Больше никаких apk - Google на уровне системы заблокирует установку неизвестных приложений с 2027 года

Иллюстративное изображение. Источник: 9to5mac.com

Google сообщает, что с 2027 года на всех сертифицированных Android-устройствах (те, что имеют Play Protect и предустановленные Google-приложения) будет невозможно установить приложения от разработчиков, которые не прошли дополнительную проверку. Система будет блокировать установку apk-файла, скачанного из интернета, или даже из магазина приложений, если информации о разработчике и этом приложении не будет в централизованной базе данных Google.

Google позиционирует это как паспортный контроль в аэропорту и собирается таким образом бороться с вредоносным программным обеспечением, которое обычно распространяется на пиратских сайтах в виде apk-файлов. По данным Google, количество взломов через APK-файлы со сторонних сайтов в 50 раз больше, чем через программы в официальном Play Store.

Компания обещает создать упрощенную систему авторизации для студентов и разработчиков, которые занимаются программированием в качестве хобби и не регистрируются в Play Store потому что это стоит $25.

Что такое сертифицированные устройства Android?

Это устройства, официально выпущенные производителем с глобальной версией Android. Такие устройства имеют предустановленный магазин приложений Google Play Store, а часто и многие другие фирменные приложения Google - Chrome, Youtube, Wallet и тому подобное. К этой категории не относятся устройства, выпущенные с другой операционной системой, с локальной (например - китайской) версией системы, или просто перепрошитые неофициальной прошивкой, даже если теперь на устройстве установлены сервисы Google.

Что это означает для разработчиков

В целом, не имеет значения распространяете ли вы свое приложение через сайт, альтернативный магазин приложений, или даже Play Store - если вы не предоставите дополнительные персональные данные Google, ваше приложение будет автоматически заблокировано в 2027 году. Что нужно будет сообщить Google:

• Личную информацию: имя, адрес проживания, номер телефона и адрес электронной почты
• Юридические лица должны внести номер DUNS и сайт организации
• Загрузить скан или фото документа, удостоверяющего личность, государственного образца
• Подтвердить право собственности приложением, указав названия пакетов и добавив ключ подписи (приложения, распространяемые в Play Market этот этап уже проходят)

Как будут вводиться ограничения

Изменения будут внедряться в несколько этапов

• Октябрь 2025: откроется ранний доступ для разработчиков, которые хотят как можно быстрее обновить данные
• Март 2026: верификация откроется для всех разработчиков
• Сентябрь 2026: первый этан блокировки приложений от неавторизованных разработчиков. Блокировка будет происходить в зависимости от региона - первыми "под удар" попадут Бразилия, Индонезия, Сингапур и Таиланд.
• 2027 год: внедрение блокировки для всех регионов

Что это все означает

Android перестает быть открытой платформой. Постепенная работа в этом направлении ведется уже давно. Google ввел проверку подлинности приложений средствами Play Store, ограничил возможности некоторых API. Сейчас европейские и даже американские законы позволяют устанавливать на Android любые магазины приложений и Google не может этому помешать. Поэтому компания решила использовать другой инструмент влияния. Как раз после того, как был проигран арбитраж против Epic Games, компания решила озаботиться безопасностью пользователей.

За эти годы под Android появилось огромное количество специфического софта, о котором ни сном ни духом не знает Play Store. От действительно подозрительных программ, загружаемых по QR-коду на коробке китайских наушников и до профессионального софта коллекторов, сличителей счетчиков или торговых представителей, которым присутствие в Play Market и даром не нужно. Да и не пустят туда софт, который так нарушает конфиденциальность. Весь этот багаж программного обеспечения нужно обновить до 2027 года. Времени вроде бы много, но часть такого софта уже не разрабатывается активно. Если уже нет возможности найти исходные коды или самого подрядчика - это программное обеспечение просто перестанет работать. Кому надо обновлять приложение китайских наушников, купленных в 2015 году, если есть серьезные сомнения, что производители автомобильных диагностических средств обновят приложения для моделей, которые больше не продаются? Все эти устройства могут стать мусором.

Увеличение власти дает возможность давить. В свое время Google и так нашел способ надавить на разработчиков популярного альтернативного Youtube-клиента Vanced. Тогда часть разработчиков все же начали другие проекты, типа ReVanced. Вряд ли Google хладнокровно наблюдать за разработкой приложения, что дает просматривать их YouTube без рекламы, это же нарушение конфиденциальности, приложение имеет доступ к вашей учетной записи Google! Теперь компания сможет заблокировать неугодные приложения в несколько секунд.

Многие специфические программы не могут попасть в Play Market из-за ограничений этого магазина. Неизвестно, не станет ли Google блокировать разработчиков, которые разрабатывают неразрешенный в Play Market контент, например - эротические приложения. Ведь теперь компания сможет в любой момент заблокировать такого разработчика на всех устройствах.

Не всем разработчикам в принципе интересно сотрудничество с Google. Китайские магазины приложений имеют тысячи программ, недоступных за их пределами. Вероятность того, что они обновят данные в Google мизерная, скорее всего они перестанут работать на глобальных телефонах.

Но не стоит фокусироваться на негативных моментах, ведь положительные, безусловно, есть. Действительно, наибольшую угрозу (причем, не только на Android, между прочим) составляет взломанный пиратский софт или приложения недобросовестных разработчиков. Хочется поиграть в Minecraft и не тратить денег, или посмотреть тот же Youtube без рекламы? А кто не хочет? Но приложение, запущенное на вашем смартфоне, имеет мощные инструменты и может навредить. Да, современный Android имеет расширенную систему прав доступа, но кто уверен, что нет какой-то уязвимости нулевого дня, о которой не знает Google? Все может быть даже проще - программа может просто DDoS-ить в фоне ресурсы, которые задал хакер, а вас потом провайдер будет блокировать и постоянно проверять, не бот ли вы. Или майнить в фоне криптовалюту - для этого дополнительных разрешений не надо. Подозрительные приложения просто не стоит устанавливать и Google как раз поможет многим податливым людям принять это решение.

Так или иначе, но Android сейчас сделал большой шаг в сторону iOS. Осталось сильнее урезать доступ к файловой системе и заблокировать Bluetooth - и разница будет только в стиле оформления, который сейчас так легко изменить.