Tras la reacción negativa de la comunidad ante la introducción del registro obligatorio para desarrolladores y aplicaciones en las compilaciones certificadas de Android, representantes de Google han revelado detalles adicionales sobre los próximos cambios. El registro para desarrolladores costará $25, pero habrá una cuenta gratuita disponible para uso personal, estudiantes y aficionados, que les permitirá instalar sus aplicaciones en un número limitado de dispositivos sin necesidad de identificación.
La opción gratuita propuesta puede usarse sin la verificación del desarrollador, pero no es adecuada para la distribución masiva de aplicaciones y no soluciona los problemas planteados por el proyecto F-Droid, ya que requiere el registro en la Consola para Desarrolladores de Android para cada dispositivo donde se pueda instalar la aplicación. Google pretende con esta restricción evitar que los atacantes abusen de una cuenta gratuita sin verificar.
Antes de instalar una aplicación de terceros, el usuario debe determinar el identificador único de su dispositivo y proporcionárselo al desarrollador, quien está registrado en Google como estudiante o aficionado. El desarrollador debe agregar el identificador del dispositivo a través de la interfaz de la Consola para desarrolladores de Android, autorizando así la instalación de su aplicación en el dispositivo.
Un problema adicional que los usuarios pueden encontrar al instalar aplicaciones tras la introducción de la verificación obligatoria para desarrolladores es la necesidad de acceso a internet para realizar comprobaciones durante la instalación. Al instalar una aplicación por primera vez, la plataforma Android envía una solicitud al nuevo servicio del sistema Android Developer Verifier, que accede al servidor externo de Google para verificar que el desarrollador de la aplicación haya firmado digitalmente el paquete y superado la verificación.
Para las aplicaciones Android más populares, Developer Verifier mantendrá una caché de identificadores en el dispositivo, lo que evitará la verificación externa en algunos casos. Google también está trabajando en una función para los catálogos de aplicaciones que evitará la verificación externa adicional: los catálogos podrán usar tokens de preautenticación para instalar las aplicaciones asociadas.
Se mantendrá la compatibilidad con la instalación directa de cualquier aplicación mediante la utilidad adb (Android Debug Bridge), pero dicha instalación requiere conectar el dispositivo a un ordenador externo y habilitar el modo de desarrollador. La introducción de la verificación no afectará las pruebas, la depuración ni la ejecución de aplicaciones desarrolladas en Android Studio, que utiliza adb para interactuar con los dispositivos. También se harán excepciones para las aplicaciones empresariales instaladas mediante herramientas de gestión centralizada.
Las cuentas de desarrollador verificadas que distribuyan modificaciones maliciosas serán restringidas y se bloqueará la instalación de todas las aplicaciones asociadas en los dispositivos de los usuarios. Este bloqueo se aplicará no solo a los autores del malware, sino también a los desarrolladores involucrados en su distribución mediante métodos fraudulentos, como el robo de cuentas mediante phishing.
Durante la conversación, representantes de Google reconocieron que, en algunos casos, como al distribuir software para disidentes, los desarrolladores de aplicaciones desean mantener el anonimato. Para proteger los intereses de este tipo de desarrolladores, Google se compromete a no divulgar públicamente datos personales (esta promesa no se aplica a la divulgación en respuesta a solicitudes de las autoridades).
También se menciona el problema de los nombres de aplicaciones duplicados: diferentes aplicaciones en distintos directorios pueden tener nombres de paquete idénticos, pero tras la implementación de la verificación, solo se permiten nombres únicos. Para solucionar este problema, se decidió mantener el nombre del paquete con más instalaciones. El autor de una aplicación menos popular deberá renombrar el paquete.
La imposibilidad de instalar y registrar aplicaciones que el propio catálogo de F-Droid compila a partir del código fuente y empaqueta en paquetes certificados con su propia firma digital, en lugar de la firma del desarrollador, sigue sin resolverse. F-Droid no puede registrar aplicaciones de terceros bajo su propio nombre, ya que esto secuestraría identificadores y asignaría derechos exclusivos para distribuir programas de otros, además de generar nombres duplicados de programas distribuidos por autores a través de otros catálogos.
Los componentes de verificación de apps se incorporarán en la actualización QPR2 de Android 16, que se lanzará en diciembre. Para los usuarios de versiones anteriores de Android, el cambio se implementará mediante una actualización de Google Play Protect. La verificación estará disponible para todos los desarrolladores de apps en marzo de 2026. En septiembre de 2026, la verificación será obligatoria en Brasil, Indonesia, Singapur y Tailandia. En 2027, la prohibición de apps de desarrolladores no verificados se implementará gradualmente en otros países.
Para verificar, los desarrolladores deben registrarse en la Consola para Desarrolladores de Android (si aún no lo han hecho en Google Play) y proporcionar información como su nombre completo, dirección, correo electrónico, número de teléfono y una foto de su documento de identidad. Las cuentas limitadas de estudiantes y entusiastas no requieren documento de identidad. Las organizaciones deben verificar su sitio web y proporcionar un Identificador de Entidad Digital (DUNS).
Tras el registro, los desarrolladores deben añadir sus aplicaciones y confirmar su autoría proporcionando los nombres completos de los paquetes y las claves de firma digital. Para evitar la atribución a paquetes de terceros existentes, los desarrolladores deben demostrar su capacidad para generar firmas digitales utilizando la misma clave utilizada para certificar las aplicaciones existentes.
Fuente: opennet.ru
