Banking Apps und Custom-ROMs: GrapheneOS wirft Volla, Murena und Iodé Täuschung vor
Streit in der Android-Community: Eine Initiative von Volla, Murena und Iodé will eine Alternative zu Googles Play Integrity API entwickeln. Kritik daran kommt von den Entwicklern von GrapheneOS, die allen drei Unternehmen schwere Vorwürfe machen.
Hintergrund ist, dass Google über die Play Integrity API kontrolliert, welche Smartphones Banking-Apps nutzen dürfen. Auf Geräten ohne Google-Dienste laufen solche Anwendungen üblicherweise nicht, die allerdings heutzutage zum Lebensalltag vieler Menschen gehören. Wer bewusst ein Android-Gerät ohne Google-Dienste nutzt, kann darauf deshalb meist keine Banking-Apps verwenden.
Dieses Problem wollen unter anderem die drei Unternehmen Volla, Murena und Iodé mit Unified Attestation(öffnet im neuen Fenster) lösen, einer europäischen Alternative zur Google-API. Die Software soll quelloffen entwickelt werden und unter der Apache-2.0-Lizenz veröffentlicht werden, damit das Endprodukt in kommerziellen Produkten ohne Lizenzkosten eingesetzt werden kann. Alle drei Unternehmen verkaufen Android-Smartphones ohne Google-Dienste.
GrapheneOS gegen Volla, Murena und Iodé
"Wir lehnen die Initiative Unified Attestation entschieden ab" , heißt es von GrapheneOS(öffnet im neuen Fenster) . Dieses ist ein Android-Fork, der auf AOSP basiert und auf Datenschutz und Sicherheit ausgelegt ist. Aus Sicht von GrapheneOS ist bereits die Google-API ein großes Sicherheitsrisiko und Ähnliches wird auch für Unified Attestation befürchtet.
"Volla, Murena und Iodé verkaufen Produkte mit miserabler Sicherheit" , erklärten die Entwickler von GrapheneOS. "Sie versäumen es, wichtige Patches und Schutzmaßnahmen bereitzustellen, und täuschen die Nutzer mit falschen Angaben zu Datenschutz und Sicherheit. Dazu gehört auch die Angabe eines falschen Android-Sicherheitspatch-Levels, obwohl Patches fehlen."
Sie verlangen daher: "Diese Unternehmen sollten kein Mitspracherecht darüber haben, welche Geräte für europäische Bank- und Regierungs-Apps verwendet werden dürfen. Dies würde den Wettbewerb einschränken und die Sicherheit verringern, genau wie es die Play Integrity API bereits tut."
Zur Lösung des Problems hat GrapheneOS folgenden Vorschlag: "Wenn Banken und Regierungen darauf bestehen, Geräte auf ihre Sicherheit zu überprüfen, sollten sie konkrete Standards definieren. Es sollte möglich sein, dass jedes noch so kleine Projekt kostenlos zertifiziert werden kann, und die Standards sollten fair durchgesetzt werden, damit Mainstream-Geräte ohne aktuelle Patches nicht zugelassen werden." Nachtrag vom 23. März 2026
Volla hat auf die Vorwürfe von GrapheneOS reagiert und widerspricht der Darstellung von falschen Angaben beim Android-Sicherheitspatch-Level. Mehr dazu gibt es in einem gesonderten Golem-Bericht .
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.