El gran castigo por huir de Google en Android es quedarte sin la app del banco. Una alianza Open Source europea quiere evitarlo

Cualquier entusiasta que haya intentado instalar una ROM personalizada o, en general, un Android libre de los servicios de Google (GMS), se ha topado con el mismo muro: abrir la app del banco y encontrarse con un mensaje de error. Detrás de este bloqueo se esconde Play Integrity, una API propietaria de la empresa de Mountain View que certifica si un teléfono es seguro o no. 

Si el terminal no cuenta con la bendición de Google, las apps con información sensibles (bancos, carteras digitales o servicios públicos) se niegan a arrancar. Ahora, un consorcio europeo ha decidido plantar cara a este sistema proponiendo un nuevo estándar de validación.

El candado de Google. El funcionamiento de Play Integrity crea lo que en la industria se conoce como un "paradigma de seguridad contradictorio". ¿Qué significa? Que Google actúa como juez y parte, y dictamina qué sistemas son seguros. Eso deja fuera de la ecuación cualquier modificación que no implante sus servicios, por ejemplo los forks basados en el proyecto libre AOSP.

La dependencia es tan profunda que incluso las instituciones comunitarias sucumben a este sistema: tanto la futura cartera europea como la app para verificar la edad de los ciudadanos (en pruebas) exigen Play Integrity para funcionar, algo que dinamita la propia soberanía digital que Europa persigue y no tiene.

Una alianza Open Source al rescate. Para solucionar este bloqueo, un consorcio formado por fabricantes y desarrolladores europeos ha lanzado una alternativa. El proyecto ha sido bautizado como «UnifiedAttestation» y está impulsado por la alemana Volla, los franceses de Murena (creadores de /e/ OS) e Iodé, y la suiza Apostrophy. 

Tras una primera reunión celebrada el pasado 13 de febrero, el consorcio busca crear un marco independiente y transparente para la comprobación de seguridad, libre del control de una sola corporación estadounidense.

Cómo funciona. A diferencia del modelo centralizado de Google, la iniciativa propone un servicio descentralizado donde las empresas miembros verifican y certifican mutuamente sus sistemas operativos mediante revisión por pares. Distribuido bajo una licencia de código abierto Apache 2.0, el sistema puede integrarse en las apps de los bancos y gobiernos "con solo unas pocas líneas de código". Si las empresas desarrolladoras lo adoptan, un usuario con LineageOS o Volla OS podría volver a pagar con el móvil sin problemas. De hecho, algunas administraciones escandinavas ya están evaluando su integración.

GrapheneOS se opone. Lo que sobre el papel parece una victoria para el software libre, ha desatado una pequeña guerra civil en la comunidad. El equipo detrás de GrapheneOS se ha posicionado en contra de «UnifiedAttestation», tachándolo de ser un sistema igual de anticompetitivo que el de Google.

Argumentan que las empresas que venden teléfonos no deberían tener el poder de decidir qué sistemas están permitidos para apps sensibles. Además, han lanzado duras acusaciones contra Murena, Iodé y Volla: aseguran que venden productos inseguros, retrasan parches de seguridad importantes y usan la excusa para darse una ventaja de mercado injusta frente a otros desarrolladores independientes.

Mientras tanto. Esta fractura en la comunidad Open Source de Android llega en un mal momento. La fecha en la que la certificación obligatoria de desarrolladores para apps Android se acerca. La excusa de la seguridad está siendo utilizada a todos los niveles: desde Google poniendo trabas al sideloading, hasta marcas como Samsung y Xiaomi que buscan bloquear la modificación de sus dispositivos.

Mientras la industria más comercial cierra las puertas de nuestros dispositivos y nos atan a un solo ecosistema, iniciativas como la citada demuestran que escapar del jardín vallado de Google requiere, con cierta paradoja, de construir muros propios. Veremos si sigue adelante y cuánto tardan en implementarla.

Imagen de portada | Composición con imágenes de Pepu Ricca e Iván Linares para Xataka Móvil

En Xataka Móvil | 72 alternativas europeas para el móvil a Google, Gmail, Maps, Drive, WhatsApp y otras apps