La battaglia sulla sicurezza degli smartphone si sposta sempre più sul terreno del controllo dell’accesso ad app e siti web. GrapheneOS, sistema operativo Android focalizzato su privacy e sicurezza, accusa Google e Apple di usare strumenti di verifica dei dispositivi per rendere più difficile la vita ai sistemi operativi alternativi e, nel lungo periodo, rafforzare il proprio controllo sull’ecosistema mobile. La denuncia riguarda tecnologie come Google Play Integrity API, Apple App Attest e le nuove forme di verifica legate a reCAPTCHA.
L’accusa di GrapheneOS
Secondo GrapheneOS, sempre più app e servizi online controllano non solo l’identità dell’utente, ma anche se il dispositivo usato sia considerato “affidabile” e se il software installato sia approvato dai grandi gestori delle piattaforme. Il rischio, sostiene il progetto, è che telefoni perfettamente funzionanti ma basati su sistemi alternativi vengano esclusi da app bancarie, servizi pubblici, pagamenti digitali o procedure di verifica online.
Il punto centrale della critica è che questi strumenti vengono presentati come soluzioni di sicurezza, ma possono diventare anche un meccanismo di selezione dell’hardware e del software ammessi. Android Authority riporta che GrapheneOS ha parlato di un possibile blocco progressivo della concorrenza tra sistemi operativi e dispositivi, con Google e Apple in una posizione sempre più decisiva nel determinare cosa possa funzionare correttamente online.
Il caso più delicato riguarda Play Integrity API, il sistema di Google che consente agli sviluppatori di verificare se una richiesta provenga da un’app non modificata, installata tramite Google Play e in esecuzione su un dispositivo Android ritenuto genuino. Google descrive il servizio come uno strumento per proteggere app, giochi, ricavi e fiducia degli utenti da frodi, abuso e manomissioni.
Il problema, secondo GrapheneOS, è che un controllo di questo tipo può penalizzare anche sistemi operativi legittimi e orientati alla sicurezza, ma non certificati secondo i criteri di Google. In pratica, un’app potrebbe rifiutare l’accesso non perché il dispositivo sia compromesso, ma perché non rientra nella lista delle configurazioni approvate.
Il tema non è nuovo per chi usa ROM personalizzate, dispositivi con bootloader sbloccato o versioni Android senza servizi Google. Le app bancarie e di pagamento sono tra le più inclini a usare controlli di integrità, spesso per ragioni di conformità e prevenzione delle frodi. Ma la linea tra protezione e chiusura dell’ecosistema diventa più sottile quando l’esito del controllo limita l’accesso anche a software alternativi mantenuti attivamente.
Anche Apple nel mirino con App Attest
GrapheneOS chiama in causa anche Apple App Attest, tecnologia pensata per permettere agli sviluppatori di verificare che le richieste al server arrivino da un’istanza autentica della loro app. Nella documentazione ufficiale, Apple presenta App Attest come un modo per aumentare la fiducia nell’integrità dell’app e proteggere risorse sensibili lato server.
Nel caso di Apple, però, la situazione è diversa da Android: iOS è già un ecosistema più chiuso, con distribuzione delle app e controllo del sistema operativo fortemente centralizzati. La critica di GrapheneOS è più ampia: se le app e i servizi essenziali iniziano a dipendere da attestazioni legate a piattaforme proprietarie, l’utente potrebbe avere sempre meno margine di scelta sul dispositivo e sul sistema operativo da usare.
La parte più sensibile riguarda reCAPTCHA. Google definisce reCAPTCHA un servizio gratuito per proteggere i siti da spam e abusi automatizzati, distinguendo gli esseri umani dai bot. Ma GrapheneOS teme che i nuovi meccanismi di verifica, inclusi quelli che possono richiedere l’uso di un dispositivo mobile compatibile, finiscano per condizionare l’accesso a una parte significativa del web.
La documentazione di supporto Google indica che, per completare alcune verifiche mobili, può essere necessario usare un dispositivo compatibile; su Android, viene citato anche l’aggiornamento dei Google Play Services in caso di versione non adeguata. Questo è il passaggio che preoccupa gli utenti di Android “de-googled”, cioè privi dei servizi proprietari di Google.
La questione mette insieme due esigenze reali ma difficili da conciliare. Da una parte, sviluppatori, banche e servizi pubblici vogliono ridurre frodi, malware, bot e accessi non autorizzati. Dall’altra, utenti e progetti indipendenti chiedono che la sicurezza non diventi un pretesto per escludere dispositivi e sistemi operativi concorrenti.
Al momento, secondo quanto riportato da Android Authority, Google e Apple non hanno risposto pubblicamente alle accuse specifiche sollevate da GrapheneOS. Il dibattito, però, è destinato a crescere: più servizi essenziali adottano sistemi di attestazione del dispositivo, più diventa importante stabilire chi decide quali telefoni, sistemi operativi e browser siano abbastanza “affidabili” per accedere alla rete.
