Google обяжет всех разработчиков Android-приложений подтверждать свою личность со следующего года
Открытость Android отличала его от iPhone, ведь эра сенсорных смартфонов началась почти два десятилетия назад. Постепенно Google пожертвовала этой открытостью ради безопасности, и её следующая инициатива в области безопасности может пойти на самые серьёзные уступки ради блокировки вредоносных приложений.
Компания Google объявила о планах начать проверку личности всех разработчиков приложений для Android, а не только тех, кто публикует свои приложения в Play Store. Google намерена проверять личность разработчиков независимо от того, где они публикуют свой контент , и приложения без проверки не будут работать на большинстве устройств Android в ближайшие годы.
Раньше Google практически не курировал Play Store (или Android Market, если копнуть глубже), но компания давно стремится улучшить репутацию платформы, считая её менее безопасной, чем Apple App Store. Много лет назад в официальном магазине можно было публиковать эксплойты для получения root-доступа к смартфонам, но теперь существует множество обзоров и механизмов обнаружения, которые снижают распространение вредоносного ПО и запрещённого контента. Хотя Play Store всё ещё не идеален , Google утверждает, что приложения, загруженные из сторонних источников, в 50 раз чаще содержат вредоносное ПО.
Именно это, как нам кажется, и стало причиной появления новой системы верификации разработчиков Google. Компания описывает её как «проверку личности в аэропорту». С тех пор, как в 2023 году все разработчики приложений Google Play были обязаны подтверждать свои личности, компания наблюдала резкое снижение количества вредоносных программ и случаев мошенничества. Злоумышленники в Google Play использовали анонимность для распространения вредоносных приложений, поэтому вполне логично, что верификация разработчиков приложений за пределами Google Play также может повысить безопасность.
Однако, чтобы реализовать это за пределами магазина приложений, Google придётся последовать примеру Apple и проявить свою силу, что может показаться навязчивым многим пользователям и разработчикам Android. Google планирует создать упрощённую консоль разработчика Android, которую разработчики смогут использовать, если планируют распространять приложения за пределами Play Store. После подтверждения личности разработчикам необходимо будет зарегистрировать имя пакета и ключи подписи своих приложений. Однако Google не будет проверять содержимое или функциональность приложений.
Google заявляет, что на сертифицированные устройства Android можно будет устанавливать только приложения с подтвержденной идентификацией, то есть практически на любое устройство на базе Android. Если на нём установлены сервисы Google, это устройство сертифицировано. Если на вашем телефоне установлена не-Google сборка Android, всё это не относится к делу. Однако за пределами Китая это ничтожно малая часть экосистемы Android.
Google планирует начать тестирование этой системы с предварительным доступом в октябре этого года. В марте 2026 года все разработчики получат доступ к новой консоли для прохождения верификации. В сентябре 2026 года Google планирует запустить эту функцию в Бразилии, Индонезии, Сингапуре и Таиланде. Дальнейшие действия пока неясны, но Google нацеливается на 2027 год, чтобы расширить требования к верификации по всему миру.
Сейсмический сдвигЭтот план появился на важном перепутье для Android. Продолжающееся антимонопольное дело против Google Play, инициированное Epic Games, может наконец привести к изменениям в Google Play в ближайшие месяцы. Google проиграла апелляцию на это решение несколько недель назад, и, хотя компания планирует подать апелляцию в Верховный суд США, ей придётся начать менять схему распространения приложений, если дальнейшие юридические манипуляции будут невозможны.
Среди прочего, суд постановил, что Google должна распространять сторонние магазины приложений и разрешать размещение контента Play Store в других магазинах. Предоставление пользователям большего количества способов скачивания приложений может расширить выбор, чего и добивались Epic и другие разработчики. Однако сторонние источники не будут иметь такой же глубокой системной интеграции, как Play Store, а это означает, что пользователи будут загружать эти приложения из сторонних источников, минуя уровень безопасности Google.
Сложно сказать, насколько серьёзной является эта проблема безопасности. С одной стороны, обеспокоенность Google вполне объяснима — большинство серьёзных вредоносных программ для Android-устройств распространяются через сторонние репозитории приложений. Однако введение белого списка для установки практически на всех устройствах Android — это слишком жёсткая мера. Это означает, что все разработчики приложений для Android должны соответствовать требованиям Google, прежде чем практически любой желающий сможет установить их. Это может помочь Google сохранить контроль по мере открытия рынка приложений. Хотя сейчас требования могут быть минимальными, нет никаких гарантий, что они останутся такими и в дальнейшем.
В имеющейся на данный момент документации не объясняется, что произойдёт при попытке установить непроверенное приложение, и как телефоны будут проверять статус проверки. Предполагается, что Google распространит этот белый список в сервисах Play по мере приближения даты внедрения. Мы запросили подробную информацию по этому вопросу и сообщим, если получим какую-либо информацию.
Эта история первоначально появилась на Ars Technica .
wired
