Poziv k odpravi sistemov preverjanja integritete naprav
Sistemi preverjanja integritete naprav omejujejo svobodo, zmanjšujejo zasebnost, slabšajo varnost in povečujejo moč tehnoloških velikanov.
Slovenska podjetja, banke in državne ustanove jih uporabljajo na podlagi nestrokovnih "varnostnih" nasvetov in nas s tem zaklepajo v zaprte platforme ter nenehen cikel menjave popolnoma delujočih naprav.
01
Sistemi preverjanja integritete – med katerimi je na platformi Android najbolj razširjen Google Play Integrity API – so mehanizmi, ki razvijalcem aplikacij omogočajo preverjanje, ali je naprava tovarniško zaklenjena in uporabniku preprečuje popolno kontrolo nad lastno napravo. Naprava mora zadostiti nizu tehničnih pogojev: nameščen mora biti tovarniški operacijski sistem brez sprememb, Googlov varnostni strežnik mora napravo prepoznati kot "zaupanja vredno", naprava mora prihajati od zaupanega proizvajalca in uporabnik ne sme imeti popolnega nadzora nad njo. Če naprava ne ustreza tem omejitvam, te aplikacije enostavno ne delujejo, ali pa na uporabnika postavijo nepotrebne omejitve.
Ključno je razumeti, da ti sistemi niso varnostni mehanizmi v korist uporabnika. Ne ščitijo vas pred zlonamerno programsko opremo, ribarjenjem ali krajo podatkov. Njihov edini namen je zaščititi aplikacijo in njen poslovni model pred uporabnikom samim – pred njegovo sposobnostjo, da preučuje, prilagaja ali nadzoruje programsko opremo, ki jo poganja njegova lastna naprava. Preverjanje integritete je torej orodje nadzora nad strankami, ne orodje za zaščito strank.
02
Proizvajalci mobilnih naprav prenehajo z varnostnimi posodobitvami po dveh do petih letih, čeprav naprave same še vedno delujejo brezhibno. Namesto, da bi uporabnik na starejšo napravo lahko namestil novejši in aktivno vzdrževan operacijski sistem, ga sistemi integritete pri tem kaznujejo z izgubo dostopa do ključnih aplikacij. Rezultat je paradoksen: uporabnik je v imenu "varnosti" prisiljen ostati pri zastarelih, ranljivih sistemih ali pa vsakih nekaj let kupiti novo napravo.
Obstajajo pa tudi alternativni operacijski sistemi – najbolj znan med njimi je GrapheneOS – ki ponujajo bistveno višjo raven zasebnosti in varnosti od tovarniških. Novinarji, žvižgači ali drugače izpostavljene osebe, ki se morajo varovati pred nadzorom, represijo in kibernetskimi kriminalci, morajo zaradi sistemov preverjanja integritete za izboljšanje lastne varnosti žrtvovati dostop do pomembnih vsakodnevnih aplikacij.
Računalniki in pametni telefoni bi morali biti orodja, ki služijo uporabniku. S preverjanjem integritete razvijalci aplikacij preprečujejo, da bi uporabniki in neodvisni raziskovalci aplikacije preučevali ali prilagajali. To jim omogoča skrivanje varnostnih pomanjkljivosti in kršitev zasebnosti ter uveljavljanje proti-uporabniških funkcij: sledilnikov, oglasnih sistemov, geografskih in časovnih omejitev, blokade izvoza lastnih podatkov ter onemogočanja funkcij dostopnosti. S spreminjanjem operacijskega sistema in aplikacij na njem lahko odstranite nadležne motnje, omejite sledilnike, dodate nove funkcijo in pohitrite delovanje naprave. Podjetjem je seveda v interesu, da vam to preprečijo, saj za njih umetne omejitve, proti-vzorci in sledenje uporabnikom predstavljajo velik zaslužek.
Naprava, ki jo imate v žepu, bi morala delovati po vaših pravilih – ne po pravilih oddaljenih strežnikov ali tehnoloških megakorporacij.
Sistemi integritete temeljijo na centralnem zaupanju posameznim ponudnikom operacijskih sistemov, kar strukturno favorizira dva največja: Google in Apple. Ker skupaj pokrivata praktično celoten trg, ponudnikov storitev ne briga, da njihove aplikacije delujejo le na njunih napravah in operacijskih sistemih.
Vsi proizvajalci Android naprav so prisiljeni v prednamestitev Googlove programske opreme in sprejetje njihovih pogojev uporabe, sledilnikov in omejitev. Alternativni operacijski sistemi, na primer druge različice Androida ali sistemi na podlagi Linuxa, kljub tehnični kompatibilnosti z Android aplikacijami, mnogih aplikacij zaradi preverjanja integritete ne morejo poganjati, zato za proizvajalce strojne opreme in uporabnike ne predstavljajo realistične opcije. Država in razvijalci s tem aktivno poglabljajo monopole, novim tržnim udeležencem preprečujejo vstop in uporabnikom krčijo možnost izbire.
03
Pišite razvijalcem aplikacij in operaterjem storitev, ki jih uporabljate. Sporočite jim, da z vsiljevanjem preverjanja integritete posegajo v vašo svobodo in vam onemogočajo dostop do njihovih storitev. Posebno pozornost namenite državnim institucijam in organizacijam javnega sektorja, ki imajo zakonsko dolžnost zagotavljati čim višjo raven dostopnosti, interoperabilnosti in tehnološke nevtralnosti. Uporaba mehanizmov za omejevanje izbire proizvajalca naprave in programske opreme je v neposrednem nasprotju s temi načeli.
Poiščite alternative aplikacijam, ki vam omejujejo svobodo izbire operacijskega sistema in nadzora nad lastnimi napravami. Mnoge storitve so dostopne preko spletnih vmesnikov ali odprtokodnih alternativ, ali pa jih nudijo tudi konkurenčna podjetja, ki takih omejitev nimajo. Kjer alternative ni, javno opozorite na to omejitev in spodbujajte razpravo v skupnostih, ki se zavzemajo za digitalne pravice. Vsak prehod na aplikacijo, ki spoštuje vašo avtonomijo, je korak k zdravejšemu tehnološkemu ekosistemu.
04
Bančne aplikacije
Državne aplikacije
Podatke so zbrali prostovoljci na podlagi lastnega testiranja. Če opazite napako ali želite dopolniti seznam, uredite podatke na GitLab-u ali pa nam pišite.