Google potwierdza, że sideloading aplikacji Android pozostaje - ale z pewnym haczykiem

Google podejmuje kroki w celu zabezpieczenia jednej z podstawowych funkcji Android: możliwości instalowania aplikacji spoza oficjalnego Sklepu Play. Podczas gdy praktyka sideloadingu pozostaje fundamentalna dla systemu operacyjnego - a Google zapewnia opinię publiczną, że"absolutnie nie odchodzi" - era "Dzikiego Zachodu" w postaci niezweryfikowanych aplikacji na Android oficjalnie się kończy wkrótce. Teraz firma oferuje kilka dodatkowych szczegółów na temat nowego systemu weryfikacji deweloperów Android.

Android sideloading aplikacji "absolutnie nie zniknie", twierdzi Google

Google starało się rozwiać pewne obawy dotyczące tej zmiany. Niedawno osoby stojące za F-Droid, popularnym alternatywnym sklepem z aplikacjami Android, stwierdziły, że nowe zasady "zakończą projekt F-Droid i inne źródła dystrybucji aplikacji typu free/open-source, jakie znamy dzisiaj" Te stwierdzenia ze strony autorytetów wywołały zaniepokojenie w społeczności.

W poście na blogu Google ujawnia, że ruch koncentruje się na nowym mandacie: weryfikacji programisty dla wszystkich aplikacji ładowanych z boku. Zmiana ta wprowadza krytyczną warstwę bezpieczeństwa mającą na celu ochronę przeciętnego użytkownika przed złośliwym oprogramowaniem. Może to jednak również skomplikować sytuację tym użytkownikom, którzy lubią instalować pliki APK, które zazwyczaj nie są dostępne w Sklepie Play.

Jest jednak pewien haczyk: wymagana jest weryfikacja dewelopera

Przez lata użytkownicy, którzy zapuszczali się poza Sklep Play, byli narażeni na wysoki poziom ryzyka. Google przytacza dane pokazujące, że źródła spoza sklepu hostują złośliwe oprogramowanie w tempie 50 razy wyższym niż oficjalny rynek. Aby wypełnić tę lukę, Google wymaga teraz ważnego podpisu cyfrowego na każdej aplikacji ładowanej z boku. Proszę myśleć o tym podpisie jako o cyfrowym dowodzie osobistym dołączonym do oprogramowania. Jeśli certyfikowane urządzenie Android spróbuje zainstalować aplikację bez tego zweryfikowanego podpisu, instalacja po prostu się nie powiedzie.

Ten cyfrowy identyfikator zapewnia odpowiedzialność. Jeśli deweloper zostanie przyłapany na rozpowszechnianiu szkodliwego oprogramowania, Google może natychmiast cofnąć jego certyfikat. Ta akcja natychmiast wyłącza wszystkie powiązane z nimi aplikacje na urządzeniach użytkowników, znacznie utrudniając działanie "złym aktorom".

ADB pozwoli ominąć weryfikację

W poście na blogu przypomniano, że programiści mogą nadal korzystać z Android Studio do tworzenia, debugowania i testowania aplikacji lokalnie, bez konieczności przechodzenia przez proces weryfikacji. Narzędzia takie jak ADB będą również służyć jako "obejście" w celu ominięcia weryfikacji.

Ogólnie rzecz biorąc, chociaż prawdą jest, że sideloading aplikacji nie zniknie całkowicie, to zdecydowanie się zmieni. Po wdrożeniu tego środka każdy, kto chce oferować aplikację Android, będzie musiał albo przesłać prośbę o weryfikację, albo poinstruować swoją społeczność, jak używać ADB do instalacji.