Google je danas najavio značajan ustupak kao odgovor na oštre kritike entuzijasta i neovisnih programera, potaknute ranijom najavom o strožim ograničenjima pri instaliranju aplikacija. Tvrtka je potvrdila da gradi novi "napredni tijek" koji će "iskusnim korisnicima omogućiti da prihvate rizike instaliranja softvera koji nije verificiran."
Ovaj potez predstavlja izravnu reakciju na zabrinutost dijela korisnika da će nove sigurnosne mjere "efektivno ubiti sideloading".
U novoj objavi na blogu, Google pojašnjava da je ovaj "napredni tijek" namijenjen programerima i naprednim korisnicima koji "imaju višu toleranciju na rizik i žele mogućnost preuzimanja neverificiranih aplikacija."
Tvrtka naglašava da "dizajnira ovaj tijek specifično kako bi bio otporan na prisilu", čime se želi osigurati da "korisnici ne budu prevareni da zaobiđu ove sigurnosne provjere dok su pod pritiskom prevaranta."
Tijek će uključivati "jasna upozorenja" kako bi se osiguralo da korisnici "potpuno razumiju uključene rizike" prilikom instaliranja aplikacija od neverificiranih programera. Ipak, konačni izbor bit će prepušten korisniku. Google navodi da trenutno prikuplja rane povratne informacije o dizajnu ove značajke i da će podijeliti više detalja u nadolazećim mjesecima.
Ova najava dolazi kao direktan odgovor na kontroverzu s kraja kolovoza, kada je Google objavio da će Android od sljedeće godine blokirati korisnike od instaliranja aplikacija koje su izradili neverificirani programeri. Ta je najava izazvala oštre reakcije naprednih korisnika, koji su smatrali da će nova ograničenja uništiti otvorenu prirodu Android platforme.
Prije današnje objave, jedina poznata metoda koja bi omogućila instalaciju aplikacija od neverificiranih programera bila je korištenje ADB-a (Android Debug Bridge). Iako je ADB relativno jednostavan za iskusne korisnike, proces je zamoran. Postojala je mogućnost da bi alati poput Shizukua omogućili instalaciju putem ADB-a bez potrebe za računalom, ali nije bilo jasno koliko dugo bi takve metode opstale. Današnja najava potvrđuje da se korisnici neće morati oslanjati na takve "hacky" metode.
Google je u objavi ponovio svoje temeljne razloge za implementaciju novih zahtjeva za verifikaciju programera: sigurnost i zaštita korisnika. Tvrtka želi zaštititi korisnike od prevaranata koji često koriste taktike socijalnog inženjeringa kako bi prevarili korisnike da instaliraju zlonamjerni softver izvan pouzdanih trgovina aplikacija.
Kao primjer navode rastući trend u jugoistočnoj Aziji, gdje napadači pozivaju žrtve tvrdeći da su njihovi bankovni računi kompromitirani. Žrtve se zatim usmjeravaju da instaliraju zlonamjernu "aplikaciju za verifikaciju" kako bi osigurale svoja sredstva. Napadači potom upućuju žrtve da zlonamjernoj aplikaciji daju pristup obavijestima, što joj omogućuje presretanje kodova za dvofaktorsku autentifikaciju (2FA) i drugih osjetljivih informacija.
Zahtijevanjem da programeri verificiraju svoj identitet, Google vjeruje da će otežati zlonamjernim akterima brzo pokretanje novih zlonamjernih aplikacija nakon što su im prethodne ugašene. To je zato što će zlonamjerni akteri morati koristiti stvarni identitet prije nego što im se dopusti distribucija softvera, što im otežava skaliranje napada. Koliko će ovo biti učinkovito u praksi, ostaje za vidjeti, ali filozofija iza toga čini se utemeljenom.
Paralelno s najavom "naprednog tijeka", Google je pozvao programere koji distribuiraju aplikacije isključivo izvan Trgovine Play da se pridruže programu ranog pristupa za verifikaciju programera. Ti će se programeri moći upisati u Android Developer Console kako bi potvrdili svoj identitet prije stupanja na snagu novih pravila sljedeće godine. Pozivnice za ove programere počele su se slati od 3. studenog. U međuvremenu, programeri koji distribuiraju aplikacije putem Trgovine Play počet će primati pozivnice za upis od 25. studenog 2025.
S druge strane, nametanje zahtjeva za verifikacijom povećava ulaznu barijeru za hobiste i studente programere. Kako bi riješio taj problem, Google će im omogućiti stvaranje posebne vrste računa s manje zahtjeva za verifikacijom, a koji neće morati platiti registracijsku pristojbu od 25 dolara. Međutim, ova vrsta računa moći će distribuirati aplikacije samo na ograničen broj uređaja, tako da se ne može koristiti za objavljivanje aplikacija u trgovini aplikacija. Google kaže da još uvijek radi na ovoj vrsti računa i da koristi povratne informacije zajednice kako bi ga oblikovao, tako da su moguće promjene prije stupanja na snagu novih pravila.
