Herhangi bir Google hizmeti olmadan Android akıllı telefonla güvenli bir şekilde ödeme yapın: Bu, yeni kurulan endüstriyel konsorsiyumun Alman Volla Systeme GmbH liderliğinde geliştirmekte olduğu plandır. Google Play Integrity'ye açık kaynaklı bir alternatiftir. Bu özel arayüz, Google Play hizmetlerine sahip Android akıllı telefonlarda bankacılık, devlet veya cüzdan uygulamalarının bir akıllı telefonda çalıştırılmasına izin verilip verilmeyeceğine karar verir.
Reklamdan sonra devamını okuyun
Google olmadan güvenli ödeme
c't, kapsamlı bir makalede resmi Google hizmetleri olmadan Android akıllı telefonla ödeme yaparken karşılaşılan engelleri ve ipuçlarını vurguladı. Avrupa sanayi konsorsiyumu artık sözü edilen sorunların bir kısmını çözmek istiyor. Bu amaçla, güçlendirilmiş özel ROM /e/OS, Fransa'dan Iodé ve İsviçre'den Aposttrophy (nokta) geliştiren Murena'nın yanı sıra Volla'nın da yer aldığı grup, Google'sız mobil işletim sistemleri için öncelikle Android Açık Kaynak Projesi'ni (AOSP) temel alan “Birleşik Tasdik” adı verilen bir sistem geliştiriyor.
Volla'ya göre Avrupalı bir üretici ve Asya'nın lider üreticisinin yanı sıra Alman UBports Vakfı gibi Avrupalı vakıflar da projeyi desteklemekle ilgilendiklerini ifade etti. Ayrıca İskandinavya'daki devlet uygulamalarının geliştiricileri ve yayıncıları da yeni süreci “ilk hamleler” olarak kullanmayı değerlendirecek.
Ayrıca okuyun
Volla Systeme GmbH Genel Müdürü ve konsorsiyumun başlatıcısı Dr. Jörg Wurzer, “UnifiedAttestation ile geliştiricilerin ve uygulama yayıncılarının güvenebileceği şeffaf ve güvenilir bir güvenlik doğrulama süreci yaratıyoruz. Bunu yaparak, alternatif mobil işletim sistemlerinin kullanımındaki son engeli ortadan kaldırıyoruz” diyor. Amaç, kişinin kendisini tek bir ABD şirketinin kontrolünden kurtarmak ve daha fazla dijital egemenliğe ulaşmak olduğunu söylüyorlar.
“Güvenlik paradoksu”
Reklamdan sonra devamını okuyun
Volla, duyurusunda Google Play Integrity'nin uygulama geliştiricilere, bir uygulamanın belirli güvenlik gereksinimlerine sahip bir cihazda çalışıp çalışmadığını kontrol eden bir arayüz sağladığını açıklıyor. Bu durum özellikle “hükümetler ve kamu idarelerinin uygulamaları da dahil olmak üzere kimlik doğrulama, bankacılık veya dijital cüzdanlar gibi hassas alanlardaki” uygulamaları etkiliyor.
Şirket, sertifikasyonun yalnızca Google'ın kendi tescilli “Stok Android”i için sunulmasını, ancak /e/OS veya benzeri özel ROM'lar gibi Google hizmetleri olmayan Android sürümleri için sunulmamasını eleştiriyor. Şirket, “Bu, Google hizmetleri ve Google veri merkezleriyle yakından iç içe olduğundan, yapısal bir bağımlılık ilişkisi ortaya çıkıyor ve alternatif işletim sistemleri için fiili bir dışlama kriteri ortaya çıkıyor” diyor.
Konsorsiyumun bakış açısına göre bu aynı zamanda bir “güvenlik paradoksu” ile de sonuçlanıyor çünkü “güvenilirlik testi aynı zamanda ekosisteminden kaçınılması gereken kuruluş tarafından yürütülüyor.”
Açık mimariye sahip UnifiedAttestation
Konsorsiyumun planına göre, Google Play Integrity'nin UnifiedAttestation formundaki alternatifi modüler ve açık kaynaklı olarak geliştirilecek. Google'ın serbestçe kullanılabilen AOSP'sine (Android Açık Kaynak Projesi) benzer şekilde, liberal Apache 2.0 lisansı ile piyasaya sürülecek.
(Resim: Volla)
Konsorsiyum ayrıca UnifiedAttestation'ın üç merkezi unsurdan oluşması gerektiğini açıklıyor. Bir yandan uygulamalara sadece birkaç satır kodla entegre edilebilen bir “işletim sistemi hizmeti” olmalı. Uygulamalar bunu, ilgili işletim sisteminin tanımlanmış güvenlik gereksinimlerini karşılayıp karşılamadığını istemek için kullanabilir. Ayrıca bir doğrulama hizmetinin merkezi olmayan bir şekilde çalıştırılması gerekmektedir. Bu daha sonra bir işletim sistemi sertifikasının ilgili cihazda geçerli olup olmadığını kontrol eder. Üçüncü unsur açık bir test paketidir. Bunun “belirli bir cihaz modeli için bir işletim sistemini test etmek ve onaylamak” amacıyla kullanılması amaçlanmıştır.
Konsorsiyum üyelerinin işletim sistemlerini ve akıllı telefon veya tablet modellerini karşılıklı olarak kontrol edip sertifikalandıracakları bir emsal değerlendirme süreci de planlanıyor. “Bunun amacı şeffaflık yaratmak ve güvenin yerine izlenebilirliği koymaktır.”
“Güveni merkezileştirmek istemiyoruz, bunun yerine onu şeffaf ve kamuya açık olarak doğrulanabilir bir şekilde organize etmek istiyoruz. Şirketler rakiplerin ürünlerini test ederse bu güveni güçlendirebiliriz” diye açıklıyor Dr. Wurzer. Konsorsiyum ayrıca yeni endüstri girişimini, Avrupa'nın en büyük açık kaynak vakfı olan Eclipse Vakfı çatısı altında açık bir işbirliği formatı olarak kurmayı hedefliyor. Bununla ilgili ilk tartışmalar çoktan başladı.
(af)
Bir yanıt yazın