadisco che possiamo anche arrampicarci su questi sofismi ma rimane il fatto che per la classe politica italiane e a quanto mi sembra di capire anche Europea quello è un requisito di sicurezza ritenuto valido. Ora che noi o chiunque altro lo descriva come requisito di sicurezza o contratto con tizio o caio non cambia che le API fanno meramente un controllo e consegnano a IO un responso in base al quale IO decide cosa fare.
Quanto all'uso di exploit ecc... non c'entra niente in quanto quello per definizione è un sistema per aggirare i controlli e quindi di default non è qualcosa di supportato che col tempo viene ostacolato nei limiti del possibile e in parte sarà anche sempre possibile perché via via che i controlli si sono evoluti si sono evoluti anche i modi per aggirarli. Non mi sembra realistico ipotizzare un sistema che sia totalmente impenetrabile.

lasciando perdere grapheneos, se compro un huawei con rom stock e aggiornamenti ufficiali applicati non posso accedere a it-wallet, perche non ha un contratto con google

Perdonami ma anche qua... si sa benissimo tutti che i prodotti cinesi son soggetti a più o meno gravi ban così come nelle telecomunicazioni in generale i prodotti cinesi son stati proprio completamente vietati. Se ti compri un Huawei è palese che andrai incontro a determinate difficoltà motivo per il quale sono device da non prendere minimamente in considerazione che in qualsiasi momento vista anche la situazione internazionale potrebbero subire un ban totale e smettere di funzionare.

Mi sembra, scusami se lo dico ma mi piace dire quello che penso onestamente, che si voglia per forza giustificare scelte di nicchia o comunque poco oculate.
Comprare prodotti cinesi o voler installare rom custom sono scelte che non garantiscono alcun supporto o certezze di durata. È inutile poi venire qua a fare issue/suggerimenti che tanto non verranno letti da nessuno se non i soliti 4 gatti che discutono fra loro sperando che la situazione si risolva. Le API google quasi sicuramente saranno incluse in qualsiasi app non solo italiana ma europea negli anni a venire ed è già un miracolo che app uscite in precedenza tutto sommato ancora funzionino ma anche quelle da un momento all'altro potrebbero venir aggiornate e fine dei giochi.

[dgigantino]

le API di play integrity indicano se il produttore del device ha fatto o meno un contratto con google, la sicurezza non viene garantita., ci sono centiania di device in cui puoi diventare root tramite exploit noti in cui play integrity funziona lo stesso.

Ribadisco che possiamo anche arrampicarci su questi sofismi ma rimane il fatto che per la classe politica italiane e a quanto mi sembra di capire anche Europea quello è un requisito di sicurezza ritenuto valido. Ora che noi o chiunque altro lo descriva come requisito di sicurezza o contratto con tizio o caio non cambia che le API fanno meramente un controllo e consegnano a IO un responso in base al quale IO decide cosa fare. Quanto all'uso di exploit ecc... non c'entra niente in quanto quello per definizione è un sistema per aggirare i controlli e quindi di default non è qualcosa di supportato che col tempo viene ostacolato nei limiti del possibile e in parte sarà anche sempre possibile perché via via che i controlli si sono evoluti si sono evoluti anche i modi per aggirarli. Non mi sembra realistico ipotizzare un sistema che sia totalmente impenetrabile.

lasciando perdere grapheneos, se compro un huawei con rom stock e aggiornamenti ufficiali applicati non posso accedere a it-wallet, perche non ha un contratto con google

Perdonami ma anche qua... si sa benissimo tutti che i prodotti cinesi son soggetti a più o meno gravi ban così come nelle telecomunicazioni in generale i prodotti cinesi son stati proprio completamente vietati. Se ti compri un Huawei è palese che andrai incontro a determinate difficoltà motivo per il quale sono device da non prendere minimamente in considerazione che in qualsiasi momento vista anche la situazione internazionale potrebbero subire un ban totale e smettere di funzionare.

Mi sembra, scusami se lo dico ma mi piace dire quello che penso onestamente, che si voglia per forza giustificare scelte di nicchia o comunque poco oculate. Comprare prodotti cinesi o voler installare rom custom sono scelte che non garantiscono alcun supporto o certezze di durata. È inutile poi venire qua a fare issue/suggerimenti che tanto non verranno letti da nessuno se non i soliti 4 gatti che discutono fra loro sperando che la situazione si risolva. Le API google quasi sicuramente saranno incluse in qualsiasi app non solo italiana ma europea negli anni a venire ed è già un miracolo che app uscite in precedenza tutto sommato ancora funzionino ma anche quelle da un momento all'altro potrebbero venir aggiornate e fine dei giochi.

Il discorso di Huawei conta anche per brand europeissimi che non distribuiscono i GMS come Volla, Murena, Jolla e così via.

[gbulgaru]

È una questione di principio, ma soprattutto di sicurezza europea e nazionale.
Le Play Integrity APIs non garantiscono che il device sia sicuro in quanto telefoni vecchi che non ricevono patch di sicurezza da anni sono comunque certificati da Google e dotati di GMS.

Banalizzare il problema con "GrapheneOS è poco utilizzato" e "se compri Huawei senza GMS sai a cosa vai in contro" è estramamente riduttivo e pericoloso. Anche per il fatto che l'utente medio non capisce nulla di blocchi a huawei o di Play Integrity ma comunque cerca il dispositivo più economico o con cui si trova meglio.

Sulle discussioni nel repo dell'EUDI wallet sono state riportate molte delle criticità nell'usare la soluzione proprietaria. Qui trovate alcuni punti

Recentemente anche vari dispositivi Xiaomi (e quindi redmi e POCO), dopo l'aggiornamento al nuovo HyperOS, hanno avuto problemi con il Play Integrity.

Ripeto, come hanno detto nelle issues dell'EUDI, che Play Integrity sta a livelli più alti nello stack android e l'API NATIVA di android funziona su segnali hardware molto più difficili da eludere.

Ricordo poi che pratiche simili violano completamente il Digital Markets Act. Le API Google (nelle configurazioni più restrittive) richiedono l'installazione obbligatoria da Play Store e l'uso di un device con Google Account loggato. Vedi qui

Non si tratta di una modifica colossale, basta cambiare le chiamate API laddove necessarie.

[Darkon82]

È una questione di principio, ma soprattutto di sicurezza europea e nazionale.
Le Play Integrity APIs non garantiscono che il device sia sicuro in quanto telefoni vecchi che non ricevono patch di sicurezza da anni sono comunque certificati da Google e dotati di GMS.

Lo capisco, ma essendo una decisione politica e non degli sviluppatori a che serve insistere in questa sede dove nessuno nemmeno legge quello che scriviamo?

Banalizzare il problema con "GrapheneOS è poco utilizzato" e "se compri Huawei senza GMS sai a cosa vai in contro" è estramamente riduttivo e pericoloso. Anche per il fatto che l'utente medio non capisce nulla di blocchi a huawei o di Play Integrity ma comunque cerca il dispositivo più economico o con cui si trova meglio.

L'utente medio non è mai protetto nemmeno con il sistema più blindato del mondo. Per il semplice fatto che se vuoi ottenere un documento spesso più che violare un device basta saperlo chiedere e sarà l'utente stesso a inviartelo. Un esempio classico sono i recenti scandali dove le persone per registrarsi in hotel lasciavano che la reception facesse le foto dei documenti, foto che contenuti in smartphone spesso ad uso privato del personale poi vengono sottratte come niente. Qua il punto secondo me è che trovo un po', passami il termine, bizzarro che pur installando una custom rom che non è esattamente una procedura da utente medio o che non comporti rischi ci si aspetti poi che un'app ufficiale la supporti. Ora intendimi io sono super a favore delle custom rom ma nel momento che la installo sono consapevole che faccio una scelta ben precisa e che non posso più aspettarmi un supporto ufficiale.
Se poi invece ne fai un discorso generico allora le play api sono sinceramente l'ultimo dei problemi perché ci sarebbe da dire che è assurdo che android ti spinge ad avere un account google in tutti i modi, che i google service sono omni-presenti, che il play store in con certi aggiornamenti ti installa dei giochi quasi forzosamente e devi poi te disinstallarli o stare molto attento a quando clicchi. Le play api son tutto sommato la cosa quasi più innocua di quanto successo ultimamente nel mondo android che sia chiaro non per questo va ignorata ma ancora una volta penso che questa non sia la sede opportuna dato che è un problema sistemico di android e non certo di questa app e basta.

Recentemente anche vari dispositivi Xiaomi (e quindi redmi e POCO), dopo l'aggiornamento al nuovo HyperOS, hanno avuto problemi con il Play Integrity.

E non è ancora nulla... nei prossimi mesi sarà MOLTO ma MOLTO peggio.

Ripeto, come hanno detto nelle issues dell'EUDI, che Play Integrity sta a livelli più alti nello stack android e l'API NATIVA di android funziona su segnali hardware molto più difficili da eludere.

Ricordo poi che pratiche simili violano completamente il Digital Markets Act. Le API Google (nelle configurazioni più restrittive) richiedono l'installazione obbligatoria da Play Store e l'uso di un device con Google Account loggato. Vedi qui

Non si tratta di una modifica colossale, basta cambiare le chiamate API laddove necessarie.

Tutto giusto sia chiaro ma ripeto che è inutile parlarne qua dove gli sviluppatori hanno ZERO scelta e si tratta interamente di una decisione politica. Tanto più che con l'entrate in vigore della direttiva RED Samsung ha totalmente inibito dalla One UI 8 la possibilità di fare l'unlock del bootloader e presto lo faranno anche gli altri. Voci ufficiose, quindi comunque da prendere con le molle ovviamente, parlano che anche google stia valutando di bloccare il bootloader dei pixel perché di fatto con le prossime normative sarà quasi un fatto dovuto. Ora non voglio dire che non si troveranno più alternative ma se come sembra dinventerà praticamente impossibile sbloccare il bootloader e sempre se come sembra tutti i produttori si adegueranno per evitare beghe di fatto finisce l'epoca delle custom rom.

Chiudo con ribadisco che capisco la battaglia contro le play api e sono d'accordissimo che le play api siano una roba tremenda insieme a gran parte delle ultime novità nel mondo android ma se si vuole contare qualcosa bisogna prima di tutto organizzarsi perché se siamo 3 gatti ci ignorano e fine e poi combattere nei posti giusti, non qua aprendo issue che già sappiamo che nessuno legge e vengono bellamente ignorate e che se anche i developer fossero completamente d'accordo con noi non potrebbero comunque far niente.

[gbulgaru]

Ti ringrazio per la comprensione, apprezzo la vicinanza alla causa.
Sfortunatamente è praticamente impossibile mobilitare gente non del settore, specialmente attraverso media tradizionali (che già non coprono adeguatamente temi più mainstream, ma questo è un'altro discorso).
Spero che nello sviluppo del Wallet L3 si facciano cambiamenti (anche se ne dubito).

Qualche settimana fa, nel repo dell'EUDI Wallet, hanno tolto i riferimenti specifici al Play Integrity, ma ormai potrebbe esser tardi.

Non penso ci sia altro da aggiungere, sarebbe inutile schiacciare sto chiodo inutilmente.

[github-actions]

This issue is stale because it has been open for 60 days with no activity. If the issue is still present, please leave a comment within 14 days to keep it open, otherwise it will be closed automatically.