В Google раскрыли новые подробности предстоящего введения в сертифицированных сборках Android обязательной регистрации разработчиков и приложений. За регистрацию разработчика в системе верификации будет взиматься плата в $25. Для персонального использования, студентов и энтузиастов Google предоставит бесплатный вариант учётной записи, позволяющий устанавливать свои приложения на ограниченном числе устройств и не требующий удостоверения личности.
Ранее Google объявила, что с 2027 года разработчики приложений, которые будут устанавливаться на сертифицированные устройства под управлением Android, должны проходить сертификацию. Новые правила коснутся тех, чьи приложения распространяются через альтернативные магазины или посредством APK-файлов. Разработчикам, которые распространяют свои приложения вне Google Play, компания предоставит новый инструмент — консоль Android Developer Console. С её помощью можно будет получить уникальный идентификатор и зарегистрировать свои приложения.
Предложенный бесплатный вариант от Google может применяться без прохождения верификации разработчика, но он малопригоден для массового распространения приложений, так как требует регистрации в Android Developer Console каждого устройства, на которое приложение может быть установлено. По задумке Google подобное ограничение не позволит злоумышленникам злоупотреблять бесплатной неверифицированной учётной записью.
По информации OpenNET, перед установкой стороннего приложения пользователь должен будет определить уникальный идентификатор своего устройства и передать его разработчику приложения, зарегистрированному в Google как студент или энтузиаст. После этого разработчик должен добавить идентификатор устройства через интерфейс Android Developer Console и таким способом авторизировать возможность установки своей программы на конкретном устройстве.
Также после введения обязательной верификации разработчиков возникнет необходимость наличия доступа в интернет для выполнения проверок во время установки приложения. При первой установке приложения платформа Android будет отправлять запрос к новому системному сервису Android Developer Verifier, обращающемуся к внешнему серверу Google для проверки прохождения верификации разработчиком приложения, заверившим пакет своей цифровой подписью.
Для наиболее популярных приложений Android Developer Verifier будет поддерживать хранимый на устройстве кэш идентификаторов, позволяющий в отдельных случаях обойтись без внешней проверки. В Google также работают над реализацией возможности для каталогов приложений, позволяющей обойтись без дополнительных внешних проверок — каталоги смогут использовать токены предварительной аутентификации (pre‑auth token), при помощи которых можно будет установить связанные с ними приложения.
Поддержка прямой установки любых приложений при помощи утилиты adb (Android Debug Bridge) сохранится, но такая установка требует подключения устройства к внешнему компьютеру и включения режима разработчика. Введение верификации не коснётся процессов тестирования, отладки и запуска приложений, разрабатываемых в среде Android Studio, в которой для взаимодействия с устройствами используется adb. Также будет сделано исключения для корпоративных приложений, установка которых осуществляется при помощи инструментов централизованного управления.
Верифицированные учётные записи разработчиков, уличённых в распространении вредоносных изменений, будут ограничиваться, а все связанные с ними приложения блокироваться для установки на устройствах пользователей. Блокировка будет применяться не только к авторам вредоносного ПО, но и к разработчикам, вовлечённым в его распространение обманным путём, например, после захвата учётной записи через фишинг.
Для верификации разработчик должен зарегистрироваться в сервисе Android Developer Console, если он до этого не зарегистрирован в Google Play, и предоставить такие данные, как ФИО, адрес проживания, email, телефонный номер и фото документа, удостоверяющего личность. Для ограниченных учётных записей студентов и энтузиастов предоставление удостоверяющего документа не требуется. Для организаций требуется подтверждение сайта и предоставление международного идентификатора юридических лиц (DUNS).
После регистрации разработчик должен добавить свои приложения и подтвердить, что он является их автором, предоставив полные имена пакетов и ключи для цифровых подписей. Для предотвращения присвоения авторства над уже существующими чужими пакетами, разработчик должен продемонстрировать возможность формирования цифровых подписей тем же ключом, что был использован для заверения существующих приложений.
Участники проекта F-Droid, который предлагает бесплатные и открытые сервисы Android, призвали проверить решение Google, которая будет собирать данные о не входящих в экосистему Google Play разработчиках. В F-Droid отметили, что распространяют приложения, проверенные на соответствие интересам пользователя, а не распространителей. Там отметили, что, когда разработчик создаёт приложение и размещает его исходный код публично, команда проекта проверяет его, в том числе на наличие недокументированных функций, рекламы или трекеров. После прохождения проверки служба сборки F-Droid компилирует и упаковывает приложение, готовя его к распространению. Затем пакет подписывается криптографическим ключом F-Droid или, если сборка воспроизводима, позволяет распространять её с использованием закрытого ключа разработчика.
Источник: habr.com