Vi må rigge oss for alternativer

Android operativsystemet kjører på nesten alle smarttelefoner som ikke bruker Apples iOS. Android er åpen kildekode. Dessverre blir telefoner som kjører Android mer låst ned for hver dag som går. Utfordringene er mange, men de viktigste mener jeg er:

• Mobilprodusentene låser ned telefonen så man kan ikke installere alternative versjoner av Android på mobilene. (Hederlige unntak er Googles egen Pixel-serie, og Fairphone).
• Applikasjonsmakerne bruker tjenester som bare er tilgjengelig via Google Play services.

Denne posten handler om sistnevnte. Google play services, og spesifikt hvilke tjenester jeg kunne ønske norske leverandører stoppet å bruke.

Pushvarsel

De fleste av oss har et forhold til pushvarsel. Her er allikevel et kjapt forsøk på å forklare. La oss ta Vipps sin applikasjon som et eksempel. En venn sender deg penger, og du får et varsel på telefonen. Varselet ble sendt fra Vipps, via Google, og så til telefonen din.

Grunnen til at varselet ikke går direkte fra Vipps sine servere og til din telefon, er for å spare prosessorkraft (og dermed også batteri). Ved å samle alle varselsendinger via en strøm, blir det færre oppkoblinger for telefonen.

Det er to store problemer med at applikasjoner bruker Google Play Services for pushvarsler: Metadata og lock-in.

Google mottar masse data

Google får mye data om din data fra pushvarsler.

• Hvilken applikasjon som mottar pushvarselet.
• Når pushvarselet var sendt fra Vipps sine servere og mottatt på enheten.
• Hvilken google brukerkontor varselet ble sendt til.
• Innholdet i varselet (bare om applikasjonen ikke har satt opp kryptering).

I tillegg har det vist seg å være vanskelig for applikasjonsutviklere og holde tunga rett i munnen når de skal sende pushvarseler. I studien «The Medium is the Message: How Secure Messaging Apps Leak Sensitive Data to Push Notification Services», kan man lese at av de 20 krypterte meldingsapplikasjoner som ble analysert, sendte 11 av de informasjon som kan brukes til å identifisere deg til Google.

Om man ønsker å bruke en alternativ versjon av Android uten Google sine tjenester, fungerer ikke pushvarseler. I praksis betyr det at du ikke får varselet fra Vipps før du åpner appen.

Google Play Store

Android kan installere applikasjoner fra mange steder. Man kan laste ned installasjonsfiler fra Internett, eller bruke alternative applikasjonsbutikker.

Dessverre er Google Play Store det eneste stedet Vipps publiserer applikasjonen sin. For å bruke Google Play Store må man ha Google bruker, og en telefon med Google Play Services. Entusiaster kan laste ned applikasjonen fra alternative nettsider som republiserer applikasjoner fra Play Store. Men her er det vanskelig og vite om installasjonsfilene er tuklet med.

Play Integrity API

For mange er første gangen de hørte om Play integrity i kode 24. Her kunne man lese om hvordan «Ikke mulig å bruke Vipps og samtidig være fri fra amerikansk Big Tech», samt «Dette svarer Vipps til kommentaren fra Robin Heggelund Hansen». I praksis leverer Play integrity en tjeneste for utviklere til å sjekke om Google mener telefonen er trygg, og ikke tuklet med. Dette er uten tvil den største hindringer for entusiaster å komme seg rundt. Man kan lese side opp og side ned om brukere som lurer på om Play integrity fungerer på deres alternative versjon av Android.

Alternativene finnes

For pushvarsel bør applikasjoner bruke Unifiedpush. Unifiedpush er et desentralisert pushvarsel system som lar brukeren velge pushvarsel-leverandør. Det er utviklet for å være sikkert, fleksibelt og åpent. Noen og tredve applikasjoner støtter allerede Unifiedpush. Om man installerer en applikasjon som støtter Unifiedpush på en telefon med kun Google Play Services, så vil push-varselet sendes via Google som vanlig. Dermed vil ikke den jevne brukeren merke at applikasjonen støtter Unifiedpush, og man ødelegger ingen brukeropplevelser.

Et godt Google Play store alternativ er F-Droid. F-Droid er en applikasjonsbutikk som ut av boksen bare inneholder applikasjoner med åpen kildekode. Heldigvis støtter F-Droid alternative pakkearkiver. Vipps kunne publisert apk-ene sine i et slik pakkearkiv. F-Droid har god dokumentasjon på hvordan Vipps selv kan ta kontroll på hele publikasjonskjeden. Det er ikke så vanskelig og se for seg en fremtid hvor Google sperrer Vipps ut av Google Play Service, om de blir en for stor konkurrent til Google egen «Google Wallet», eller om de bryter med en av Google Play Services diffuse regler. Selvfølgelig burde Vipps fortsette å publisere til Google Play butikken, samtidig som de publiserer til et F-Droid pakkearkiv.

Så er vi på Play integrity, som Vipps selv mente var vanskelig og bytte ut. Her er jeg til dels enig. Vipps sier til kode24 at de ikke må bruke Play integrity, men «løsningen dekker en stor del av det vi må ivareta rundt integritet av både enhet og app. ... Jeg vil si at det som gjør det vanskelig å gjøre endringer her er vel så mye det rundt avtaler, dokumentasjonskrav og revisjoner, som det er den tekniske løsningen.». Siden jeg ikke har innsikt i hvilke forpliktelser Vipps har med betalingsleverandørene, så er det vanskelig og komme med et teknisk alternativ. GrapheneOS (en distribusjon av Android med særlig fokus på sikkerhet) peker på «standard Android hardware attestation API». Men skulle være papirmøllene til betalingsleverandørene som stopper bruk av alternative åpen Android, vil jeg oppfordre Vipps til å dele det offentlig, så man har mulighet til å legge press mot riktig instans.

Utfordringer, oppfordringer og drømmer

Det er få som har blitt rike av å støtte åpne standarder. Det er dårlig butikk å bruke penger på å utvikle tjenester den gemene hop ikke bruker. I disse ulvetider mener jeg det allikevel er hensiktsmessig at applikasjoner fra det offentlige (og selskaper med særlig samfunnsansvar) støtter åpne standarder. Ikke bare kan innbyggere velge om de vil ha big tech i lomma, men vi gjør det også mulig for nye konkurrenter og innovere, uten å spille ball med Google og Apple. Og skulle det i fremtiden bli enda vanskeligere og samarbeide med USA, er det veldig kjekt og ha klar selvstendig infrastruktur.

Så kjære mellomledere og utviklere av applikasjonene til Vipps, BankID, Ruter, Posten, MinID, Entur, Vy også videre. Prøv å ta grep for å gjøre det enklere å velge bort selskapene som logrer for monopol og diktatur. Kanskje applikasjonene deres til og med kan bli publisert som åpen kildekode? Bevegelsen Public Money, Public Code begynner å bli store i Europe.