Google объявила, что с 2027 года разработчики приложений, которые будут устанавливаться на сертифицированные устройства под управлением Android, должны проходить сертификацию. Новые правила коснутся тех разработчиков, чьи приложения распространяются через альтернативные магазины, такие как российский RuStore, или посредством APK-файлов.
Приложения, которые распространяются через Google Play, уже проходят процедуру верификации. Разработчикам, которые распространяют свои приложения вне Google Play, Google предоставит новый инструмент — консоль Android Developer Console. С её помощью можно будет получить уникальный идентификатор и зарегистрировать свои приложения. Разработчикам, которые используют Google Play, проходить дополнительную верификацию не нужно.
Процесс верификации состоит из двух шагов:
Предоставление и подтверждение личной информации разработчика, включая ФИО, адрес, электронную почту и номер телефона. Организации должны подтвердить свой веб-сайт и предоставить международный идентификатор юридического лица (DUNS).
Регистрация приложения. Разработчик должен зарегистрировать свои приложения в специальном каталоге и доказать свое авторство, предоставив полное имя пакета и ключи цифровой подписи.
Google планирует начать тестировать систему подтверждения личности и регистрации приложений в октябре 2025 года, а к марту 2026 года система станет доступна всем разработчикам. С сентября 2026 года требование начнет действовать в Бразилии, Индонезии, Сингапуре и Таиланде, а с 2027 года станет обязательным для всех стран. Эксперты издания «Ведомости» рассказали, какие сложности для разработчиков вызовут новые требования.
Как напомнил Тимофей Воронин, руководитель проектов компании «Интеллектуальная аналитика», в настоящее время RuStore не передаёт Google информацию о разработчиках приложений. Согласно данным RuStore, магазин самостоятельно верифицирует разработчиков в два этапа: авторизация через VK ID, а затем проверка с помощью квалифицированной электронной подписи (КЭП) или документов для подключения монетизации и выплат для юридических лиц и ИП. Физическим лицам доступ к «RuStore-консоли» открывается после верификации личности через загрузку фото паспорта и селфи.
Воронин полагает, что пока рано говорить о невозможности установки приложений из RuStore, так как возможны различные подходы, и детальной информации от Google о механизмах сертификации и проверки пока нет. Разработчикам может потребоваться заполнение отдельной формы для Google или интеграция консоли Google в личный кабинет разработчика RuStore.
Татьяна Шишкова, ведущий эксперт Kaspersky GReAT, считает, что новая политика Google — это реакция на изменение ландшафта киберугроз для мобильных устройств. Установка непроверенных приложений из сторонних источников — один из распространённых путей заражения устройств. Она позволяет злоумышленникам обходить защиту, включая проверку приложений перед публикацией в Google Play. Шишкова также напомнила, что вредоносные приложения проникают и в официальные магазины, включая App Store.
Александр Блезнеков, руководитель направления по развитию информбезопасности «Телеком биржи», отметил, что Google движется к более закрытой экосистеме, подобно Apple. Это подразумевает создание модели, в которой любое стороннее приложение, устанавливаемое не из Google Play, должно быть подписано сертификатом, выданным Google. Фактически это означает обязательную аккредитацию для разработчиков.
Шишкова предполагает, что приложения разработчиков, не зарегистрированных Google, не будут работать на Android-устройствах при установке из сторонних источников.
Источник издания, близкий к VK, сообщает, что магазины используют разные подходы к проверке приложений, и многие не справляются с потоком заявок, прибегая к постмодерации и чисткам. Например, в результате последней постмодерации каталог Google Play сократился практически вдвое.
Родион Труфанов, руководитель проектов IT-компании EvApps, считает, что на установке приложений российских банков или госсервисов новые требования отразятся только в случае введения санкций от Google и невозможности получения сертификата российскими разработчиками. В этом случае российским разработчикам придётся искать обходные пути, например, оформлять продукты через сертификаты зарубежных коллег.
Источник: habr.com