Torstein Thune
CVNotes & Scribbles

Digital uavhengighet: hva med alle disse viktige appene da?

Publisert 2025-09-30Oppdatert 2025-10-03

Kritisk norsk infrastruktur som BankID må fungere, uavhengig av politiske vinder i verden, men vi har solgt sjelen til amerikanske IT-monopolister, er det så lurt da?

Apper og appbutikker er praktisk

Gjennom flere år har Norge beveget seg mot en sikrere og enklere fremtid. Kodebrikker er byttet ut med BankID-appen, tofaktorløsninger lever i Google Authenticator eller Microsoft Authenticator, bankene leverer apper som lever i lukkede, sikrede økosystemer.

Gjennom en årrekke har vi også fått stadig strengere sikkerhetsrutiner. Apper kan i dag sjekke om de kjører på et operativsystem som Google eller Apple går god for, kort forklart om det er det samme operativsystemet som mobilen ble levert med, og så nekte å starte dersom de oppdager at noen har tuklet med det.

Google Play og App Store er jo store og sikre systemer som vi kan stole på. Eller?

Monopolistene har kontroll

Det er iferd med å skje drastiske ting på kontrollfronten. På den ene siden har EU satt krav om at man skal kunne installere applikasjoner fra alternative kilder på iOS gjennom sin forordning om digitale markeder (DMA). På den andre siden har Google, kanskje inspirert av hvordan Apple kjemper mot kravene, sagt at de skal kreve såkalt attestering av apputviklere fra og med neste år.

Attestering betyr at alle applikasjoner som installeres, uavhengig av om de kommer fra Google Play eller andre kilder, må være laget av personer Google kjenner til og godkjenner. Dette betyr for utviklere at de må registrere seg og identifisere seg hos Google - noe som involverer å laste opp identitetsdokumenter og betale en registreringsavgift. I retur får utvikleren en signatur som må brukes når man distribuerer applikasjonen. Denne prosessen, og enda viktigere signaturen, kontrollerer Google.

Google argumenterer med at attesteringen er et sikkerhetstiltak, og refererer selv til at det er over 50 ganger mer skadelig programvare tilgjengelig gjennom tredjepartstjenester enn det er gjennom Googles egen Play Store. Attesteringen gjør at Google kan, uten å konferere med andre, trekke tilbake muligheten for å installere en gitt applikasjon på Android.

Hva hvis Google plutselig sier at du ikke får lov til å installere BankID-appen?

Hva skjer egentlig om kritisk norsk infrastruktur plutselig strider mot Apple og Googles retningslinjer og policyer? Hva hvis USA plutselig krever at disse selskapene skal hindre kritisk norsk infrastruktur?

Ville vi stolt på kinesiske Tencent eller russiske Yandex med makten til å bestemme hvilke applikasjoner vi kan installere? Uansett hvor disse selskapene skulle komme fra er det risiko for at politikken kan komme i veien, har vi land vi kan stole på til evig tid?

Potensielt kritiske apper inkluderer autentisering (BankID), bank og finans, logistikk, transport og informasjon. På min mobil finner jeg følgende applikasjoner, ville disse fungert uten Google og Apple?

  1. BankID (Autentisering)
  2. Entur (Transport)
  3. Helsenorge (Informasjon)
  4. Nordea Mobile (Bank)
  5. Nordnet (Bank)
  6. Norwegian (Transport)
  7. Politiloggen (Informasjon)
  8. Posten (logistikk)
  9. PostNord Norge (Logistikk)
  10. Ruter (Transport)
  11. RuterBillett (Transport)
  12. Skyss Billett (Transport)
  13. Sparebank1 Engangskode (Autentisering)
  14. Sparebanken Norge (Bank)
  15. Sparebank1 Mobilbank (Bank)
  16. Vigilo (Informasjon)
  17. Vipps (Bank)
  18. Vy (Transport)

Hva kan vi gjøre?

Kritisk norsk infrastruktur må fungere utenfor lukkede amerikanske systemer. Det betyr at vi burde hatt BankID-applikasjoner som fungerer på vanlige datamaskiner, med Windows, MacOS eller enda viktigere Linux. Vi burde også ha BankID-varianter som fungerer på Android-varianter som ikke drives av Google slik som GrapheneOS og /e/OS og alternativer slik som finske SailfishOS.

Alternative appbutikker

Mens man på iOS aldri har hatt mulighet til å bevege seg utenfor Apple sitt eget økosystem har man på Android siden starten kunnet installere egne applikasjoner, såkalte apk-er, utenom Google Play. Dette kalles "sideloading". Dette er en prosess som kan virke innviklet og skummelt for den jevne bruker, men har latt et rikt økosystem av uavhengige applikasjoner blomstre litt utenfor allfarvei.

En alternativ appbutikk, som utelukkende består av fri programvare, er F-Droid. Her har man mulighet til å laste ned programvare som Google ikke nødvendigvis har lyst til å tilby i sin egen appbutikk, slik som Youtube Vanced - en youtube-applikasjon der man slipper reklame.

Et annet alternativ er Aurora Store, som redistribuerer applikasjoner fra blant annet Google Play og Samsung Galaxy Store, slik at man slipper å bruke Google og Samsung sine egne løsninger. Dette lar deg installere applikasjoner på Android-varianter som ikke har disse butikkene forhåndsinstallert.

Endringslogg

  • 2025-10-03: La til lenke til Forordning om digitale markeder (DMA) og sorterte applisten alfabetisk.