欧盟数字身份钱包年龄验证拟绑定谷歌与苹果,GitHub反对意见涌现

歐盟數位身分錢包(EU Digital Identity Wallet)的年齡驗證規格,計劃將 App 與裝置真偽驗證整套繫結至 Google Play Integrity API 與 Apple App Attestation;消息傳出後,官方 GitHub 討論串瞬間被灌爆,開發者社群幾乎一面倒反對。

開發者反對理由:荷蘭 Yivi 已驗證替代方案存在,強制繫結違反兩大原則

根據 GitHub 討論串的留言,反對者的三大核心論點如下:

荷蘭 Yivi 已提供非 Google 方案:荷蘭身分 App Yivi(前身 IRMA)無需依賴 Google 服務即可完成年齡驗證,並已上架 F-Droid 開源商店,直接證明 Play Integrity 整合並非技術上的必要條件。

規格自打嘴巴:歐盟數位身分錢包規格自訂三大原則,強制繫結 Google、Apple 的私有驗證服務同時違反「互通性」與「開放標準」兩項原則。

數位主權問題:政府服務不該依賴第三方外部服務,一旦 Google 或 Apple 調整政策、下架服務或發生系統性漏洞,各國政府的身分驗證機制將被迫停擺。

資安研究員 2 分鐘破解 App PIN

據報導,一名資安研究員實測發現,在 Android 裝置上只需編輯一個純文字偏好設定檔,刪除加密 PIN 條目並關閉生物辨識布林值,不到 2 分鐘即可重設 App PIN、關閉生物辨識登入,且儲存的憑證仍可被完整取走;另一名研究員重現此漏洞,並記錄出更多問題,包括個資未加密儲存。

這些安全問題被部分留言用於質疑:為了防止遠端入侵,是否值得將整套系統綁死在硬體認證上?部分開發者也質疑,年齡驗證何必做成原生 App,現代 Web App 搭配 Digital Credentials API 同樣可達成效果。

荷蘭義大利採用 Google Play Integrity

據報導,各國政府對此機制的態度不一:荷蘭與義大利目前無條件採用 Google Play Integrity;瑞士則因資料保護、資料主權與用戶選擇自由等考量,改用 Android 內建的認證機制,直接放棄 Play Integrity。

在替代方案方面,年齡驗證 App 供應商 Scytales 表態,其歐盟年齡驗證 App 的完整性檢查不依賴 Google 或 Apple;Volla Systeme GmbH 發起的「Unified Attestation」提供短效整合權杖與離線驗證功能,並可與 Play Integrity 並存,被部分留言視為折衷解決方案。

常見問題

開發者為何反對歐盟數位身分錢包綁定 Google Play Integrity?

根據 GitHub 討論串,主要理由包括:荷蘭 Yivi App 已在不依賴 Google 服務下完成年齡驗證,證明替代方案存在;強制繫結違反歐盟規格自訂的「互通性」與「開放標準」原則;政府服務依賴私人公司平台政策恐引發數位主權風險。

Waag Futurelab 的 DMA 警告具體指什麼?

據報導,荷蘭非營利組織 Waag Futurelab 在其文章中警告,Google Play Integrity API 的設計可能讓政府淪為私人公司平台政策的執行者,且其設計可能牴觸旨在防止大型企業壟斷的歐盟《數位市場法》(DMA)。

各國對 Google Play Integrity 整合的立場有何差異?

據報導,荷蘭與義大利無條件採用 Google Play Integrity;瑞士則以資料保護、資料主權及用戶選擇自由為由,改用 Android 內建認證機制,放棄 Play Integrity。

免责声明:本页面信息可能来自第三方,仅供参考,不代表 Gate 的观点或意见,亦不构成任何财务、投资或法律建议。数字资产交易风险较高,请勿仅依赖本页面信息作出决策。具体内容详见声明
评论
0/400
暂无评论