Google объяснил, как Android будет блокировать приложения от неверных разработчиков

Геннадий Кривцов01 минуты
Google объяснил, как Android будет блокировать приложения от неверных разработчиков

С следующего года Android заблокирует установку приложений незавершенными разработчиками. Новая политика Google повлияет как на Google Play, так и в третьем партийном приложении, так и на независимых разработчиков, студентов и многого другого. Теперь Google объяснил, как будет работать новая система.

Напомним, что в августе Google сделал заявление, которое шокировало энтузиастов Android и защитников конфиденциальности: со следующего года Android будет блокировать установку приложений незавершенными разработчиками.

Это относится не только к приложениям из вашего собственного магазина приложений Google Play, но и к приложениям, распространяющимся вне его, что вызвало опасения, которые Google хочет ограничить установки приложений из третьих сторонных источников. После нескольких недель молчания Google успокоил общественность, предоставив подробное объяснение того, как будут применяться требования к проверке разработчиков.

В частности, Google подтвердил, что проверка разработчиков может сбой, если сетевое соединение недоступно. Наряду с объявлением о том, что «загрузка приложений с третьей партии является фундаментальной функцией Android», Google публикует видео, объясняющее свои мотивы для требований для проверки разработчиков и того, как они будут применены в следующем году.

При попытке установить приложение для Android, операционная система выполняет ряд проверок, предназначенных для обеспечения приложения с тем же идентификатором (Название пакета) Больше не установлен, он не был разработан для устаревшей версии операционной системы, и, что наиболее важно, не отмечено Google Play Protect как вредоносное ПО. Теперь Google добавляет дополнительный шаг к процессу.

Компания создала механизм в процессе установки, который требует любого приложения, которое сначала проверялось.

Во время установки Android взаимодействует с «доверенным устройством» устройства, называемого Android Developer Verifier. Эта новая предварительно устоявшаяся системная служба определяет, был ли проверен разработчик приложений, были ли были обнаружены какие проблемы во время проверки, и, наконец, какую политику установки для реализации.

Чтобы проверить разработчика, служба Verifier разработчика Android должна проверить, что пакет и ключ, используемый для подписи, были отправлены в Google. Невозможно сохранить полную базу данных для таких пакетов и комбинаций ключей на устройстве, тем более что многие новые приложения для Android запускаются каждую неделю. Поэтому Google говорит, что для проверки приложения может потребоваться сетевое соединение, хотя и только в «худшем случае». Компания предусматривает службу Verifier разработчика для хранения кэша самых популярных проверенных приложений на устройстве, чтобы их можно было установить без необходимости в сетевом соединении.

Google также работает над магазинами приложений, чтобы обойти дополнительные сетевые вызовы. Прикладные хранилища могут передавать SO -SALLED «Token Pre -Authorization» -«Криптографическая проверка двоичного объекта», подключенного к пакету, который они хотят установить. Это позволяет проверять разработчика приложений без дополнительных сетевых вызовов на фон Google.

Второе ежеквартальное издание Android 16, т.е. Android 16 QPR2 станет первой версией Android с встроенной поддержкой этих изменений.

Тем не менее, политики проверки не будут применяться с выпуском обновления в декабре, так как Google все еще работает над своей реализацией и сбором индикаторов. Изменения будут введены в более старые версии Android через Google Play Protect, хотя Google говорит, что могут быть некоторые небольшие различия, поскольку этот метод использует существующее приложение, а не новую встроенную операционную систему.

Когда Google впервые объявляет о новых требованиях к проверке новых разработчиков, компания упомянула создание «индивидуального типа консоли разработчиков Android» для студентов -любителей и разработчиков. Учетная запись будет иметь «меньше требований к проверке» и будет выпущена из регистрационной комиссии в размере 25 долларов США, но эти разработчики будут столкнуться с ограничением количества устройств, на которых могут быть установлены их приложения.

Любой пользователь, который хочет установить приложение от разработчика Bunch, сначала получит уникальный идентификатор от своего устройства, с помощью которого разработчик разрешает установку. Это двустороннее взаимодействие между пользователями и разработчиками вводится Google специально для ограничения распределения. Компания считает, что учетные записи студентов и любителей предназначены только для разработчиков, которые хотят поделиться своим приложением с ограниченным количеством пользователей, а не широко распространены.

Разработчики, которые регистрируются в качестве студентов или любителей, но позже решают охватить более широкую аудиторию, смогут преобразовать свою учетную запись в будущем, чтобы они не были навсегда ограничены дистрибуцией. Такие ограничения имеют смысл в контексте общих целей Google. Разрешение неограниченного распределения для студентов/любительских учетных записей создаст дверь для атаки, поэтому, ограничивая их диапазон Google, радикально уменьшает интерес криминальных элементов при использовании этого типа счета.

Google также сказал, что разрабатывает систему для выявления злонамеренных пользователей и предотвращения их прохождения чека.

Разработчики должны будут доказать свое право на приложение — им придется доказать, что они могут подписать приложения с тем же ключом, который используется для подписи запрашиваемого заявки. Сами частные ключи не должны быть предоставлены Google, поэтому компания не может получить никаких прав подписания. По словам Google, ее единственная цель — не дать злоумышленникам распространять вредоносные приложения. Таким образом, компания не будет налагать другие запреты на разработчиков, такие как ограничение имен и икон, которые они могут использовать для своих приложений.

Учетные записи разработчиков, которые, как было установлено, распределяют вредоносное ПО, будут ограничены. В течение неопределенного периода времени будет заблокирована установка всех приложений, принадлежащих этим пользовательским разработчикам. Это относится к любому разработчику, чья учетная запись связана с распределением вредоносных программ, даже если этот разработчик не является автором вредоносного ПО. Авторы вредоносных программ часто пытаются купить существующие учетные записи разработчиков, чтобы использовать их для распространения. По словам Google, разработчики несут ответственность за все, что опубликовано в их учетной записи, что оправдывает любые действия, предпринятые против них.

Google сделает некоторые исключения из корпоративного сектора. Приложение, установленное с использованием инструментов корпоративного управления, будет доступно для установки, даже если его разработчик не зарегистрирован. Это исключение существует, потому что третий участник ИТ -администратора несет ответственность за устройства безопасности. Организации, которые распределяют автономные приложения, должны будут определять, как обрабатывать запросы на проверку, например, периодически подключение к сети.

Что касается защиты личных данных, то Google признает, что существуют разумные причины, по которым разработчики будут анонимными, например, при распространении приложений для диссидентов. Таким образом, компания не будет публиковать информацию о разработчиках, хотя она не привержена предоставлению этой информации правительствам. Тем не менее, Google настаивает на том, что запланированные изменения необходимы, утверждая, что анонимность разработчиков создает риски для пользователей, которых компания больше не может пренебрегать.

Подписаться
Уведомить о
guest

0 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии

Похожие новости