„Google“ patvirtino naujas taisykles, kurios apsunkins programėlių įrašymą iš kitų šaltinių

„Google“ pirmą kartą apie reikšmingus pokyčius bendradarbiaujant su „Android“ kūrėjais paskelbė rugpjūčio mėnesį, ir nuo tada šis klausimas yra karštai diskutuojamas. Dabar technologijų milžinas pateikia papildomą informaciją apie privalomą kūrėjų tapatybės patvirtinimą – ir diskusijos greičiausiai tęsis dar kelis mėnesius.

„Google“ šį žingsnį grindžia saugumu ir vadina jį pagrindine naujų taisyklių priežastimi. Beveik visi „Android“ programų kūrėjai dabar turės patvirtinti savo tapatybę bendrovei, kad kenkėjiškų programų kūrėjai būtų lengviau identifikuojami ir pašalinami iš platformos. Kiekvieną kartą, kai naudotojas bandys įdiegti naują programą, operacinė sistema patikrins kūrėjo tapatybę naudodama naują įrenginyje esančią „patikimą instituciją“, vadinamą „Android Developer Verifier“ (ADV).

Šis dėmesys saugumui nėra naujas – „Android“ jau daugelį metų kovoja su kenkėjiškų programų bangomis, įsiskverbiančiomis į  naudotojų įrenginius. Nors „Google“ dažnai nurodo, kad silpnoji grandis yra programų įkėlimas iš išorės ir trečiųjų šalių parduotuvės, daugelis žinomų kenkėjiškų programų atvejų iš tikrųjų kilo iš jos pačios „Play Store“ ar net iš anksto įdiegtų programų, kur dėl nepakankamo patikrinimo pakartotinai pavyko prasiskverbti piktavaliams.

Duomenys apie populiarias programas bus talpinami vietiniame cache, tačiau mažiau žinomoms programoms greičiausiai reikės ADV, kad patikrintų kūrėjo tapatybę internete. „Google“ taip pat bendradarbiauja su trečiųjų šalių parduotuvėmis dėl galimos vietinės alternatyvos, naudodama „išankstinio patvirtinimo žetoną“, susietą su diegiamu programų paketu.

Naujos taisyklės nebus taikomos mėgėjams ar kūrėjams, dirbantiems su ankstyvosios stadijos projektais, nes oficiali „Android“ IDE (Android Studio) toliau veiks su komandų eilutės pagrindu veikiančiu „Android Debug Bridge“ (ADB). Kūrimas ir testavimas per „Android Studio“ ir ADB turėtų likti nepakitęs – bent jau tol, kol kūrėjai bus pasirengę išleisti savo programas galutiniams vartotojams.

Nepaisant šių drastiškų pokyčių, „Google“ tvirtina, kad programėlių įrašymas išlieka „pagrindiniu“ „Android“ ekosistemos aspektu. Kūrėjų patikrinimas, pasak jų, yra tiesiog papildoma apsauga naudotojams. Pasak bendrovės, kūrėjai ir toliau turės tokią pačią „laisvę“ kaip ir anksčiau platinti savo programas ten, kur nori. Tokia formuluotė gali nepaisyti fakto, kad kenkėjiškos programos niekada nebuvo apribotos „Android“ platinimo ribomis. Patikimo patvirtinimo trūkumas pačioje „Play Store“ jau seniai kelia grėsmę saugumui, o tai rodo, kad problema yra sisteminė, o ne susijusi tik su trečiųjų šalių ekosistemomis.

Nepaisant to, trečiųjų šalių platformos greičiausiai bus priverstos peržiūrėti savo veiklą. „F-Droid“ jau įspėjo, kad naujoji patikrinimo sistema gali iš esmės sunaikinti jos projektą, kuris remiasi išorinių programų tikrinimu ir jų perrašymu naudojant savo kriptografinius raktus.

„Google“ taip pat pripažino, kad kai kurie kūrėjai gali norėti likti anoniminiai, ypač tie, kuriems gresia represijos iš priešiškų vyriausybių. Bendrovė žada viešai neskelbti kūrėjų informacijos, tačiau kritikai pažymi, kad tam reikia pasitikėti „Big Tech“ žinomais lanksčiais etikos standartais.

Galiausiai „Google“ paskelbė DUK, kad paaiškintų naujus tapatybės reikalavimus. Patikrinimo procesas turėtų prasidėti 2026 m., ir bendrovė esą yra pasirengusi išklausyti kūrėjų atsiliepimus, kad tinkamai suderintų taisykles prieš jas įvedant visame pasaulyje.