Bezahlen ohne Google: Neues Konsortium will Custom-ROM-Hürden beseitigen

Die Nutzung von Banking- und Bezahl-Apps auf Android-Smartphones mit Custom-ROMs ist ein Problem: Das will ein europäisches Industriekonsortium nun ändern.

19

(Bild: Volla)

12:55 Uhr

Lesezeit: 4 Min.

Von

Andreas Floemer

Bezahlen ohne Google: Neues Konsortium will Custom-ROM-Hürden beseitigen

Sicher mit einem Android-Smartphone bezahlen, ganz ohne Google-Dienste: Das ist der Plan, den das neu gegründete Industriekonsortium unter Führung der deutschen Volla Systeme GmbH entwickelt. Es handelt sich dabei um eine quelloffene Alternative zu Google Play Integrity. Bislang entscheidet die proprietäre Schnittstelle auf Android-Smartphones mit Google-Play-Diensten darüber, ob Banking-, Behörden- oder Wallet-Apps auf einem Smartphone laufen dürfen.

Sicheres Bezahlen ohne Google

Hindernisse und Tipps beim Bezahlen mit einem Android-Smartphone ohne offizielle Google-Dienste hat c’t in einem umfangreichen Artikel beleuchtet. Einige der genannten Probleme will das europäische Industriekonsortium nun beheben. Dafür entwickelt die Gruppe, der neben Volla auch Murena, die das Custom-ROM /e/OS entwickeln, Iodé aus Frankreich und Apostrophy (Punkt) aus der Schweiz angehören, ein sogenanntes „UnifiedAttestation“ für Google-freie mobile Betriebssysteme, überwiegend auf Basis des Android Open Source Projects (AOSP).

Laut Volla haben zudem ein europäischer und ein führender Hersteller aus Asien sowie Europäische Stiftungen wie die deutsche UBports-Stiftung Interesse zur Unterstützung angemeldet. Überdies würden Entwickler und Herausgeber staatlicher Apps aus Skandinavien prüfen, das neue Verfahren als „First Mover“ einzusetzen.

Lesen Sie auch

Custom-ROM GrapheneOS kommt auf Smartphones von großem Hersteller

Free Software Foundation Schriftzug auf Smartphone

Freie Alternative zu Google und Apple: Free Software Foundation plant LibrePhone

Schlecht für Custom ROMs: Google ändert Android-Sicherheitspatch-Strategie

CalyxOS: Android-Custom ROM pausiert Entwicklung für bis zu sechs Monate

New,York,,Usa,-,July,2,,2018,-,Google,Android

Android: Google erschwert die Entwicklung von Custom-ROMs

„Mit UnifiedAttestation schaffen wir ein transparentes und vertrauenswürdiges Verfahren für die Sicherheitsprüfung, auf das Entwickler und Herausgeber von Apps gleichermaßen vertrauen können. Damit beseitigen wir die letzte Hürde für die Verwendung alternativer mobiler Betriebssysteme“, sagt Dr. Jörg Wurzer, Geschäftsführer der Volla Systeme GmbH und Initiator des Konsortiums. Ziel sei es, sich von der Kontrolle eines einzelnen US-Konzerns zu befreien – hin zu mehr digitaler Souveränität, heißt es.

Videos by heise

„Sicherheitsparadox“

Volla erläutert in seiner Ankündigung, dass Google mit Play Integrity App-Entwicklern eine Schnittstelle bereitstellt, die prüft, ob eine App auf einem Gerät mit bestimmten Sicherheitsanforderungen ausgeführt wird. Dies betrifft vor allem Anwendungen aus „sensiblen Bereichen wie Identitätsnachweis, Banking oder digitale Wallets – einschließlich Apps von Regierungen und öffentlichen Verwaltungen“.

Das Unternehmen kritisiert, dass die Zertifizierung ausschließlich für Googles eigenes, proprietäres „Stock Android“ angeboten wird, nicht jedoch für Android-Versionen ohne Google-Dienste wie etwa /e/OS oder ähnliche Custom-ROMs. „Da dieses eng mit Google-Diensten und Google-Rechenzentren verflochten ist, entsteht ein strukturelles Abhängigkeitsverhältnis – und für alternative Betriebssysteme ein faktisches Ausschlusskriterium“, so das Unternehmen.

Aus Sicht des Konsortiums ergebe sich daraus zudem ein „sicherheitstechnisches Paradox“, denn „die Prüfung der Vertrauenswürdigkeit erfolgt durch genau jene Instanz, deren Ökosystem gleichzeitig vermieden werden soll“.

UnifiedAttestation mit offener Architektur

Die Alternative zu Google Play Integrity in Form der UnifiedAttestation soll dem Plan des Konsortiums zufolge modular aufgebaut und quelloffen entwickelt werden. Ähnlich wie Googles frei verwendbares AOSP (Android Open Source Project) soll es mit einer liberalen Apache-2.0-Lizenz veröffentlicht werden.

UnifiedAttestation: Frau bezahlt mit Smartphone im Supermarkt — (Bild: Volla)

Weiter erklärt das Konsortium, dass UnifiedAttestation aus drei zentralen Elementen bestehen soll. Zum einen soll es ein „Betriebssystem-Dienst“ sein, der mit wenigen Zeilen Code in Apps integriert werden kann. Apps könnten darüber eine Anfrage stellen, ob das jeweilige Betriebssystem definierte Sicherheitsanforderungen erfülle. Zudem soll ein Validierungsdienst dezentral betrieben werden. Dieser prüfe dann, ob das Zertifikat eines Betriebssystems auf dem jeweiligen Gerät gültig ist. Das dritte Element ist eine offene Test-Suite. Diese soll zur „Prüfung und Zertifizierung eines Betriebssystems für ein konkretes Gerätemodell“ dienen.

Geplant sei darüber hinaus ein Peer-Review-Verfahren, mit dem die Mitglieder des Konsortiums ihre Betriebssysteme sowie Smartphone- oder Tablet-Modelle gegenseitig prüfen und zertifizieren. „Dadurch soll Transparenz geschaffen und Vertrauen durch Nachvollziehbarkeit ersetzt werden“.

„Wir wollen Vertrauen nicht zentralisieren, sondern transparent und öffentlich überprüfbar organisieren. Wenn Unternehmen die Produkte der Konkurrenz prüfen, können wir jenes Vertrauen stärken“, erklärt Dr. Wurzer. Ziel des Konsortiums ist es zudem, die neue Industrieinitiative als offenes Kooperationsformat unter dem Dach der Eclipse Foundation, der größten Open-Source-Foundation in Europa, zu etablieren. Erste Gespräche dazu hätten bereits begonnen.