GrapheneOS e Documenti su IO

Salve a tutti,
Utilizzo GrapheneOS sul mio Pixel 6a senza root o bootloader sbloccato, provando ad utilizzare l’app io ricevo l’errore che il mio dispositivo non soddifa i requisiti necessari e vengo rimandato a questo URL di documentazione:

Leggo che su android viene usata Play Integrity API e Key Attestation.

L’utilizzo di Play Integrity API rappresenta un vendor lock in e impedisce la libertà di usare un OS alternativo come GrapheneOS.

E’ possibile verificare l’autenticità e l’integrità dell’OS tramite Key Attestation (come già sembra sia implementato da documentazione) e aggiungendo le chiavi di GrapheneOS come descritto qui:

Un app pubblica credo dovrebbe supportare la mia ampia porzione di OS se questi raggiungono gli stessi requisiti di sicurezza verificati da Play Integrity.

Per approfondire: GrapheneOS: "We're not going to give Google veto power over wh…" - GrapheneOS Mastodon

Hai aperto una issue? GitHub - pagopa/io-app: IO, l'app dei servizi pubblici

Ce ne sono varie, la prima ha 116 commenti con anche il contributo degli sviluppatori di GOS ma con nessuna risposta degli sviluppatori:

Vorrei far notare che i requisiti formali di eudi wallet non richiedono Google Play Integrity;

L’implementazione di riferimento è solo un esempio:
https://github.com/eu-digital-identity

+1 sul supporto a GrapheneOS, ancora non posso mettere documenti su IO, ma mi piacerebbe farlo.

Il supporto di sistemi operativi non sorvegliati è fondamentale se si vuole seriamente diffondere IO.

+1 sul supporto del caricamento dei documenti anche per gli utenti con GrapheneOS.
Assurdo come ad oggi non ci sia ancora stata una risposta ufficiale sulla issue di GitHub.

Per curiosità. In Italia sul parco telefoni, quanti usano non stock os?
Vivere nelle bolle è bello ma è solo quello, una bolla.
L’utente medio non sa neanche cosa sia android (stock o no).

Che poi, sia oggettivamente miope usare g come validatore dati i problemi è un altro discorso

da qui:

e qui:

mi viene da pensare siano quantità trascurabili in termini statistici.
Il mercato è dominato da Android e IOS.

Rimane vero che una soluzione web pura, ma responsive, se fattibile (non ne ho idea), sarebbe preferibile per compatibilità con tutti, anche desktop.

da qualche anno oramai siamo oltre il “mobile first”.
Sarò pessimista ma non vedo molti incentivi per il team IO a creare una webapp.

Vero, ma se non si fa niente per cambiare la situazione (anzi si “chiude tutto” con scuse puerili) è normale che chi vuole utilizzare qualcosa "di nicchia’ non potrà mai utilizzare App come IO o come quelle bancarie, a che prezzo però per la tutela dei dati?
Ma va bene così, ci mancherebbe, il discorso è talmente ampio. Anche io uso GrapheneOS e alla fine sono contenta perché siamo in pochi, ma buoni.

Quando ero giovane ero anche io così idealista.
Poi ho imparato come funziona la realtà.
Felice di vedere che altri non hanno smesso di credere nel Sogno

E’ vero che la percentuale di chi utilizza GrapheneOS è trascurabile, ma qui stiamo parlando di un app dei servizi pubblici che sta discriminando una parte di utenti senza una motivazione e usando un controllo che di fatto è monopolistico.

Sono d’accordo che dovrebbe esserci anche una Web Application per includere tutti, credo che anche che ci debbano essere delle spiegazioni chiare fornite dal team per non implementare queste richieste.

I cittadini pagano lo sviluppo di queste applicazioni, credo sia il minimo ricevere spiegazioni sulle scelte fatte.

una ipotesi senza cognizione diretta: forse appoggiarsi a elementi di sicurezza precostituiti dal fornitore del sistema operativa costa meno, rispetto a svilupparli ex novo in casa. E così facendo si coprono le necessità della quasi totalità dei cittadini.

Come già detto da molti, GrapheneOS può essere verificato tramite Key Attestation (già usata attualmente) aggiungendo le chiavi di GOS:

penso che la risposta che cerchi sia: non piace a google.
E noi, colonia IT americana, siamo sudditi di questi favoreggiamenti e non.
Mio pensiero ovvio

Si segnala che l’attestazione tramite le Play Integrity API non considera adeguatamente la sicurezza complessiva di un dispositivo, limitandosi a verificare solo l’attestazione hardware, e non tenendo conto di sistemi operativi come GrapheneOS, che sono significativamente più sicuri rispetto all’OS stock dei Pixel. Nonostante GrapheneOS implementi politiche di sicurezza avanzate, non riesce a passare il controllo di Play Integrity a causa della sua non “allowlisting” da parte di Google.

Il sistema di attestazione di Play Integrity risulta quindi inefficace nel valutare la sicurezza reale dei dispositivi, consentendo a dispositivi vulnerabili di superare il controllo, mentre esclude erroneamente sistemi operativi che offrono maggiori garanzie di sicurezza. L’attuale metodo non fa altro che favorire un “security theater”, senza fornire una vera protezione.

Sarebbe auspicabile che IO adottasse un metodo di attestazione basato su standard Android, che includa anche il controllo sul livello di patch di sicurezza dei dispositivi. Un approccio simile sarebbe più equo e risponderebbe meglio alle esigenze di sicurezza degli utenti, senza penalizzare sistemi operativi alternativi che garantiscono una protezione superiore.

Inoltre, alla luce del Digital Markets Act (DMA), l’uso delle Play Integrity API potrebbe sollevare dubbi circa la sua compatibilità con le normative antitrust europee, che mirano a limitare il potere delle grandi aziende tecnologiche come Google e a promuovere una maggiore apertura del mercato. Adottare un sistema di attestazione più inclusivo e indipendente da Google sarebbe un passo positivo verso una maggiore equità e sicurezza.