Google będzie wymagać od wszystkich programistów aplikacji na Androida weryfikacji tożsamości od przyszłego roku

Otwarta natura Androida odróżniała go od iPhone'a, ponieważ era smartfonów z ekranami dotykowymi rozpoczęła się prawie dwie dekady temu. Google stopniowo oddawało część tej otwartości w zamian za bezpieczeństwo, a jego kolejna inicjatywa w zakresie bezpieczeństwa może przynieść największe jak dotąd ustępstwa w imię blokowania szkodliwych aplikacji.

Google ogłosiło plany rozpoczęcia weryfikacji tożsamości wszystkich deweloperów aplikacji na Androida, a nie tylko tych publikujących w Sklepie Play. Google zamierza weryfikować tożsamość deweloperów niezależnie od tego, gdzie udostępniają swoje treści . Aplikacje bez weryfikacji nie będą działać na większości urządzeń z Androidem w nadchodzących latach.

Google kiedyś bardzo rzadko zajmowało się konserwacją Sklepu Play (lub Android Market, jeśli cofniemy się wystarczająco daleko), ale od dawna dąży do poprawy reputacji platformy, uznając ją za mniej bezpieczną niż Apple App Store. Lata temu można było publikować rzeczywiste exploity w oficjalnym sklepie, aby uzyskać dostęp do roota na telefonach, ale teraz istnieje wiele mechanizmów weryfikacji i wykrywania, które ograniczają rozpowszechnienie złośliwego oprogramowania i zablokowanych treści. Chociaż Sklep Play nadal nie jest idealny , Google twierdzi, że aplikacje pobrane spoza jego sklepu są 50 razy bardziej narażone na obecność złośliwego oprogramowania.

Jak się nam wydaje, to właśnie jest impulsem do wprowadzenia nowego systemu weryfikacji programistów Google. Firma opisuje go jako „kontrolę tożsamości na lotnisku”. Od czasu wprowadzenia w 2023 roku wymogu weryfikacji tożsamości wszystkich programistów aplikacji w Google Play, odnotowano gwałtowny spadek liczby złośliwego oprogramowania i oszustw. Osoby naruszające zasady w Google Play wykorzystywały anonimowość do dystrybucji złośliwych aplikacji, więc logiczne jest, że weryfikacja programistów aplikacji poza Google Play również mogłaby zwiększyć bezpieczeństwo.

Jednak wprowadzenie tego rozwiązania poza sklepem z aplikacjami będzie wymagało od Google wzięcia przykładu z Apple i pokazania swojej siły w sposób, który wielu użytkowników i deweloperów Androida mogłoby uznać za nachalny. Google planuje stworzyć uproszczoną Konsolę Programisty Androida, z której deweloperzy będą korzystać, jeśli planują dystrybuować aplikacje poza Sklepem Play. Po weryfikacji tożsamości, deweloperzy będą musieli zarejestrować nazwę pakietu i klucze podpisu swoich aplikacji. Google nie będzie jednak weryfikować zawartości ani funkcjonalności aplikacji.

Google twierdzi, że tylko aplikacje ze zweryfikowaną tożsamością będą mogły być instalowane na certyfikowanych urządzeniach z Androidem, czyli praktycznie na każdym urządzeniu z Androidem – jeśli zawiera usługi Google, jest certyfikowane. Jeśli masz na telefonie wersję Androida innej firmy niż Google, żadne z tych zastrzeżeń nie ma zastosowania. Stanowi to jednak znikomy ułamek ekosystemu Androida poza Chinami.

Google planuje rozpocząć testowanie tego systemu w ramach wczesnego dostępu w październiku tego roku. W marcu 2026 roku wszyscy deweloperzy będą mieli dostęp do nowej konsoli, aby uzyskać weryfikację. We wrześniu 2026 roku Google planuje uruchomić tę funkcję w Brazylii, Indonezji, Singapurze i Tajlandii. Kolejny krok jest wciąż niejasny, ale Google planuje globalne rozszerzenie wymogów weryfikacji na rok 2027.

Ten plan stoi na rozdrożu dla Androida. Trwająca sprawa antymonopolowa Google Play, wniesiona przez Epic Games, może ostatecznie wymusić zmiany w Google Play w nadchodzących miesiącach. Google przegrało apelację od tego wyroku kilka tygodni temu i chociaż planuje odwołać się do Sądu Najwyższego Stanów Zjednoczonych, firma będzie musiała rozpocząć zmiany w swoim systemie dystrybucji aplikacji, uniemożliwiając dalsze manewry prawne.

Sąd nakazał między innymi, aby Google dystrybuował zewnętrzne sklepy z aplikacjami i zezwalał na rehostowanie treści ze Sklepu Play w innych sklepach. Zapewnienie użytkownikom większej liczby sposobów pobierania aplikacji mogłoby zwiększyć wybór, na czym zależało Epic i innym deweloperom. Jednak zewnętrzne źródła nie będą miały tak głębokiej integracji systemowej jak Sklep Play, co oznacza, że ​​użytkownicy będą pobierać te aplikacje z innych źródeł bez stosowania warstw zabezpieczeń Google.

Trudno powiedzieć, na ile stanowi to realny problem bezpieczeństwa. Z jednej strony, Google może się tym martwić – większość poważnych zagrożeń ze strony złośliwego oprogramowania dla urządzeń z Androidem rozprzestrzenia się za pośrednictwem repozytoriów aplikacji innych firm. Jednak egzekwowanie białej listy instalacji na niemal wszystkich urządzeniach z Androidem jest zbyt restrykcyjne. Wymaga to, aby wszyscy twórcy aplikacji na Androida spełniali wymagania Google, zanim praktycznie każdy będzie mógł zainstalować swoje aplikacje, co może pomóc Google utrzymać kontrolę w miarę otwierania się rynku aplikacji. Chociaż wymagania mogą być obecnie minimalne, nie ma gwarancji, że tak pozostanie.

Dostępna obecnie dokumentacja nie wyjaśnia, co się stanie, jeśli spróbujesz zainstalować niezweryfikowaną aplikację, ani jak telefony będą sprawdzać status weryfikacji. Przypuszczalnie Google udostępni tę białą listę w Usługach Play w miarę zbliżania się daty wdrożenia. Skontaktowaliśmy się z Tobą w celu uzyskania szczegółowych informacji na ten temat i damy Ci znać, jeśli coś się dowiemy.

Ta historia pierwotnie ukazała się na stronie Ars Technica .