GrapheneOS e Documenti su IO

Salve a tutti,
Utilizzo GrapheneOS sul mio Pixel 6a senza root o bootloader sbloccato, provando ad utilizzare l’app io ricevo l’errore che il mio dispositivo non soddifa i requisiti necessari e vengo rimandato a questo URL di documentazione:

Leggo che su android viene usata Play Integrity API e Key Attestation.

L’utilizzo di Play Integrity API rappresenta un vendor lock in e impedisce la libertà di usare un OS alternativo come GrapheneOS.

E’ possibile verificare l’autenticità e l’integrità dell’OS tramite Key Attestation (come già sembra sia implementato da documentazione) e aggiungendo le chiavi di GrapheneOS come descritto qui:

Un app pubblica credo dovrebbe supportare la mia ampia porzione di OS se questi raggiungono gli stessi requisiti di sicurezza verificati da Play Integrity.

Per approfondire: GrapheneOS: "We're not going to give Google veto power over wh…" - GrapheneOS Mastodon

Hai aperto una issue? GitHub - pagopa/io-app: IO, l'app dei servizi pubblici

Ce ne sono varie, la prima ha 116 commenti con anche il contributo degli sviluppatori di GOS ma con nessuna risposta degli sviluppatori:

Vorrei far notare che i requisiti formali di eudi wallet non richiedono Google Play Integrity;

L’implementazione di riferimento è solo un esempio:
https://github.com/eu-digital-identity

+1 sul supporto a GrapheneOS, ancora non posso mettere documenti su IO, ma mi piacerebbe farlo.

Il supporto di sistemi operativi non sorvegliati è fondamentale se si vuole seriamente diffondere IO.