Dompet ID Digital Eropa Bergantung pada Layanan Google dan Apple
Judul asli: European digital ID wallets rely on safety services of Google and Apple
Mengapa Ini Penting
Keputusan infrastruktur ID digital Eropa menciptakan ketergantungan pada perusahaan teknologi pribadi, mengkhawatirkan keberdaulatan digital dan komitmen regulasi antimonopoli EU.
Pemerintah Eropa menerapkan dompet identitas digital yang mengandalkan Google Play Integrity API dan Apple Managed Device Attestation untuk keamanan. Namun, ketergantungan pada layanan proprietary ini mengkhawatirkan karena memperkuat kontrol perusahaan teknologi besar atas infrastruktur publik.
Negara-negara Eropa sedang meluncurkan dompet identitas digital untuk warga mengakses layanan publik dan verifikasi usia online. Menurut laporan Follow the Money dan Android Authority, dompet ini mengandalkan layanan keamanan Google dan Apple melalui Google Play Integrity API dan Apple Managed Device Attestation, yang dikenal sebagai "remote attestation". Layanan ini memastikan aplikasi dompet berjalan pada perangkat yang tidak dimodifikasi.
Masalahnya adalah Google Play Integrity API bukan sekadar fitur keamanan—API ini memperkuat kontrol Google atas ekosistem Android. API ini gratis untuk pengembang, membantu memeriksa apakah aplikasi berjalan pada "perangkat Android bersertifikat asli" untuk menguji integritas perangkat mobile. Namun, API juga memeriksa apakah perangkat menjalankan versi Android berlisensi Google dan menganggap alternatif berlisensi sebagai risiko keamanan potensial.
Saat Google memverifikasi apakah aplikasi telah dimodifikasi, Google Play Store menjadi sumber kebenaran, memeriksa baik modifikasi aplikasi maupun instalasi melalui Play Store. Akibatnya, layanan keamanan Google dirancang untuk mengecualikan sistem operasi tanpa lisensi Google, mendorong instalasi melalui Play Store, dan memerlukan pengguna masuk dengan akun Google. Praktik ini merupakan pelanggaran Undang-Undang Pasar Digital (DMA).
Alternatif yang lebih terbuka, Android Hardware Attestation API, menyediakan pemeriksaan keamanan berbasis hardware tanpa menerapkan kebijakan ekosistem Google. Namun, alternatif ini diabaikan. Pengembang dompet di Belanda dan Italia telah menerapkan Play Integrity, yang mengecualikan pengguna sistem operasi de-Googled seperti e/OS dan GrapheneOS dari akses layanan. Dengan demikian, pemerintah menjadi penegak kebijakan platform perusahaan swasta, bertentangan dengan ambisi Eropa membangun infrastruktur digital publik berbasis nilai keterbukaan dan kemandirian teknologi.