So wollen europäische Hersteller Google vom Smartphone werfen
Google schottet sein Mobile-Betriebssystem Android zunehmend ab. Aber es gibt auch eine Gegenbewegung: Ein neu gegründetes Konsortium mit Unternehmen aus Deutschland, Frankreich und der Schweiz entwickelt eine quelloffene Alternative zu Google Play Integrity – dem Dienst, der darüber entscheidet, ob Banking-, Behörden- oder Wallet-Apps auf einem Android-Smartphone laufen dürfen.
Worum geht's genau?
Google Play Integrity ist ein Android-Dienst, der App-Entwicklern eine Schnittstelle bereitstellt, um zu prüfen, ob eine App auf einem Gerät mit bestimmten Sicherheitsanforderungen ausgeführt wird. Dies betrifft insbesondere Anwendungen aus sensiblen Bereichen wie Identitätsnachweis, Banking oder digitale Wallets – einschliesslich Apps von Regierungen und öffentlichen Verwaltungen.
Der deutsche Anbieter von Open-Source-Smartphones Volla Phone hat daher mehrere europäische Hersteller von mobilen Betriebssystemen und Endgeräten zusammengebracht, um eine Alternative zu Google Play Integrity zu entwickeln. Ziel sei «eine unabhängige, transparente und vertrauenswürdige Lösung für die Sicherheitsprüfung – frei von der Kontrolle eines einzelnen US-Konzerns», heisst es in der Medienmitteilung.
Denn: «Wenn die Vertrauensprüfung selbst von nur einem Marktakteur kontrolliert wird, entsteht strukturelle Abhängigkeit», sagt Volla-Gründer Jörg Wurzer.
Was ist das Problem?
Für sensible Apps wie E-Banking, Twint etc. ist eine Zertifizierung durch Google selbst erforderlich, die ausschliesslich für Googles proprietäre Android-Version vergeben wird – also jene Android-Version, die Google, Samsung und andere grosse Smartphone-Hersteller verwenden. Das heisst: «Alternative Betriebssysteme, darunter viele europäische Lösungen, sind damit faktisch ausgesperrt», schreibt der Smartphone-Hersteller Volla, der seit einigen Jahren Google-freie Android-Geräte anbietet.
Die Konsequenz: Wer ein echtes Open-Source-Smartphone nutzt, muss teils auf populäre Apps verzichten. Dies hält viele User von einem Wechsel zu einem datenschutzfreundlichen Open-Source-Smartphone, das nicht unter der Kontrolle eines US-Techkonzerns wie Google oder Apple steht, ab.
Was ist die Lösung?
Eine offene Sicherheitslösung als Alternative zu Google Play Integrity, die nicht von einem einzelnen Konzern kontrolliert wird.
Eine erste Basisversion einer europäischen Antwort auf Google wurde von Volla unter dem Projektnamen UnifiedAttestation entwickelt. Apps können über diesen alternativen Dienst eine Anfrage stellen, ob das jeweilige Betriebssystem bestimmte Sicherheitsanforderungen erfüllt. Ein dezentral betriebener Validierungsdienst prüft dann, ob das Zertifikat eines Betriebssystems auf dem betreffenden Gerät gültig ist.
«Mit UnifiedAttestation schaffen wir ein transparentes und vertrauenswürdiges Verfahren für die Sicherheitsprüfung, auf die Entwickler und Herausgeber von Apps gleichermassen vertrauen können. Damit beseitigen wir die letzte Hürde für die Verwendung alternativer mobiler Betriebssysteme», sagt Wurzer, Volla-Geschäftsführer und Initiator des Konsortiums.
Anders als Google Play Integrity soll UnifiedAttestation auf einem dezentralen Peer-Review-Ansatz basieren. Das heisst: Hersteller zertifizieren sich gegenseitig, der Code ist unter Apache 2.0 öffentlich einsehbar. Volla stellt in Aussicht, dass die Alternative zu Googles Prüfverfahren «mit wenigen Codezeilen in Apps integriert werden» könne.
Wer ist in der Anti-Google-Allianz vereint?
Beim ersten virtuellen Arbeitstreffen Mitte Februar waren unter anderem Vertreterinnen und Vertreter von Murena sowie der e.foundation (Frankreich), Iodé (Frankreich) und Apostrophy (Schweiz) anwesend. Allen beteiligten Herstellern gemeinsam sei «der Fokus auf Google-freie mobile Betriebssysteme, überwiegend auf Basis des Android Open Source Projektes (AOSP)», schreibt Volla.
Beispielsweise bieten europäische Handy-Hersteller wie Fairphone oder Shift ihre Geräte nebst Googles Android auch mit dem datenschutzorientierten /e/OS-Betriebssystem von Murena an, welches wiederum auf dem Android Open Source Project basiert.
Wie sehen die Erfolgschancen aus?
Für eine Prognose ist es viel zu früh. Für eine europäische Open-Source-Alternative spricht der Zeitgeist. Digitale Souveränität ist in der Politik und in den Führungsetagen der Wirtschaft auf der Prioritätenliste nach oben gerückt.
Den Initianten müsste es nun gelingen, zentrale App-Entwickler ins Boot zu holen. Gespräche mit Entwicklern von ID- und Verwaltungs-Apps würden laufen, heisst es. Erste Entwickler und Herausgeber staatlicher Apps aus Skandinavien prüften, «als First Mover das neue Verfahren einzusetzen». Man sei auch im Gespräch «mit einem weltweit führenden Hersteller von mobilen Endgeräten». Ein solcher Partner könnte helfen, UnifiedAttestation international sichtbar zu machen.
(oli)
