Spesifikasi verifikasi usia untuk EU Digital Identity Wallet (EU Digital Identity Wallet) direncanakan akan mengikat seluruh rangkaian verifikasi keaslian aplikasi dan perangkat pada Google Play Integrity API serta Apple App Attestation; setelah kabar tersebut beredar, utas diskusi GitHub resmi seketika dibanjiri, dan komunitas pengembang hampir sepenuhnya menolak.
Alasan Pengembang Menolak: Yivi Belanda Sudah Punya Solusi Pengganti Terverifikasi, Pengikatan Paksa Melanggar Dua Prinsip Utama
Berdasarkan komentar di utas GitHub, tiga poin inti penolakan dari para pengembang adalah sebagai berikut:
Yivi Belanda Sudah Menyediakan Solusi Non-Google: Aplikasi identitas Belanda Yivi (sebelumnya IRMA) dapat menyelesaikan verifikasi usia tanpa bergantung pada layanan Google, dan sudah tersedia di toko sumber terbuka F-Droid, yang secara langsung membuktikan bahwa integrasi Play Integrity bukanlah syarat yang diperlukan secara teknis.
Spesifikasi Saling Kontradiksi: Spesifikasi EU Digital Identity Wallet menetapkan tiga prinsip kustom; mengharuskan pengikatan ke layanan verifikasi privat Google dan Apple sekaligus, yang melanggar dua prinsip “interoperabilitas” dan “standar terbuka”.
Masalah Kedaulatan Digital: Layanan pemerintah seharusnya tidak bergantung pada layanan eksternal pihak ketiga; bila Google atau Apple mengubah kebijakan, menurunkan layanan, atau terjadi celah keamanan sistemik, maka mekanisme verifikasi identitas tiap negara akan terpaksa berhenti.
Peneliti Keamanan Membobol App PIN dalam 2 Menit
Menurut laporan, seorang peneliti keamanan menguji dan menemukan bahwa di perangkat Android, hanya perlu mengedit file preferensi teks biasa, menghapus entri PIN terenkripsi, dan mematikan nilai boolean pengenalan biometrik; dalam waktu kurang dari 2 menit, App PIN dapat direset, login biometrik dimatikan, dan kredensial yang tersimpan masih bisa diambil sepenuhnya; peneliti lain mereproduksi celah tersebut, serta mencatat lebih banyak masalah, termasuk penyimpanan data pribadi tanpa enkripsi.
Masalah keamanan ini oleh sebagian komentar dipakai untuk mempertanyakan: demi mencegah kompromi jarak jauh, apakah layak mengunci seluruh sistem pada autentikasi perangkat keras? Sebagian pengembang juga mempertanyakan, mengapa verifikasi usia harus dibuat sebagai aplikasi native; dengan Web App modern yang dipadukan Digital Credentials API, efek yang sama juga dapat dicapai.
Belanda dan Italia Mengadopsi Google Play Integrity
Menurut laporan, sikap berbagai pemerintah terhadap mekanisme ini tidak seragam: Belanda dan Italia saat ini mengadopsi Google Play Integrity tanpa syarat; Swiss, dengan alasan perlindungan data, kedaulatan data, serta kebebasan pilihan pengguna, beralih ke mekanisme autentikasi bawaan Android, dan langsung meninggalkan Play Integrity.
Untuk alternatif, penyedia aplikasi verifikasi usia Scytales menyatakan bahwa pemeriksaan integritas untuk aplikasi verifikasi usia di UE mereka tidak bergantung pada Google atau Apple; “Unified Attestation” yang diprakarsai Volla Systeme GmbH menyediakan token integrasi berumur pendek dan fitur verifikasi offline, serta dapat berjalan berdampingan dengan Play Integrity, dan oleh sebagian komentar dipandang sebagai solusi kompromi.
FAQ
Mengapa pengembang menolak pengikatan EU Digital Identity Wallet ke Google Play Integrity?
Berdasarkan utas diskusi GitHub, alasan utamanya meliputi: aplikasi Yivi Belanda sudah menyelesaikan verifikasi usia tanpa bergantung pada layanan Google, yang membuktikan adanya solusi alternatif; pengikatan paksa melanggar prinsip “interoperabilitas” dan “standar terbuka” yang disesuaikan oleh spesifikasi UE; risiko kedaulatan digital muncul jika layanan pemerintah bergantung pada kebijakan platform perusahaan swasta.
Peringatan DMA Waag Futurelab secara spesifik mengarah ke apa?
Menurut laporan, organisasi nirlaba Waag Futurelab di Belanda memperingatkan dalam artikelnya bahwa desain Google Play Integrity API berpotensi membuat pemerintah menjadi pelaksana kebijakan platform perusahaan swasta, dan desainnya juga dapat bertentangan dengan Undang-Undang Pasar Digital Uni Eropa (DMA) yang bertujuan mencegah monopoli oleh perusahaan besar.
Apa perbedaan sikap tiap negara terhadap integrasi Google Play Integrity?
Menurut laporan, Belanda dan Italia mengadopsi Google Play Integrity tanpa syarat; Swiss menggunakan alasan perlindungan data, kedaulatan data, serta kebebasan pilihan pengguna, sehingga beralih ke mekanisme autentikasi bawaan Android dan meninggalkan Play Integrity.