Google hizmetleri olmadan Android akıllı telefonla güvenli bir şekilde ödeme yapmak: Alman Volla Systeme GmbH'nin rehberliğinde yeni kurulan endüstriyel konsorsiyumun geliştirdiği plan budur. Google Play Integrity'ye açık kaynaklı bir alternatiftir. Bu tescilli arayüz, Google Play hizmetlerine sahip Android akıllı telefonlarda bankacılık, devlet veya cüzdan uygulamalarının bir akıllı telefonda çalışıp çalışmayacağını belirler.
Duyurudan sonra devamını okuyun
Google olmadan güvenli ödeme
Kapsamlı bir makalede, resmi Google hizmetleri olmadan Android akıllı telefonla ödeme yapmanın önündeki engeller ve öneriler vurgulanmadı. Avrupa sanayi konsorsiyumu artık sözü edilen sorunların bir kısmını çözmek istiyor. Bu amaçla, güçlendirilmiş /e/OS özel ROM'u, Fransa'dan Iodé ve İsviçre'den Aposttrophy (nokta) geliştiren Volla ve Murena'nın da yer aldığı grup, Google'sız mobil işletim sistemleri için esas olarak Android Açık Kaynak Projesi'ni (AOSP) temel alan “BirleşikAttestation” adı verilen bir geliştirme geliştiriyor.
Volla'ya göre, Avrupalı bir üretici ve büyük bir Asyalı üreticinin yanı sıra Alman vakfı UBports gibi Avrupalı vakıflar da projeyi desteklemekle ilgilendiklerini ifade etti. Ayrıca İskandinav devleti uygulama geliştiricileri ve yayıncıları, yeni süreci “ilk hamle” olarak kullanmayı değerlendirecek.
Ayrıca okuyun
Volla Systeme GmbH CEO'su ve konsorsiyumun başlatıcısı Dr. Jörg Wurzer, “UnifiedAttestation ile hem uygulama geliştiricilerin hem de yayıncıların güvenebileceği şeffaf ve güvenilir bir güvenlik doğrulama süreci oluşturuyoruz. Böylece alternatif mobil işletim sistemlerinin kullanımının önündeki son engeli ortadan kaldırıyoruz” diyor. Hedefin tek bir Amerikan şirketinin kontrolünden kurtulmak, daha büyük dijital egemenliğe ulaşmak olduğunu söylüyorlar.
“Güvenlik paradoksu”
Duyurudan sonra devamını okuyun
Volla, duyurusunda Google Play Integrity'nin uygulama geliştiricilere, bir uygulamanın belirli güvenlik gereksinimlerine sahip bir cihazda çalışıp çalışmadığını kontrol eden bir arayüz sağladığını açıklıyor. Bu özellikle “kimlik kanıtı, bankacılık hizmetleri veya dijital cüzdanlar gibi hassas alanlardaki (hükümet ve kamu yönetimi uygulamaları dahil)” uygulamalarla ilgilidir.
Şirket, sertifikasyonun yalnızca Google'ın tescilli “Stok Android”i için sunulmasını, ancak /e/OS veya benzeri özel ROM'lar gibi Google hizmetleri olmayan Android sürümleri için sunulmamasını eleştiriyor. Şirket, “Bu, Google'ın hizmetleri ve veri merkezleriyle yakından iç içe olduğundan yapısal bir bağımlılık ilişkisi yaratıyor ve alternatif işletim sistemleri için fiili bir dışlama kriteri yaratıyor” diyor.
Konsorsiyumun bakış açısına göre bu aynı zamanda bir “güvenlik paradoksuna” da yol açıyor çünkü “güvenilirlik testi, aynı zamanda ekosisteminden kaçınılması gereken kuruluş tarafından gerçekleştiriliyor”.
Açık mimariyle birleşik doğrulama
Konsorsiyumun planına göre Google Play Integrity'nin UnifiedAttestation formundaki alternatifi modüler ve açık kaynak olarak geliştirilecek. Google'ın serbestçe kullanılabilen AOSP'sine (Android Açık Kaynak Projesi) benzer şekilde, liberal Apache 2.0 lisansı altında yayınlanacak.
(Resim: Volla)
Konsorsiyum ayrıca UnifiedAttestation'ın üç merkezi unsurdan oluşması gerektiğini açıklıyor. Bir yandan uygulamalara sadece birkaç satır kodla entegre edilebilen bir “işletim sistemi hizmeti” olmalı. Uygulamalar bunu, ilgili işletim sistemlerinin tanımlanmış güvenlik gereksinimlerini karşılayıp karşılamadığını sorgulamak için kullanabilir. Ayrıca, bir doğrulama hizmetinin merkezi olmayan bir şekilde çalıştırılması gerekir. Daha sonra ilgili cihazda işletim sistemi sertifikasının geçerli olup olmadığı kontrol edilir. Üçüncü unsur açık bir test paketidir. Bunun “belirli bir cihaz modeli için bir işletim sistemini test etmek ve onaylamak” amacıyla kullanılması amaçlanmıştır.
Ayrıca konsorsiyum üyelerinin birbirlerinin işletim sistemlerini ve akıllı telefon veya tablet modellerini doğrulayıp sertifikalandıracakları bir emsal inceleme süreci de bulunmaktadır. “Bunun amacı şeffaflık yaratmak ve güvenin yerine izlenebilirliği koymaktır.”
“Güveni merkezileştirmek istemiyoruz, bunun yerine onu şeffaf ve kamuya açık olarak doğrulanabilir bir şekilde organize etmek istiyoruz. Şirketler rakiplerin ürünlerini test ederse bu güveni güçlendirebiliriz” diye açıklıyor Dr. Wurzer. Konsorsiyum ayrıca yeni endüstriyel girişimi, Avrupa'nın en büyük açık kaynak vakfı olan Eclipse Vakfı çatısı altında açık bir işbirliği formatı olarak kurmayı hedefliyor. Bu konuyla ilgili ilk tartışmalar şimdiden başladı.
(af)
Bir yanıt yazın