Ho sempre creduto che le app Android, anche delle PA, debbano inevitabilmente scaricarsi dal Play Store di Google. Play Store notoriamente richiede registrazione per fare il downlodad di un’app: Google ha quindi un aggancio per riconoscere un utente e tracciarne le attività. In pratica OGNI possessore di smartphone Android è schedato. Nessuno sa ben dire se tutto ciò sia violazione di privacy, e se i big data siano ben custoditi o no.
Ma Play Store è evitabile. Esistono PA (non italiane) che offrono alternative ai download di Google.
In Svizzera l’app “Covid Certificate Check” è scaricabile anche dal sito “pulito” f-droid e senza registrazione. F-droid esiste da anni per distribuire app trasparenti, con codice sorgente pubblico, ispezionabili nelle loro azioni. Garanzie di sicurezza e privacy. Niente backdoor o attività “sotterranee” invisibili agli utenti. Peraltro anche qualora le app abbiano codice proprietario si potrebbero ugualmente depositare su un qualsiasi server e scaricare/installare a piacimento. L’uso di Play Store mi pare più che altro questione di visibilità e… pigrizia.
Perché in Italia non si fa come gli svizzeri? Cosa o chi impedisce di postare un’app istituzionale italiana su f-droid, o su un altro server della PA, per fornirla agli utenti?
S’è tanto dibattuto di privacy per l’app Immuni, ma Google sembra sempre intoccabile. Perché mai?
Sottoscrivo appieno, anzi, in molti casi le pubbliche amministrazioni non rilasciano manco il codice, vedasi “CieID” di @fventola89
Ciao! Hai ragione e anzi, chi ha un Huawei non ha i servizi Google, è obbligato a scaricare le applicazioni con lo store di Huawei. Riguardo CieID, come indicato da @Astheneir l’applicazione è proprietaria per cui non si può fare nulla. Riguardo PagoPA, l’applicazione è open source e c’è una proposta in corso per tentare di rilasciare una versione su F-Droid non ufficiale (la licenza EUPL lo permette, bisogna vedere l’uso delle API però).
L’unico problema pratico è che molte applicazioni richiedono i servizi Google, senza i quali a volte l’applicazione non funziona, alle altre funziona ma con qualche servizio in meno (tipo PagoPA per le notifiche), altre ancora funziona tranquillamente (CieID).
Gli utenti più tecnici possono evitare il Google Play Store in vari modi, per esempio con Aurora Store (GitLab, F-Droid), oppure possono compilare le applicazioni, quelle open source, per conto proprio. Certo non sono soluzioni alla portata di tutti.
Posso aggiungere che l’installazione degli apk della app IO su lineage-os 17.1 riesce senza problemi e la app non sembra avere problemi di stabilità [notifiche a parte].
[quote="liete, post:3, topic:25134]Ciao! Hai ragione e anzi…[/quote]Daccordissimo con te. Anch’io ho sempre usato Yalp Store e Aurora.
Non volevo entrare in tecnicismi incomprensibili ai più ma evidenziare un nodo a mio avviso importante. I principali erogatori di app (Google e Apple) sono riusciti a far passare la logica per cui tutti gli smartphone del mondo devono far tappa da loro “lasciando un segno” (come minimo la propria email o l’AppleID) anche per scaricare l’app più innocente. L’hanno fatto sbandierando la sicurezza (i controlli che effettuano) sulle app erogate ma tacendo sul resto. Passi tutto ciò in una logica di mercato. Anche se pure lì c’è chi comincia a lamentarsi. “Google volutamente soffoca i siti di download concorrenti tramite barriere nel front-end Android di installazione. Altri store devono poter esistere senza ostruzioni”. Questa in sintesi la dichiarazione dell’anno scorso del CEO di Epic Games, vistosi taglieggiato dalle politiche dei big. Insensatamente se installo un’app che so essere affidabile direttamente da uno sviluppatore mi esce il messaggio che “non è sicura”. Se la stessa la prelevo dallo Store tutto OK. È sensato? Senza parlare poi di altre questioni spinose AGCM - Autorita' Garante della Concorrenza e del Mercato
Ma pure coi bastoni tra le ruote la PA dovrebbe cominciare a chiedersi se queste forche caudine siano davvero ineluttabili e non sia invece il caso di offrire un’alternativa.
Come si stanno muovendo altri paesi europei? C’è un osservatorio nazionale o un coordinamento UE in tal senso? È possibile imbastire un servizio di download nazionale, eventualmente con autenticazione SPID? Problemi per farlo? Non dico che Google a Apple non ci debbano essere, ma un’alternativa sì. Poi qualcuno la userà e qualcun’altro no, ma intanto si comincia.
M’è quindi parso opportuno, come esca, segnalare la recente buona pratica degli svizzeri con le app “Covid Certificate” depositate anche su f-droid. Non intendevo promuovere f-droid, né aprire la questione di quali app possono andarci e quali no, ma lanciare l’idea di svincolarsi da un predominio che non fa bene a nessuno.
Secondo me, e come ho già spiegato in passato in alcuni interventi, è l’approccio di questo topic a essere sbagliato.
Premesso: ben vengano
- App open source su Github
- Costringere @IPZS-CIE a rilasciare il codice di CIEID sulla base di una corretta interpretazione del CAD (sei un’azienda pubblica, pagata dai contribuenti, anche da me, rilasci il codice)
- F-Droid e APK scaricabili, IPA scaricabili (si chiama
sideloading) - Un occhio di riguardo ai dispositivi Huawei
Quanto a Play/Apple Store, contesto il titolo del topic: Evitare. No, non si devono evitare. Bisogna accettare che il 99% degli utenti, o ut0nti che dir si voglia, si appoggia agli store ufficiali per semplicità, mancanza di competenze, scarsa attenzione alla privacy.
Il fatto che gli store pretendano i dati personali, ed effettuino una costante profilazione* degli utenti è un problema di Garante Privacy o meglio ancora EDPB. Loro potrebbero pronunciarsi su una eventuale libertà di download anonimo dagli store.
Le app secondo me dovrebbero ancora essere pubblicate sugli store ufficiali, ma dovrebbe essere sempre fornita la modalità alternativa (sideload) per chi non può (non vuole!) affidarsi agli store ufficiali. F-Droid è un po’ un caso limite secondo me. Ben venga l’APK su Github, come dicevo prima, ma imbastire una pipeline di rilascio su F-Droid non è cosa da poco e rappresenterebbe un costo per la PA non ancora giustificabile nel numero di utenti italiani che utilizza F-Droid. Dicasi altrettanto per qualsiasi store alternativo.
Discorso a parte per Huawei App Gallery, che si porta dietro sia la crescente popolarità in Italia dei dispositivi del ventaglio cinese, sia le polemiche e i rischi cyber ben noti agli addetti ai lavori con riferimento a rapporti più o meno celati con il Partito Comunista Cinese e le leggi della Repubblica Popolare in merito al cyberspionaggio. Argomento che non può essere liquidato qui in poche righe. Di base suggerirei alla PA, sentiti i dati sulla penetrazione di mercato, di spendere le risorse necessarie a pubblicare su App Gallery.
*Qui una nota. Andando a spulciare bene le impostazioni privacy di Google e installando un decente adblocker io faccio sì che Google sappia quali app installo, ma non possa tecnicamente né legalmente farci nulla in particolare, e cioè non può profilarmi nè veicolarmi messaggi pubblicitari personalizzati in base alle app che installo. Sia perché ho l’adblocker, sia perché rifiuto la personalizzazione della eventuale pubblicità residuale che passasse i filtri. Ma questa è una attività molto onerosa.
Concordo con @djechelon e aggiungo che il Play store non è solo e banalmente un comodo strumento per i pigri. Google in cambio dei dati offre anche un controllo di cosa viene pubblicato. Controllo che non è 100% sicuro, ma almeno c’è.
A scaricare app da terze parti (cosa che non è impedita in modo assoluto e inaggirabile) si rischia di trovarsi problemi anche più grandi del solo controllo dei dati in mano a Google.
Beh avere un controllo e sapere che non è sicuro al 100% sa un po di presa in giro.
Sarebbe bello avere app istituzionali libere dai vincoli dei servizi di terze parti.
Mi domando cosa sia davvero sicuro al 100%, a parte disconnettersi sulla cima di una montagna.
Exodus, Pegasus, ecc. manco gli antimalware li rilevano. Faccio girare il codice altrui sul mio dispositivo… dove sta il 100%? Chi davvero controlla riga per riga il codice open source e verifica che il codice sia riportato sul device senza alterazioni?
Si tratta di una partita infinita. O si stabilisce in quale misura fidarsi, o la montagna vi aspetta, signori miei.