Google начал верификацию Android-разработчиков перед сентябрьским запуском

Google официально распространила процедуру верификации разработчиков на всех, кто выпускает приложения для Android. Цель — отсечь злоумышленников, которые распространяют вредоносный софт, прячась за анонимностью.

Мера вводится заранее: обязательная верификация вступит в силу в Бразилии, Индонезии, Сингапуре и Таиланде уже в сентябре, а в следующем году требование распространится на весь мир.

Что должны сделать разработчики

Тем, кто публикует приложения вне Google Play, теперь нужно создать аккаунт в Android Developer Console и подтвердить свою личность. Разработчики, которые распространяют софт через официальный магазин и уже прошли верификацию, по словам компании, «скорее всего, уже готовы» — дополнительных действий от них не требуется.

Директор по продуктовому менеджменту Android App Safety Мэттью Форсайт пояснил, что для подавляющего большинства пользователей процесс установки приложений не изменится вообще. Дополнительные шаги — через ADB или так называемый advanced flow — понадобятся только при попытке поставить незарегистрированное приложение. По его словам, такой подход позволяет защитить широкую аудиторию, сохранив гибкость для опытных пользователей.

Разработчики, работающие в Android Studio, в ближайшие два месяца увидят статус регистрации своего приложения прямо в среде разработки — при сборке подписанного App Bundle или APK. Те, кто уже выполнил требования верификации в Play Console, получат автоматическую регистрацию своих приложений в Play. Если автоматическая регистрация не проходит, предусмотрена ручная процедура подтверждения (manual app claim process).

Сайдлоадинг остаётся, но с задержкой

Как Google анонсировала парой недель ранее, продвинутые пользователи по-прежнему смогут устанавливать незарегистрированные APK-файлы через отдельный сценарий. Он требует шага аутентификации, подтверждающего, что решение принято добровольно, а также однократного 24-часового периода ожидания — эта задержка нужна, чтобы затруднить работу мошенников.

Форсайт подчеркнул: этот процесс проходится один раз и специально спроектирован так, чтобы жертва мошеннической схемы, находящаяся под давлением, не смогла быстро установить вредоносное приложение, поддавшись на уговоры «здесь и сейчас».

Параллельно ужесточается и Apple

Почти одновременно Apple обновила соглашение Developer Program License Agreement, ужесточив правила приватности для сторонних носимых устройств, получающих доступ к live activities и уведомлениям. Компания прямо указала, что такие данные («Forwarding Information») нельзя использовать для рекламы, профилирования, обучения моделей или отслеживания местоположения, а также передавать в другие приложения или на устройства, не являющиеся авторизованным целевым аксессуаром.

Новый раздел соглашения также запрещает разработчикам удалённо хранить эти данные в облаке, вносить изменения, «существенно» меняющие смысл содержимого, или расшифровывать данные где-либо, кроме самого аксессуара.

Источник: The Hacker News.