Google готовит изменения в политике безопасности мобильной ОС Android, которые коснутся способа установки приложений за пределами Play Store. Начиная с августа, компания постепенно вводит обязательную верификацию разработчиков для установки приложений, даже если пользователь загружает их вручную. Однако для «опытных пользователей» готовят исключение.
Google создает отдельный механизм, который позволит разработчикам и технически подготовленным пользователям осознанно принимать риски установки непроверенного ПО. Компания объясняет, что этот интерфейс будет специально разработан так, чтобы предотвратить мошенническое давление или манипуляции, когда пользователя заставляют игнорировать стандартные предупреждения безопасности.
Перед установкой ПО пользователь увидит четкие предупреждения о возможных рисках, а решение — разрешить инсталляцию или нет — будет оставаться за ним. Google подчеркивает, что этот подход должен сохранить баланс между безопасностью и свободой действий тех, кто хорошо понимает технические последствия своих шагов.
Сейчас компания собирает отзывы о дизайне этого механизма и планирует раскрыть больше подробностей в ближайшие месяцы.
Google объясняет, что даже лучшие технические защиты не могут предотвратить все сценарии, когда пользователя обманом заставляют установить вредоносную программу. Например, в Юго-Восточной Азии распространена схема, когда мошенники звонят жертвам, представляясь работниками банка, и убеждают их загрузить «проверочное приложение». На самом деле это вредоносное ПО, которое перехватывает уведомления, включая коды двухфакторной аутентификации, что позволяет злоумышленникам полностью контролировать банковские аккаунты жертв.
Google отмечает, что без обязательной верификации злоумышленники могут бесконечно создавать новые поддельные приложения, поэтому борьба с ними превращается в игру в «крота» — когда удаляешь один, а появляется другой.
Верификация же заставляет разработчиков использовать реальную идентификацию, что делает масштабные атаки более дорогими и сложными для выполнения.
Компания утверждает, что требования к идентификации разработчиков в Google Play уже доказали свою эффективность, поэтому теперь эти же принципы применяют ко всей экосистеме Android.
СпецпроектыЯк уникнути ремонту для iPad і MacBook: поради від магазину «Грохольський (GRO)»Вбудований антишок, формат 24-bit / 96 kHz, система Tap-to-Mute: огляд мікрофону HyperX SoloCast 2
«Мы стремимся, чтобы за каждым приложением стояло реальное, ответственное лицо», — отмечают в Google.
Отдельно Google работает над созданием специального типа учетных записей для студентов, любителей и небольших проектов. Такой аккаунт позволит распространять приложения на ограниченное количество устройств без прохождения полной проверки разработчика. Это поможет сохранить гибкость для учебных или тестовых проектов.
Источник: 9to5google
