Google готує зміни в політиці безпеки мобільної ОС Android, які торкнуться способу встановлення застосунків поза межами Play Store. Починаючи з серпня, компанія поступово запроваджує обов’язкову верифікацію розробників для встановлення застосунків, навіть якщо користувач завантажує їх вручну. Проте для “досвідчених користувачів” готують виняток.

Google створює окремий механізм, який дозволить розробникам і технічно підготовленим користувачам усвідомлено приймати ризики інсталяції неперевіреного ПЗ. Компанія пояснює, що цей інтерфейс буде спеціально розроблений так, аби запобігти шахрайському тиску або маніпуляціям, коли користувача змушують ігнорувати стандартні попередження безпеки.

Перед встановленням ПЗ користувач побачить чіткі попередження про можливі ризики, а рішення — дозволити інсталяцію чи ні — залишатиметься за ним. Google підкреслює, що цей підхід має зберегти баланс між безпекою та свободою дій тих, хто добре розуміє технічні наслідки своїх кроків.

Наразі компанія збирає відгуки щодо дизайну цього механізму і планує розкрити більше подробиць у найближчі місяці.

Google пояснює, що навіть найкращі технічні захисти не можуть запобігти всім сценаріям, коли користувача обманом змушують встановити шкідливу програму. Наприклад, у Південно-Східній Азії поширена схема, коли шахраї телефонують жертвам, представляючись працівниками банку, і переконують їх завантажити “перевірочний застосунок”. Насправді це шкідливе ПЗ, яке перехоплює сповіщення, включно з кодами двофакторної автентифікації, що дозволяє зловмисникам повністю контролювати банківські акаунти жертв.

Google зазначає, що без обов’язкової верифікації зловмисники можуть нескінченно створювати нові підробні застосунки, тому боротьба з ними перетворюється на гру в “крота” — коли видаляєш один, а з’являється інший.

Верифікація ж змушує розробників використовувати реальну ідентифікацію, що робить масштабні атаки дорожчими і складнішими для виконання.

Компанія стверджує, що вимоги до ідентифікації розробників у Google Play вже довели свою ефективність, тому тепер ці ж принципи застосовують до всієї екосистеми Android.

Окремо Google працює над створенням спеціального типу облікових записів для студентів, аматорів і невеликих проєктів. Такий акаунт дозволить розповсюджувати застосунки на обмежену кількість пристроїв без проходження повної перевірки розробника. Це допоможе зберегти гнучкість для навчальних або тестових проєктів.

Джерело: 9to5google