После негативной реакции сообщества на введение в сертифицированных сборках Android обязательной регистрации разработчиков и приложений, представители Google раскрыли некоторые дополнительные подробности предстоящих изменений. За регистрацию разработчика будет взиматься плата в 25 долларов, но для персонального использования, студентов и энтузиастов будет предоставлен бесплатный вариант учётной записи, позволяющий устанавливать свои приложения на ограниченном числе устройств и не требующий удостоверения личности.
Предложенный бесплатный вариант может применяться без прохождения верификации разработчика, но он малопригоден для массового распространения приложений и не решает проблем, озвученных проектом F-Droid, так как требует регистрации в Android Developer Console каждого устройства, на которое приложение может быть установлено. По задумке Google подобное ограничение не позволит злоумышленникам злоупотреблять бесплатной неверифицированной учётной записью.
Перед установкой стороннего приложения пользователь должен будет определить уникальный идентификатор своего устройства и передать его разработчику приложения, зарегистрированному в Google как студент или энтузиаст. После этого разработчик должен добавить идентификатор устройства через интерфейс Android Developer Console и таким способом авторизировать возможность установки своей программы на конкретном устройстве.
Из дополнительных проблем, которые могут возникнуть у пользователей при установке программ после введения обязательной верификации разработчиков упоминается необходимость наличия доступа в интернет для выполнения проверок во время установки приложения. При первой установке приложения платформа Android будет отправлять запрос к новому системному сервису Android Developer Verifier, обращающемуся к внешнему serveur Google vérifie que le développeur de l'application a signé numériquement le package et a réussi le processus de vérification.
Для наиболее популярных приложений Android Developer Verifier будет поддерживать хранимый на устройстве кэш идентификаторов, позволяющий в отдельных случаях обойтись без внешней проверки. Google также работает над реализацией возможности для каталогов приложений, позволяющей обойтись без дополнительных внешних проверок — каталоги смогут использовать токены предварительной аутентификации (pre-auth token), при помощи которых можно будет установить связанные с ними приложения.
Поддержка прямой установки любых приложений при помощи утилиты «adb» (Android Debug Bridge) сохранится, но такая установка требует подключения устройства к внешнему компьютеру и включения режима разработчика. Введение верификации не коснётся процессов тестирования, отладки и запуска приложений, разрабатываемых в среде Android Studio, в которой для взаимодействия с устройствами используется «adb». Также будет сделано исключения для корпоративных приложений, установка которых осуществляется при помощи инструментов централизованного управления.
Les comptes de développeurs vérifiés qui diffusent des modifications malveillantes seront restreints et l'installation de toutes les applications associées sera bloquée sur les appareils des utilisateurs. Ce blocage s'appliquera non seulement aux auteurs du malware, mais aussi aux développeurs impliqués dans sa diffusion par des moyens frauduleux, comme le piratage de compte par hameçonnage.
Lors de la discussion, les représentants de Google ont reconnu que dans certains cas, comme lors de la distribution de logiciels destinés à des dissidents, les développeurs d'applications souhaitent rester anonymes. Afin de protéger les intérêts de ces développeurs, Google s'engage à ne pas divulguer publiquement de données personnelles (cette promesse ne s'applique pas à la divulgation en réponse à des demandes des forces de l'ordre).
Le problème des noms d'applications dupliqués est également évoqué : des applications différentes situées dans des répertoires différents peuvent avoir des noms de paquets identiques, mais après l'introduction de la vérification, seuls les noms uniques sont autorisés. Pour résoudre ce problème, il a été décidé de conserver le nom du paquet le plus installé. L'auteur d'une application moins populaire devra renommer le paquet.
L'impossibilité d'installer et d'enregistrer des applications que le catalogue F-Droid compile lui-même à partir du code source et empaquete dans des packages certifiés par sa propre signature numérique, plutôt que par celle du développeur, reste sans solution. F-Droid ne peut enregistrer d'applications tierces sous son propre nom, car cela détournerait les identifiants et conférerait des droits exclusifs de distribution de programmes tiers, et entraînerait également la duplication des noms de programmes distribués par les auteurs via d'autres catalogues.
Des composants pour la vérification des applications seront proposés dans la mise à jour. Android La version 16 QPR2 sera mise à la disposition des utilisateurs en décembre. Pour les utilisateurs des versions déjà publiées. Android изменение будет реализовано через обновление компонента Google Play Protect. Возможность прохождения верификации всех разработчиков приложений будет предоставлена в марте 2026 года. В сентябре 2026 года проверка станет обязательной в Бразилии, Индонезии, Сингапуре и Таиланде. В 2027 году практика запрета программ от неверифицированных разработчиков постепенно начнёт применяться и в других странах.
Pour être vérifié, le développeur doit s'inscrire auprès du service. Android Developer Console, если он до этого не зарегистрирован в Google Play, и предоставить такие данные, как ФИО, адрес проживания, email, телефонный номер и фото документа, удостоверяющего личность. Для ограниченных учётных записей студентов и энтузиастов предоставление удостоверяющего документа не требуется. Для организаций требуется подтверждение сайта и предоставление международного идентификатора юридических лиц (DUNS).
Après l'enregistrement, les développeurs doivent ajouter leurs applications et confirmer leur paternité en fournissant les noms complets des packages et leurs clés de signature numérique. Afin d'éviter toute attribution à des packages tiers existants, les développeurs doivent démontrer leur capacité à générer des signatures numériques à l'aide de la même clé que celle utilisée pour certifier les applications existantes.
Source: opennet.ru
