Google объявила о начале тестирования системы подтверждения личности разработчиков и регистрации приложений. В Google сообщили, что разрешат студентам и любителям распространять приложения на Android на ограниченном количестве устройств без прохождения полной верификации. Также для опытных пользователей останется возможность установки на свои устройства сторонних APK-приложений, которые не проверены напрямую на серверах Google.
«Сегодня мы рады пригласить разработчиков в рамках раннего доступа для проверки в Android Developer Console, распространяющих свои продукты исключительно за пределами Google Play, и вскоре опубликуем приглашения в Play Console для разработчиков Google Play. Мы с нетерпением ждём ваших вопросов и отзывов об оптимизации этого интерфейса для всех разработчиков», — сообщили в Google.
Ранее Google объявила, что с 2027 года разработчики приложений, которые будут устанавливаться на сертифицированные устройства под управлением Android, должны проходить сертификацию. Новые правила коснутся тех разработчиков, чьи приложения распространяются через альтернативные магазины или посредством APK-файлов.
Приложения, которые распространяются через Google Play, уже проходят процедуру верификации. Разработчикам, которые распространяют свои приложения вне Google Play, Google предоставит новый инструмент — консоль Android Developer Console. С её помощью можн�� будет получить уникальный идентификатор и зарегистрировать свои приложения. Разработчикам, которые используют Google Play, проходить дополнительную верификацию не нужно.
Процесс верификации состоит из двух шагов:
Предоставление и подтверждение личной информации разработчика, включая ФИО, адрес, электронную почту и номер телефона. Организации должны подтвердить свой веб-сайт и предоставить международный идентификатор юридического лица (DUNS).
Регистрация приложения. Разработчик должен зарегистрировать свои приложения в специальном каталоге и доказать своё авторство, предоставив полное имя пакета и ключи цифровой подписи.
Перед установкой стороннего приложения пользователь должен будет определить уникальный идентификатор своего устройства и передать его разработчику приложения, зарегистрированному в Google как студент или энтузиаст. После этого разработчик должен добавить идентификатор устройства через интерфейс Android Developer Console и таким способом авторизировать возможность установки своей программы на конкретном устройстве.
Также после введения обязательной верификации разработчиков возникнет необходимость наличия доступа в интернет для выполнения проверок во время установки приложения. При первой установке приложения платформа Android будет отправлять запрос к новому системному сервису Android Developer Verifier, обращающемуся к внешнему серверу Google для проверки прохождения верификации разработчиком приложения, заверившим пакет своей цифровой подписью.
Для наиболее популярных приложений Android Developer Verifier будет поддерживать хранимый на устройстве кэш идентификаторов, позволяющий в отдельных случаях обойтись без внешней проверки. В Google также работают над реализацией возможности для каталогов приложений, позволяющей обойтись без дополнительных внешних проверок — каталоги смогут использовать токены предварительной аутентификации (pre‑auth token), при помощи которых можно будет установить связанные с ними приложения.
Поддержка прямой установки любых приложений при помощи утилиты adb (Android Debug Bridge) сохранится, но такая установка требует подключения устройства к внешнему компьютеру и включения режима разработчика. Введение верификации не коснётся процессов тестирования, отладки и запуска приложений, разрабатываемых в среде Android Studio, в которой для взаимодействия с устройствами используется adb. Также будет сделано исключение для корпоративных приложений, установка которых осуществляется при помощи инструментов централизованного управления.
Верифицированные учётные записи разработчиков, уличённых в распространении вредоносных изменений, будут ограничиваться, а все связанные с ними приложения — блокироваться для установки на устройствах пользователей. Блокировка будет применяться не только к авторам вредоносного ПО, но и к разработчикам, вовлечённым в его распространение обманным путём, например, после захвата учётной записи через фишинг.
Для верификации разработчик должен зарегистрироваться в сервисе Android Developer Console, если он до этого не зарегистрирован в Google Play, и предоставить такие данные, как ФИО, адрес проживания, email, телефонный номер и фото документа, удостоверяющего личность. Для ограниченных учётных записей студентов и энтузиастов предоставление удостоверяющего документа не требуется. Для организаций требуется подтверждение сайта и предоставление международного идентификатора юридических лиц (DUNS).
После регистрации разработчик должен добавить свои приложения и подтвердить, что он является их автором, предоставив полные имена пакетов и ключи для цифровых подписей. Для предотвращения присвоения авторства над уже существующими чужими пакетами, разработчик должен продемонстрировать возможность формирования цифровых подписей тем же ключом, что был использован для заверения существующих приложений.
В Google сообщили, что продолжают работать над отзывами по регистрации разработчиков и приложений. В компании настаивают, что это дополнительный уровень защиты по обеспечению безопасности пользователей Android.
«Мы знаем, что безопасность работает лучше всего, когда она учитывает различные способы использования наших инструментов. Именно поэтому мы объявили об этом изменении заранее: чтобы собрать отзывы и обеспечить сбалансированность наших решений. Мы ценим участие сообщества и получили первые отзывы, особенно от студентов и любителей, которым нужен доступный способ обучения, а также от опытных пользователей, которые более спокойно относятся к рискам безопасности. Мы вносим изменения, чтобы удовлетворить потребности обеих групп», — пояснили в Google.
В Google привели примеры конкретных угроз, с которыми компания борется таким образом:
онлайн-мошенничество на новых рынках, где появляются много новых пользователей;
вредоносные кампании, где дополнительно используются приёмы социальной инженерии, чтобы обманом заставить пользователей обойти предупреждения, которые призваны их защитить;
возросшая активность мошенников, из-за которой средства защиты для обнаружения и удаления вредоносных приложений не справляются оперативно, а без верификации злоумышленники могут мгновенно создавать новые вредоносные приложения.
Что предложили в Google по поводу новой программы в рамках её расширения и снятия части ограничений на верификацию, которые были объявлены ранее:
поддержка студентов и любителей. Разработчики выразили обеспокоенность по поводу сложности создания приложений, предназначенных только для небольшой группы, например, семьи или друзей. В Google услышали эти отзывы и решили сделать опцию для создания специального типа учётной записи для студентов и любителей. Это позволит их распространять свои творения на ограниченном количестве устройств без прохождения полной верификации.
расширение возможностей опытных пользователей. Хотя безопасность крайне важна, в Google также получили отзывы от разработчиков и опытных пользователей, которые более склонны к риску и хотят иметь возможность загружать непроверенные приложения. Основываясь на этих отзывах и постоянном общении с сообществом, в Google разрабатывают новый расширенный процесс, который позволит опытным пользователям принять риски установки непроверенного программного обеспечения. В Google разрабатывают этот процесс специально для защиты от принуждения, гарантируя, что пользователи не будут обмануты и не будут обходить эти проверки безопасности под давлением мошенников. Эта опция также будет включать чёткие предупреждения, чтобы пользователи полностью осознавали связанные с этим риски, но в конечном итоге выбор остаётся за ними. В Google собирают предварительные отзывы о дизайне этой функции и поделятся более подробной информацией в ближайшие месяцы.
Участники проекта F-Droid, который предлагает бесплатные и открытые сервисы Android, призвали проверить решение Google, которая будет собирать данные о не входящих в экосистему Google Play разработчиках. В F-Droid отметили, что распространяют приложения, проверенные на соответствие интересам пользователя, а не распространителей. Там отметили, что, когда разработчик создаёт приложение и размещает его исходный код публично, команда проекта проверяет его, в том числе на наличие недокументированных функций, рекламы или трекеров. После прохождения проверки служба сборки F-Droid компилирует и упаковывает приложение, готовя его к распространению. Затем пакет подписывается криптографическим ключом F-Droid или, если сборка воспроизводима, позволяет распространять её с использованием закрытого ключа разработчика.
Разработчик открытой библиотеки FreeDroidWarn уже заявил, что не собирается предоставлять такие данные американской компании.
Источник: habr.com