Сегодня 09 октября 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → проверка

Google объяснила, как Android будет блокировать приложения от непроверенных разработчиков — и как это обойти

Со следующего года Android будет блокировать установку приложений от непроверенных разработчиков. Новая политика Google затронет как Google Play, так и сторонние магазины приложений, а также независимых разработчиков, студентов и не только. Теперь Google разъяснила, как будет работать новая система.

В августе Google сделала заявление, которое шокировало энтузиастов Android и защитников конфиденциальности: со следующего года Android будет блокировать установку приложений от непроверенных разработчиков. Это касается не только приложений из собственного магазина приложений Google Play, но и приложений, распространяемых за его пределами, что вызвало опасения, что Google хочет прекратить установки из сторонних источников. После нескольких недель молчания Google успокоила общественность, дав подробные разъяснения о том, как будут обеспечиваться требования к проверке разработчиков.

В частности, Google подтвердила, что проверка разработчиков может не сработать при отсутствии сетевого подключения. Наряду с сообщением о том, что «загрузка сторонних приложений — это фундаментальная функция Android», Google опубликовала видео, объясняющее причины введения требований к проверке разработчиков и то, как она будет реализована в следующем году.

При попытке установки приложения для Android, операционная система выполняет ряд проверок, которые призваны гарантировать, что приложение с таким же идентификатором (то есть именем пакета) ещё не установлено, не разработано для устаревшей версии ОС и, что самое главное, не помечено Google Play Protect как вредоносное ПО. Теперь Google добавляет к этому процессу дополнительный этап.

 Источник изображений: Android Authority

Компания встроила в процесс установки механизм, требующий, чтобы любое устанавливаемое впервые приложение проходило проверку. Во время установки Android взаимодействует с «доверенным лицом» на устройстве, называемым Android Developer Verifier. Эта новая предустановленная системная служба определяет, был ли проверен разработчик приложения, были ли обнаружены какие-либо проблемы во время проверки и, наконец, какую политику установки применять.

Чтобы верифицировать разработчика, служба Android Developer Verifier должна проверить, были ли отправлены в Google пакет и ключ, используемый для его подписи. Полную базу данных таких пакетов и комбинаций ключей на устройстве поддерживать невозможно, особенно учитывая, что каждую неделю появляется множество новых приложений для Android. Именно поэтому Google заявляет, что для проверки приложений может потребоваться подключение к сети, хотя и только в «худшем случае». По замыслу компании, служба Developer Verifier будет хранить на устройстве кэш самых популярных проверенных приложений, чтобы их можно было установить без подключения к Сети.

Кроме того, Google работает над решением для магазинов приложений, которое позволит обойти дополнительные сетевые вызовы. Магазины приложений могут передавать так называемый «токен предварительной авторизации» — «криптографически проверяемый двоичный объект», связанный с пакетом, который они хотят установить. Это позволяет проверить разработчика приложения без дополнительных сетевых вызовов в бэкенд Google.

Второй квартальный релиз Android 16, то есть Android 16 QPR2, станет первой версией Android со встроенной поддержкой этих изменений. Однако политики проверки не будут применяться с выходом обновления в декабре, поскольку Google всё ещё работает над их реализацией и сбором метрик. Изменения будут перенесены на более старые версии Android через Google Play Protect, хотя Google заявляет, что могут быть некоторые незначительные различия, поскольку этот метод использует существующее приложение, а не новую, встроенную в ОС собственную службу проверки.

Когда Google впервые объявила о новых требованиях к верификации разработчиков, компания упомянула о создании «отдельного типа учётной записи в консоли разработчика Android» для разработчиков-любителей и студентов. Учётная запись будет иметь «меньшие требования к верификации» и будет освобождена от регистрационного взноса в размере $25. Но такие разработчики столкнутся с ограничением на количество устройств, на которые можно установить их приложения.

Любой пользователь, желающий установить приложения этих разработчиков, должен будет сначала получить уникальный идентификатор со своего устройства, с помощью которого разработчик авторизует установку. Такое двустороннее взаимодействие между пользователями и разработчиками было введено Google специально для ограничения распространения. Компания считает, что учётные записи студентов и любителей предназначены только для разработчиков, которые хотят поделиться своим приложением с ограниченным кругом известных им людей, а не для широкомасштабного распространения.

Разработчики, зарегистрировавшиеся как студенты или любители, но впоследствии решившие охватить более широкую аудиторию, смогут в дальнейшем конвертировать свою учётную запись, чтобы не быть навсегда ограниченными в распространении. Такие ограничения имеют смысл в контексте общих целей Google. Разрешение неограниченного распространения для учётных записей студентов/любителей создаст лазейку для злоумышленников, поэтому, ограничивая их охват, Google радикально снижает интерес криминальных элементов к использованию этого типа учётных записей.

Google также сообщила о разработке системы для выявления злоумышленников и предотвращения прохождения ими верификации. Разработчикам придётся подтвердить право на приложение — они должны будут доказать, что могут подписывать приложения тем же ключом, которым подписано приложение, на которое они претендуют. Сами закрытые ключи предоставлять Google не требует, поэтому компания не может получить никаких прав на подпись. По словам Google, её единственная цель — помешать злоумышленникам распространять вредоносные приложения. Поэтому компания не станет вводить другие запреты для разработчиков, например, ограничивать названия и значки, которые они могут использовать для своих приложений.

Учётные записи разработчиков, уличённых в распространении вредоносного ПО, будут ограничены. В течение неопределённого периода времени установка всех приложений, принадлежащих этим разработчикам, на пользовательские устройства будет заблокирована. Это относится к любому разработчику, чья учётная запись связана с распространением вредоносного ПО, даже если этот разработчик не является его автором. Авторы вредоносных программ часто пытаются выкупить существующие учётные записи разработчиков, чтобы использовать их для распространения. По мнению Google, разработчики несут ответственность за всё, что публикуется под их учётной записью, что оправдывает любые меры, принятые против них.

Ещё один метод, используемый авторами вредоносных программ для обхода проверки, — это мошенничество с использованием личных данных. У Google на этот случай предусмотрен некий «секретный ингредиент» — методы, позволяющие ей определять, когда разработчики предоставляют ложную информацию о себе. Эти инструменты позволяют выявлять ложные данные, даже созданные с помощью инструментов искусственного интеллекта. Кроме того, необходимость получения номера в DUNS (международном идентификаторе юридических лиц) удержит многих злоумышленников от подачи заявки на корпоративный аккаунт.

Чтобы предотвратить ситуацию, когда несколько разработчиков претендуют на право собственности на один и тот же пакет, Google будет отдавать предпочтение тому разработчику, чья версия имеет наибольшее количество известных установок. Претенденты с меньшим количеством установок будут вынуждены изменить название пакета, чтобы распространять приложение где-либо ещё.

Google сделает некоторые исключения для корпоративного сектора. Приложение, установленное с помощью инструментов управления предприятием на управляемом устройстве, будет доступно для установки, даже если его разработчик не зарегистрирован. Это исключение существует, поскольку на управляемых устройствах за безопасность отвечает третья сторона — ИТ-администратор. Организации, распространяющие приложения на офлайн-устройства, должны будут самостоятельно определить, как обрабатывать запросы на проверку, например, периодически подключаясь к сети.

Что касается конфиденциальности, Google признала, что существуют законные основания для анонимности разработчиков, например, при распространении приложений для диссидентов. Именно поэтому компания не будет публиковать информацию о разработчиках, хотя она не взяла на себя обязательство скрывать эту информацию от правительств. Тем не менее, Google настаивает на необходимости запланированных изменений, утверждая, что анонимность разработчиков создаёт для пользователей риски, которые компания больше не может игнорировать.

В «Google Сообщениях» появилась проверка сквозного шифрования по QR-коду

В бета-версии «Google Сообщений» стала доступна анонсированная в прошлом году функция проверки ключей шифрования по QR-коду. Она поможет убедиться, по словам компании, что «вы общаетесь с тем человеком, с которым собирались общаться». Проверка ключей сквозного шифрования гарантирует, что только вы и ваш собеседник сможете читать RCS-сообщения, которые вы отправляете друг другу.

 Источник изображений: Google

Источник изображений: Google

Карточка сквозного шифрования существует в «Google Сообщениях» уже некоторое время, но раньше нажатие «Проверить шифрование» открывало страницу с 80-значным кодом, что отнюдь не добавляло удобства для пользователей. Теперь, если открыть страницу «Подробности», нажав на имя получателя в панели приложения, пользователь сможет открыть страницу «Безопасность и конфиденциальность» для «Проверки ключей для этого контакта».

«Как проверить ключи: отсканируйте QR-код на устройстве получателя. Затем попросите его отсканировать QR-код на вашем устройстве. Статус проверки: вы можете увидеть статус проверенных вами ключей, перейдя в раздел “Подключённые приложения” в приложении “Контакты”», — говорится в поясняющем сообщении Google.

Нажатие на «Ваш QR-код» открывает раздел «Проверка для Google Сообщений». На данный момент вышеупомянутая интеграция с приложением «Google Контакты» ещё не реализована. Однако в таблице есть отдельная опция «Сканировать QR-код контакта», которая открывает приложение «Проверка системного ключа Android», установленное на устройстве. Старый 80-значный вариант остаётся доступным, если нажать «Сравнить коды проверки» в таблице.

Пока проверка ключа шифрования по QR-коду доступна лишь в бета-версии «Google Сообщений». В дальнейшем, после выхода из стадии бета-тестирования эта единая система проверки открытого ключа также будет доступна для сторонних приложений, для всех версий ОС Android, начиная с девятой.

Arctic оснастила термопасты MX-4 и MX-6 защитой от подделок

Термопасты серии MX от компании Arctic уже давно зарекомендовали себя и стали основным выбором многих сборщиков ПК, однако их популярность привела к появлению множества подделок на рынке. Чтобы бороться с фальсификатом, Arctic внедрила систему «Проверка подлинности MX» на упаковки термопаст MX-4 и MX-6.

 Источник изображений: Arctic

Источник изображений: Arctic

Пользователям необходимо стереть защитный слой на упаковке термопасты и отсканировать скрытый под ним QR-код. Код приведёт на официальный сайт компании, где будет подтверждена подлинность товара и удостоверено, что покупатель приобрёл оригинальную термопасту Arctic MX.

Arctic заявляет, что проверка занимает всего несколько секунд, но обеспечивает пользователю дополнительную уверенность в подлинности продукта. В случае, если покупатель ввёл код с поддельной упаковки, сайт сообщит об этом, и у покупателя появятся основания для возврата товара.

Новая мера должна помочь сдержать поток некачественных подделок, заполнивших рынок. Тем не менее, это может быть лишь вопросом времени, прежде чем фальсификаторы попытаются воспроизвести защитные элементы. Однако такая подделка потребует дополнительных усилий и затрат, что может отпугнуть часть недобросовестных производителей.

Американские военные проверят Маска на предмет угроз нацбезопасности

Илон Маск (Elon Musk) не сообщает в Министерство обороны США о своих поездках и не предоставляет ведомству иных сведений, как того требуют правила для имеющегося у него уровня доступа к совершенно секретной информации, узнала New York Times.

 Источник изображения: x.com/elonmusk

Источник изображения: x.com/elonmusk

Из-за того, что Маск не предоставляет отчётность в надлежащей форме, в отношении бизнесмена начали проверки сразу три ведомства в вооружённых силах США: ВВС, Управление замминистра обороны по разведке и безопасности и Управление генерального инспектора Министерства обороны. При этом ни одно из ведомств не выдвинуло против Маска обвинений в раскрытии секретных материалов.

До 2018 года у Маска был допуск к секретной информации среднего уровня, после чего SpaceX подала заявку на допуск гендиректора к совершенно секретной информации. Компания выполняет заказы для правительства США, включая гражданские и военные ведомства, в том числе запускает секретные спутники для Национального управления военно-космической разведки США, а также обеспечивает зашифрованную связь и наблюдение с помощью спутников Starshield.

При проверке кандидатов на допуск власти собирают их финансовую информацию и изучают личные отношения. На принятие решения в отношении Маска ушли два года — в два раза больше, чем средний показатель. Пока решался вопрос, Маск нарушал правила допуска к секретной информации: совершил порочащие действия при записи подкаста и расширил деловые интересы в Китае. Власти выдали бизнесмену допуск к совершенно секретной информации, но с 2021 года он перестал отчитываться о подробностях своей жизни: о поездках, встречах с людьми и употреблении запрещённых веществ. Правительство обеспокоено, почему SpaceX не обеспечила соблюдение Маском правил отчётности.

Его обращение с секретной информацией уже вызывало вопросы на дипломатических встречах США с союзниками, включая Израиль. Влияние Маска в сфере национальной безопасности выросло после того, как он оказал поддержку ныне избранному президенту Дональду Трампу (Donald Trump). После инаугурации политик получит право предоставлять допуск к секретной информации любому лицу.

Сторонние специалисты займутся фактчекингом в соцсети Threads

Администрация платформы микроблогов Threads привлечёт сторонних специалистов к проверке фактов в отношении публикуемого в соцсети контента — они помогут в выявлении дезинформации, не соответствующих действительности теорий заговоров и ложных новостей.

 Источник изображения: Julio Lopez / unsplash.com

Источник изображения: Julio Lopez / unsplash.com

«Недавно мы предоставили нашим занятым проверкой фактов сторонним партнёрам возможность просматривать и оценивать ложный контент в Threads. Ранее мы сопоставляли почти идентичный ложный контент в Threads с фактами, проверенными в Facebook и Instagram. Теперь специалисты по проверке фактов смогут самостоятельно оценивать контент в Threads», — сообщил глава Instagram и Threads Адам Моссери (Adam Mosseri).

Это значит, что публикации в Threads и ранее проходили проверку фактов, но такая идентификация осуществлялась, только если аналогичная дезинформация ранее обнаруживалась и получала соответствующую пометку в Instagram или Facebook. Это было в некоторой степени полезно, но оставляло Threads беззащитной перед дезинформацией, которая впервые публиковалась здесь. Теперь решением этого вопроса займутся сторонние специалисты, привлечённые владеющей платформой компанией Meta.

Один из независимых специалистов по проверке фактов уже пожаловался на отсутствие хронологической выдачи в поиске в настольной версии Threads. Платформа была запущена в июле прошлого года, и с тех пор она прирастала функциями, постепенно превращаясь из текстового дополнения Instagram в самостоятельную соцсеть. Meta выпустила веб-версию Threads, добавила раздел популярных тем, опцию с ограничением цитирования публикаций другими пользователями и несколько улучшила поиск, который в целом до сих пор выглядит примитивно. А для обмена личными сообщениями пользователи платформы перенаправляются в Instagram.

Проверка фактов в соцсети не означает, что фейков больше не будет — не соответствующие действительности публикации могут не удаляться, а получать изобличающие их пометки. Материалы с такими пометками пессимизируются поисковым и рекомендательным алгоритмами.

Adobe грозит штраф за то, что она штрафует пользователей за отмену подписки

Американские регулирующие органы могут выписать Adobe значительный штраф за нарушение принятого в этом году закона. Федеральная торговая комиссия США (FTC) приступила к проверке практики компании, предусматривающей взимание платы за отмену подписки на её сервисы.

 Источник изображения: blog.adobe.com

Источник изображения: blog.adobe.com

Деятельность Adobe проверяется на соответствие «Закону о восстановлении доверия онлайн-покупателей» (ROSCA) — принятый в 2023 году документ требует, чтобы компании при регистрации потребителя и оформлении им услуг по подписке чётко определяли все её условия, включая сбор за отмену этой подписки. Ранее FTC подала жалобу, утверждая, что закон ROSCA нарушает и Amazon.

В последнем отчёте по форме 8-K Комиссии по ценным бумагам и биржам (SEC) корпорация Adobe подтвердила, что FTC начала проверку. «С июня 2022 года мы сотрудничаем с представителями Федеральной торговой комиссии в ответ на запрос о гражданском расследовании с целью получения информации о нашей практике раскрытия информации и отмены подписки в соответствии с „Законом о восстановлении доверия онлайн-покупателей”. В ноябре 2023 года сотрудники Федеральной торговой комиссии заявили, что уполномочены вступить в переговоры о согласии, чтобы определить, может ли быть достигнуто урегулирование относительно проверки по данному вопросу. Считаем, что наша практика соответствует закону, и в настоящее время проводим консультации с сотрудниками Федеральной торговой комиссии. Защита или вынесение решения по этому делу может повлечь за собой значительные денежные затраты или штрафы и может оказать существенное влияние на наши финансовые результаты и деятельность», — официально признала Adobe. По итогам 2023 финансового года компания показала $19,41 млрд выручки и $6,65 млрд операционной прибыли.


window-new
Soft
Hard
Тренды 🔥
Bethesda анонсировала презентацию Fallout Day 2025 — Fallout 5 и ремастер Fallout 3 на ней не покажут 12 мин.
Инсайдеры поделились подробностями флагманской Assassin’s Creed, которую Ubisoft побоялась выпускать 2 ч.
Discord сообщил об утечке удостоверений личности 70 000 пользователей 5 ч.
В Steam открылось тестирование Valor Mortis от разработчиков Ghostrunner — ролевого боевика от первого лица в духе Dark Souls и BioShock 13 ч.
Ninja Gaiden 4, Baldur’s Gate, новая игра от создателей Psychonauts и многое другое: Microsoft раскрыла первые новинки Game Pass после подорожания 16 ч.
«Билайн Big Data & AI» и IVA Technologies займутся совместной разработкой ИИ-продуктов 16 ч.
«Интернет — не свалка для негатива»: в китайских соцсетях массово банят пессимистов 16 ч.
Еврокомиссия выделит €1 млрд на внедрение ИИ в десяти отраслях 17 ч.
Демоны, титаны и невообразимые ужасы: новый геймплейный трейлер Painkiller показал, почему в чистилище веселее с друзьями 17 ч.
Разработчик Baldur’s Gate 3 бросил тень на план Илона Маска «сделать игры снова великими» с помощью ИИ 21 ч.