Анонс лучших ИБ мероприятий
Image

Твоя ИБ-афиша готова

Здесь только лучшие вебинары, курсы и конференции по ИБ.

Конец свободных APK: Google вводит «комендантский час» на 24 часа для установки приложений не из Play Store

приложения установка Android Play Store APK
Конец свободных APK: Google вводит «комендантский час» на 24 часа для установки приложений не из Play Store
приложения установка Android Play Store APK

Ждать сутки и перезагружать смартфон ради одного сомнительного файла? А что, идея.

image

Google готовит крупное изменение в Android, которое затронет установку приложений вне Play Store. Полного запрета на APK из сторонних источников не будет, но привычный порядок заметно ужесточат. Компания хочет сократить число заражений вредоносными программами, поэтому вводит новую систему доверия: значение будет иметь не только сам пакет, но и тот, кто именно его выпустил.

Логика реформы довольно проста. Android начнет больше доверять программам от разработчиков, которые прошли подтверждение у Google, даже если такие продукты распространяются не через Play Store. Для независимой публикации автору придется подтвердить личность, зарегистрировать криптографические данные подписи и заплатить небольшую комиссию. Такая подпись нужна не для галочки. С ее помощью система проверяет происхождение пакета, видит издателя и может понять, не подменили ли содержимое после выпуска.

Google подает новую схему как меру защиты, а не как попытку взять под контроль весь софт за пределами магазина. Проверять содержимое программ на этапе регистрации компания не собирается. Предварительную модерацию тоже не обещают. Ставка делается на другой принцип: когда приложение связано с конкретным подтвержденным автором, появляется понятная зона ответственности. Если такой участник начнет распространять вредоносное ПО, Google сможет лишить его доступа к механизму независимой дистрибуции.

Установка программ почти откуда угодно долго оставалась одной из самых заметных особенностей платформы. Раньше все выглядело предельно просто: скачал APK, выдал разрешение, запустил инсталляцию. Google не закрывает обходной вариант, а превращает его в процедуру с проверками и паузами.

Быстрее всего новый порядок почувствуют независимые разработчики. Чем дальше автор от экосистемы Google, тем больше дополнительных формальностей придется пройти. Небольшая комиссия вряд ли станет главным препятствием, но обязательная верификация личности может оттолкнуть тех, кто привык работать без лишней бюрократии, не хочет раскрывать свои данные или сознательно избегает крупных платформ. Для маленьких студий, разработчиков-энтузиастов и анонимных проектов сентябрьское обновление станет вполне ощутимым барьером уже на старте.

Отсюда и критика. Противники новой схемы считают, что Google постепенно стягивает распространение программ под собственный контроль, даже без прямой цензуры. Формально компания не будет решать, какие продукты допустимы по содержанию, а какие нет. Но сам обязательный слой верификации уже меняет правила игры. Выпуск софта за пределами Play Store формально остается возможным, однако свободно распространять такие пакеты без участия Google станет заметно труднее.

При этом полный отказ от sideloading Google пока не планирует. Для опытных пользователей оставят ручной обход, но добраться до него будет непросто. Нужную настройку спрячут глубоко в параметрах для разработчиков. Обычный владелец смартфона туда, как правило, вообще не заходит. Даже после включения нужного пункта Android не даст сразу установить непроверенное приложение. Сначала система потребует подтвердить намерение, затем проверить доступ к устройству и только потом перезагрузить смартфон.

На этом процедура не заканчивается. После перезагрузки запускается обязательная пауза на 24 часа. Даже полностью включенный обходной режим не позволит поставить непроверенный APK сразу. Google явно пытается сломать типичный сценарий социальной инженерии, когда мошенник торопит жертву и давит на срочность: просит срочно установить обновление, загрузить банковское приложение или открыть доступ для технической поддержки. В такой схеме скорость играет на стороне атакующего. Суточная задержка сбивает давление и убирает эффект паники.

Когда сутки пройдут, пользователю придется снова вернуться в тот же раздел настроек, еще раз пройти через предупреждения и выбрать, какое разрешение выдать – разовое или постоянное. Только после всех шагов Android позволит завершить установку вручную. Случайным или поспешным такое действие уже не будет. Система несколько раз остановит человека, покажет предупреждения и заставит подтвердить решение.

Для большинства владельцев Android-смартфонов перемены, скорее всего, пройдут почти незаметно. Основная масса программ и так ставится через Play Store, где уже работают встроенные проверки Google. Намного сильнее обновление ударит по тем, кто пользуется альтернативными магазинами, вручную устанавливает APK, тестирует редкие утилиты или распространяет собственные продукты напрямую.