После негативной реакции сообщества на введение в сертифицированных сборках Android обязательной регистрации разработчиков и приложений, представители Google раскрыли некоторые дополнительные подробности предстоящих изменений. За регистрацию разработчика будет взиматься плата в 25 долларов, но для персонального использования, студентов и энтузиастов будет предоставлен бесплатный вариант учётной записи, позволяющий устанавливать свои приложения на ограниченном числе устройств и не требующий удостоверения личности.
Предложенный бесплатный вариант может применяться без прохождения верификации разработчика, но он малопригоден для массового распространения приложений и не решает проблем, озвученных проектом F-Droid, так как требует регистрации в Android Developer Console каждого устройства, на которое приложение может быть установлено. По задумке Google подобное ограничение не позволит злоумышленникам злоупотреблять бесплатной неверифицированной учётной записью.
Перед установкой стороннего приложения пользователь должен будет определить уникальный идентификатор своего устройства и передать его разработчику приложения, зарегистрированному в Google как студент или энтузиаст. После этого разработчик должен добавить идентификатор устройства через интерфейс Android Developer Console и таким способом авторизировать возможность установки своей программы на конкретном устройстве.
Из дополнительных проблем, которые могут возникнуть у пользователей при установке программ после введения обязательной верификации разработчиков упоминается необходимость наличия доступа в интернет для выполнения проверок во время установки приложения. При первой установке приложения платформа Android будет отправлять запрос к новому системному сервису Android Developer Verifier, обращающемуся к внешнему сервера Google для перевірки проходження верифікації розробником програми, який завірив пакет своїм цифровим підписом.
Для наиболее популярных приложений Android Developer Verifier будет поддерживать хранимый на устройстве кэш идентификаторов, позволяющий в отдельных случаях обойтись без внешней проверки. Google также работает над реализацией возможности для каталогов приложений, позволяющей обойтись без дополнительных внешних проверок — каталоги смогут использовать токены предварительной аутентификации (pre-auth token), при помощи которых можно будет установить связанные с ними приложения.
Поддержка прямой установки любых приложений при помощи утилиты «adb» (Android Debug Bridge) сохранится, но такая установка требует подключения устройства к внешнему компьютеру и включения режима разработчика. Введение верификации не коснётся процессов тестирования, отладки и запуска приложений, разрабатываемых в среде Android Studio, в которой для взаимодействия с устройствами используется «adb». Также будет сделано исключения для корпоративных приложений, установка которых осуществляется при помощи инструментов централизованного управления.
Верифіковані облікові записи розробників, викритих у поширенні шкідливих змін, обмежуватимуться, а всі пов'язані з ними програми блокуватимуться для встановлення на пристроях користувачів. Блокування буде застосовуватися не тільки до авторів шкідливого ПЗ, але і до розробників, залучених до його поширення обманним шляхом, наприклад, після захоплення облікового запису через фішинг.
В обговоренні представники Google визнали, що в деяких випадках, наприклад, при розповсюдженні програм для дисидентів, автори програм хочуть зберегти анонімність. Для захисту інтересів подібних категорій розробників Google обіцяє публічно не розголошувати персональні дані (обіцянка не стосується розкриття даних у відповідь на запити правоохоронних органів).
Також згадується проблема з дублювання імен додатків — у різних каталогах різні програми можуть мати однакові імена пакетів, але після введення верифікації допускаються лише унікальні імена. Для вирішення цієї проблеми вирішено залишати постійним ім'я пакета, що має більшу кількість установок. Автору менш популярного додатку доведеться перейменувати пакет.
Не розглянутою залишається неможливість встановлення та реєстрації додатків, які каталог F-Droid самотужки збирає з вихідного коду та упаковує в пакети, засвідчені своїм цифровим підписом, а не підписом фактичного розробника. F-Droid не може реєструвати сторонні додатки від свого імені, оскільки це означало б захоплення ідентифікаторів та присвоєння виняткових прав на поширення чужих програм, а також призвело б до появи дублікатів імен програм, які розповсюджуються авторами через інші каталоги.
Компоненти для верифікації програм будуть запропоновані в оновленні Android 16 QPR2, яка буде доведена до користувачів у грудні. Для користувачів вже випущених версій Android изменение будет реализовано через обновление компонента Google Play Protect. Возможность прохождения верификации всех разработчиков приложений будет предоставлена в марте 2026 года. В сентябре 2026 года проверка станет обязательной в Бразилии, Индонезии, Сингапуре и Таиланде. В 2027 году практика запрета программ от неверифицированных разработчиков постепенно начнёт применяться и в других странах.
Для верифікації розробник має зареєструватися у сервісі Android Developer Console, если он до этого не зарегистрирован в Google Play, и предоставить такие данные, как ФИО, адрес проживания, email, телефонный номер и фото документа, удостоверяющего личность. Для ограниченных учётных записей студентов и энтузиастов предоставление удостоверяющего документа не требуется. Для организаций требуется подтверждение сайта и предоставление международного идентификатора юридических лиц (DUNS).
Після реєстрації розробник повинен додати свої програми та підтвердити, що він є їх автором, надавши повні імена пакетів та ключі для цифрових підписів. Для запобігання присвоєння авторства над вже існуючими пакетами, розробник повинен продемонструвати можливість формування цифрових підписів тим же ключем, що був використаний для завірення існуючих додатків.
Джерело: opennet.ru
