歐盟數位身分錢包(EU Digital Identity Wallet)的年齡驗證規格,計劃將 App 與裝置真偽驗證整套繫結至 Google Play Integrity API 與 Apple App Attestation;消息傳出後,官方 GitHub 討論串瞬間被灌爆,開發者社群幾乎一面倒反對。
開發者反對理由:荷蘭 Yivi 已驗證替代方案存在,強制繫結違反兩大原則
根據 GitHub 討論串的留言,反對者的三大核心論點如下:
荷蘭 Yivi 已提供非 Google 方案:荷蘭身分 App Yivi(前身 IRMA)無需依賴 Google 服務即可完成年齡驗證,並已上架 F-Droid 開源商店,直接證明 Play Integrity 整合並非技術上的必要條件。
規格自打嘴巴:歐盟數位身分錢包規格自訂三大原則,強制繫結 Google、Apple 的私有驗證服務同時違反「互通性」與「開放標準」兩項原則。
數位主權問題:政府服務不該依賴第三方外部服務,一旦 Google 或 Apple 調整政策、下架服務或發生系統性漏洞,各國政府的身分驗證機制將被迫停擺。
資安研究員 2 分鐘破解 App PIN
據報導,一名資安研究員實測發現,在 Android 裝置上只需編輯一個純文字偏好設定檔,刪除加密 PIN 條目並關閉生物辨識布林值,不到 2 分鐘即可重設 App PIN、關閉生物辨識登入,且儲存的憑證仍可被完整取走;另一名研究員重現此漏洞,並記錄出更多問題,包括個資未加密儲存。
這些安全問題被部分留言用於質疑:為了防止遠端入侵,是否值得將整套系統綁死在硬體認證上?部分開發者也質疑,年齡驗證何必做成原生 App,現代 Web App 搭配 Digital Credentials API 同樣可達成效果。
荷蘭義大利採用 Google Play Integrity
據報導,各國政府對此機制的態度不一:荷蘭與義大利目前無條件採用 Google Play Integrity;瑞士則因資料保護、資料主權與用戶選擇自由等考量,改用 Android 內建的認證機制,直接放棄 Play Integrity。
在替代方案方面,年齡驗證 App 供應商 Scytales 表態,其歐盟年齡驗證 App 的完整性檢查不依賴 Google 或 Apple;Volla Systeme GmbH 發起的「Unified Attestation」提供短效整合權杖與離線驗證功能,並可與 Play Integrity 並存,被部分留言視為折衷解決方案。
常見問題
開發者為何反對歐盟數位身分錢包綁定 Google Play Integrity?
根據 GitHub 討論串,主要理由包括:荷蘭 Yivi App 已在不依賴 Google 服務下完成年齡驗證,證明替代方案存在;強制繫結違反歐盟規格自訂的「互通性」與「開放標準」原則;政府服務依賴私人公司平台政策恐引發數位主權風險。
Waag Futurelab 的 DMA 警告具體指什麼?
據報導,荷蘭非營利組織 Waag Futurelab 在其文章中警告,Google Play Integrity API 的設計可能讓政府淪為私人公司平台政策的執行者,且其設計可能牴觸旨在防止大型企業壟斷的歐盟《數位市場法》(DMA)。
各國對 Google Play Integrity 整合的立場有何差異?
據報導,荷蘭與義大利無條件採用 Google Play Integrity;瑞士則以資料保護、資料主權及用戶選擇自由為由,改用 Android 內建認證機制,放棄 Play Integrity。
免责声明:以上内容(如有图片或视频亦包括在内)均为平台用户上传并发布,本平台仅提供信息存储服务,对本页面内容所引致的错误、不确或遗漏,概不负任何法律责任,相关信息仅供参考。
本站尊重他人的知识产权、名誉权等法律法规所规定的合法权益!如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到qklwk88@163.com,本站相关工作人员将会进行核查处理回复