USA: Google testet neue Remote-Attestations-Methode fĂĽr Android
Ein neues Authentifizierungsverfahren namens „reCAPTCHA Mobile Verification“ soll es Unternehmen ermöglichen, Android‑Geräte zu prüfen, bevor sie Dienste bereitstellen. Laut einem Beitrag der Electronic Frontier Foundation (EFF) verwendet das Verfahren eine Geräte‑Attestierung, die über einen TPM oder einen Secure Enclave erstellt wird, um Details über Hard‑ und Software zu übermitteln.
Funktionsweise der Remote‑Attestierung
Die Remote‑Attestierung erzeugt eine kryptografisch signierte Beschreibung des Geräts, einschließlich Betriebssystem, installierter Komponenten und Sicherheitseinstellungen. Beim Verbindungsaufbau mit einem Server wird diese Beschreibung übermittelt; verweigert das Gerät die Bereitstellung oder erkennt der Server das Gerät nicht, kann der Zugriff blockiert werden.
Geplante Anwendung durch Unternehmen
Unternehmen sollen demnach prüfen können, ob ein Android‑Gerät die offizielle Google‑Version nutzt. Wenn das Gerät nicht die erwarteten Parameter liefert, kann der Dienst den Zugriff verweigern. Die EFF weist darauf hin, dass dies insbesondere für Geräte gilt, die modifizierte oder „de‑Googled“ Versionen von Android ausführen.
Auswirkungen auf alternative Android‑Versionen
Alternative Android‑Distributionen wie CalyxOS, PureOS oder GrapheneOS könnten durch das Verfahren von vielen Diensten ausgesperrt werden. Die EFF berichtet, dass solche Sperrungen die Verbreitung von datenschutzorientierten Systemen erschweren könnten, weil Nutzer dann keinen Zugang zu gängigen Apps und Online‑Diensten erhalten.
Vorgeschichte: Web Environment Integrity (WEI)
Ein ähnliches Projekt namens „Web Environment Integrity“ (WEI) wurde 2023 von Google vorgeschlagen. WEI sollte Web‑Servern ermöglichen, das Betriebssystem des Nutzers zu identifizieren und bei Ablehnung den Zugriff zu verweigern. Nach breiter Kritik seitens der Community und Datenschutzorganisationen wurde das Projekt eingestellt.
Rechtlicher Kontext
Die EFF erwähnt, dass Google in den vergangenen Jahren in mehreren US‑Bundesgerichten wegen wettbewerbswidriger Praktiken verurteilt wurde. Die Entscheidungen betrafen unter anderem angebliche Absprachen mit Apple und unfaire Bedingungen für App‑Entwickler.
Reaktionen von DatenschĂĽtzern
Laut einem Statement der EFF stellt das neue Verfahren ein erhebliches Risiko für die Nutzer‑Privatsphäre dar, weil es die Möglichkeit eliminiert, Werbeblocker, Tracker‑Blocker oder andere sicherheitsrelevante Erweiterungen zu verwenden, ohne den Zugriff zu verlieren.
Implikationen fĂĽr Barrierefreiheit
Barrierefreie Erweiterungen, die beispielsweise die Darstellung für Menschen mit Lichtempfindlichkeit anpassen, könnten ebenfalls blockiert werden, wenn sie als Modifikationen des Geräts erkannt werden. Die EFF betont, dass solche Einschränkungen die Zugänglichkeit des Internets für Menschen mit Behinderungen beeinträchtigen könnten.
Zusammenfassung
Das von Google getestete „reCAPTCHA Mobile Verification“ nutzt Remote‑Attestierung, um Geräte zu identifizieren und potenziell den Zugang zu Diensten zu verweigern. Kritiker, darunter die EFF, warnen vor negativen Folgen für Datenschutz, alternative Android‑Distributionen und Barrierefreiheit.
Dieser Bericht basiert auf Informationen von Electronic Frontier Foundation, lizenziert unter Creative Commons Attribution 4.0 (CC BY 4.0). Offene journalistische Inhalte.
Ende der Uebertragung