[Android] Remove Play Integrity integration

[sirtao]

Italian

(in fondo la lista degli Issue a cui faccio riferimento)
In seguito a:

• multipli problemi causati, apparentemente, da Play Integrity
• l'intero discorso\problema dell'affidare a un privato monopolista extra-UE il decidere i criteri per il quale un telefono è "sicuro"
• la conseguente limitazione nei dispositivi disponibili all'utente finale, limitandone quindi la libertà e l'accesso a una App finanziata con fondi pubblici

ho notato una certa richiesta di rimozione della Play Integrity.

Poiché la possibilità che chi non vuole Play Integrity sia una "minoranza rumorosa" non può essere esclusa a priorio ho deciso di creare un sondaggio, in modo che la community possa indicare in maniera chiara la propria posizione sul tema.

Il Sondaggio(in Inglese per massima comprensione internazionale) parte con la domanda "Andrebbe rimosso Google Play Integrity?"
Le possibili risposte sono:

1. Sì - Abbastanza chiaro: l'utente che vota questa scelta vuole la rimozione.
2. No - Abbastanza chiaro: l'utente vuole mantenere l'utilizzo di Play Integrity.
3. No, ma il fallirne il controllo dovrebbe risultare solo in un Avvertimento all'Utente - una via di mezzo: si manterrebbe Play Integrity con tutti i vantaggi che questo possa portare, ma il fallirne il controllo non diventa bloccante ma si limita a informare l'utente e chiedere conferma per procedere comunque... o qualcosa del genere(l'implementazione come sempre è da vedere sul momento)

English

(at the bottom is the list of Issues I am referring to)
Following:

• multiple problems apparently caused by Play Integrity
• the whole issue of entrusting a private non-EU monopolist with deciding the criteria for which a phone is "safe"
• the consequent limitation in the devices available to the end user, thus limiting their freedom and access to an App paid by public money

I have noticed a certain desire for the removal of Play Integrity.

Since the possibility that those who do not want Play Integrity are a "noisy minority" cannot be ruled out a priori, I have decided to create a survey, so that the community can clearly indicate their position on the issue.

The Survey (in English to maximise international understanding) starts with the question "Should Google Play Integrity integration be removed?"
The possible answers are:

1. Yes - Quite clear: the user who votes for this choice wants it removed.
2. No - Clear enough: the user wants to keep using Play Integrity.
3. No, but failing its check should result only in a Warning to the User - a middle ground: Play Integrity would be maintained with all the benefits that this can bring, but failing its check does not become blocking but simply informs the user and asks for confirmation to proceed anyway... or something like that (the implementation as always remains to be seen at a later time)

Related Issues

#6507
#6518
#6519
#6520
#6524
#6525
#6327
#6533

[Ciancy28]

No, but failing its check should result only in a Warning to the User
In my opinion this is what would make the most sense, but not with its current security check implementation (so I still voted "Yes").
At the moment, all sorts of devices running a stock rom with a locked bootloader and the latest security patches fail the security check, which would still cause confusion for those users into thinking their phone is unsafe when in reality it isn't (the same applies to GrapheneOS or other roms which offer very high security standards and run on locked bootloaders).
Lowering the integrity requirement to not require strong, or replacing it with a simple unlocked bootloader/root check that doesn't rely on the integrity api would already make me lean more towards the "warning to the user" option, but we already know that also doesn't tell you much about the actual security of the device so yeah, unless a much more reliable way of distinguishing regular roms on an unlocked bootloader from "secure" stock roms or hardened custom roms is introduced, a warning is already not ideal, again, at least from my perspective.
BUT it would also be already a thousand times better than what we have now so, devs, if you insist that removing play integrity isn't an option, please go with this one.

[mirh]

No, but failing its check should result only in a Warning to the User
Just like Secure Boot for x86 pcs, a monopoly isn't so much a problem as it is a feature (at least as long as terms are FRAND). You kinda need a central authority for these kinds of things, and cutting middlemen because you are already the OS supplier even marginally improves secrecy (in the one case where that isn't just a snakeoil excuse to cut corners).
Further, if you are a high value target, I can guess you might like ALL this bullshit and then also some depending on how much special you think to be (knox, lockdown mode, fully managed enterprise account, remote and hardware attestations, passwords, fingerprints, face scan and whatnot together).

BUT be as it may that you even want a "hypochondriac super extra peace of mind" level to exist, and even be the default, it shouldn't be sine qua non. Especially if it gets in the way of basic freedom, indirectly market competition, and if what the graphene guys are saying about "good enough security" is true.

[orazioedoardo]

No, ma il fallirne il controllo dovrebbe risultare solo in un Avvertimento all'Utente - una via di mezzo: si manterrebbe Play Integrity con tutti i vantaggi che questo possa portare, ma il fallirne il controllo non diventa bloccante ma si limita a informare l'utente e chiedere conferma per procedere comunque... o qualcosa del genere(l'implementazione come sempre è da vedere sul momento)

Questa opzione renderebbe il controllo effettuato dal backend ancora più inaffidabile di quanto lo sia adesso. Il threat model di IT Wallet è che un attaccante abbia accesso privilegiato sul sistema ma non riesce a bypassare Play Integrity: fail open sarebbe equivalente a non avere Play Integrity perché un attaccante lo farebbe semplicemente fallire by design.

In pratica constatato che utenti smanettoni riescono a spoofare senza problemi Play Integrity, io sono a favore per rimuoverlo del tutto (ma anche per il discorso monopolio e concorrenza) e sostituirlo con controlli generici come suggerito da @Ciancy28. Si assume che al momento dell'installazione il telefono non sia stato violato e si informa l'utente della presenza di root, bootloader sbloccato, crittografia mancante (non so se si può verificare ma su alcune ROM non è attiva di default), patch di sicurezza mancanti, etc.

In caso di riscontro positivo l'app spiegherebbe che i documenti possono essere aggiunti comunque ma l'utente corre rischio di perderne il controllo per via della sicurezza indebolita (questo è un fatto). IO si comporta già in questo modo limitatamente al root.

[mirh]

Questo sarebbe vero se l'ipotetica spunta per la turbo-giga sicurezza oppure no risiedesse in-app, e fosse solo un giurin giurello che il server chiede. Ma niente vieta di averlo su di questo, e richiedere tutto l'armamentario possibile (l'accesso di livello 3 mi immagino) per cambiarlo.

Poi che la strong integrity non serva mai.. non sono d'accordo. È tutt'altro che banale fregare quella (tanto più poi se non è esclusiva con il resto, ma cumulativa) e btw se non l'hanno già fatto google comincerà a breve ad includere il patch level come parte dei responsi.
Che poi stiamo raggiungendo livelli di onanismo imbarazzanti (tanto più considerato che ormai sarà da 10 anni a questa parte che le uniche ladrate che si sentono avvenire su mobile sono via ingegneria sociale con il layer 8 che si auto-compromette) è un altro discorso, certamente valido ed il motivo per cui serve un attimo di bilanciamento tra priorità.