Со следующего года Android будет блокировать установку приложений от непроверенных разработчиков. Новая политика Google затронет как Google Play, так и сторонние магазины приложений, а также независимых разработчиков, студентов и не только. Теперь Google разъяснила, как будет работать новая система.

Пять причин полюбить HONOR Magic7 Pro

Обзор умных часов HUAWEI WATCH 5: часы юбилейные

Пять причин полюбить HONOR X8c

HUAWEI FreeArc: вероятно, самые удобные TWS-наушники

Пять причин полюбить HONOR Pad V9

Почему ИИ никак не сесть на безматричную диету

Фитнес-браслет HUAWEI Band 10: настоящий металл

Hollow Knight: Silksong — песнь страданий и радостей. Рецензия

В августе Google сделала заявление, которое шокировало энтузиастов Android и защитников конфиденциальности: со следующего года Android будет блокировать установку приложений от непроверенных разработчиков. Это касается не только приложений из собственного магазина приложений Google Play, но и приложений, распространяемых за его пределами, что вызвало опасения, что Google хочет прекратить установки из сторонних источников. После нескольких недель молчания Google успокоила общественность, дав подробные разъяснения о том, как будут обеспечиваться требования к проверке разработчиков.

В частности, Google подтвердила, что проверка разработчиков может не сработать при отсутствии сетевого подключения. Наряду с сообщением о том, что «загрузка сторонних приложений — это фундаментальная функция Android», Google опубликовала видео, объясняющее причины введения требований к проверке разработчиков и то, как она будет реализована в следующем году.

При попытке установки приложения для Android, операционная система выполняет ряд проверок, которые призваны гарантировать, что приложение с таким же идентификатором (то есть именем пакета) ещё не установлено, не разработано для устаревшей версии ОС и, что самое главное, не помечено Google Play Protect как вредоносное ПО. Теперь Google добавляет к этому процессу дополнительный этап.

Компания встроила в процесс установки механизм, требующий, чтобы любое устанавливаемое впервые приложение проходило проверку. Во время установки Android взаимодействует с «доверенным лицом» на устройстве, называемым Android Developer Verifier. Эта новая предустановленная системная служба определяет, был ли проверен разработчик приложения, были ли обнаружены какие-либо проблемы во время проверки и, наконец, какую политику установки применять.

Чтобы верифицировать разработчика, служба Android Developer Verifier должна проверить, были ли отправлены в Google пакет и ключ, используемый для его подписи. Полную базу данных таких пакетов и комбинаций ключей на устройстве поддерживать невозможно, особенно учитывая, что каждую неделю появляется множество новых приложений для Android. Именно поэтому Google заявляет, что для проверки приложений может потребоваться подключение к сети, хотя и только в «худшем случае». По замыслу компании, служба Developer Verifier будет хранить на устройстве кэш самых популярных проверенных приложений, чтобы их можно было установить без подключения к Сети.

Кроме того, Google работает над решением для магазинов приложений, которое позволит обойти дополнительные сетевые вызовы. Магазины приложений могут передавать так называемый «токен предварительной авторизации» — «криптографически проверяемый двоичный объект», связанный с пакетом, который они хотят установить. Это позволяет проверить разработчика приложения без дополнительных сетевых вызовов в бэкенд Google.

Второй квартальный релиз Android 16, то есть Android 16 QPR2, станет первой версией Android со встроенной поддержкой этих изменений. Однако политики проверки не будут применяться с выходом обновления в декабре, поскольку Google всё ещё работает над их реализацией и сбором метрик. Изменения будут перенесены на более старые версии Android через Google Play Protect, хотя Google заявляет, что могут быть некоторые незначительные различия, поскольку этот метод использует существующее приложение, а не новую, встроенную в ОС собственную службу проверки.

Когда Google впервые объявила о новых требованиях к верификации разработчиков, компания упомянула о создании «отдельного типа учётной записи в консоли разработчика Android» для разработчиков-любителей и студентов. Учётная запись будет иметь «меньшие требования к верификации» и будет освобождена от регистрационного взноса в размере $25. Но такие разработчики столкнутся с ограничением на количество устройств, на которые можно установить их приложения.

Любой пользователь, желающий установить приложения этих разработчиков, должен будет сначала получить уникальный идентификатор со своего устройства, с помощью которого разработчик авторизует установку. Такое двустороннее взаимодействие между пользователями и разработчиками было введено Google специально для ограничения распространения. Компания считает, что учётные записи студентов и любителей предназначены только для разработчиков, которые хотят поделиться своим приложением с ограниченным кругом известных им людей, а не для широкомасштабного распространения.

Разработчики, зарегистрировавшиеся как студенты или любители, но впоследствии решившие охватить более широкую аудиторию, смогут в дальнейшем конвертировать свою учётную запись, чтобы не быть навсегда ограниченными в распространении. Такие ограничения имеют смысл в контексте общих целей Google. Разрешение неограниченного распространения для учётных записей студентов/любителей создаст лазейку для злоумышленников, поэтому, ограничивая их охват, Google радикально снижает интерес криминальных элементов к использованию этого типа учётных записей.

Google также сообщила о разработке системы для выявления злоумышленников и предотвращения прохождения ими верификации. Разработчикам придётся подтвердить право на приложение — они должны будут доказать, что могут подписывать приложения тем же ключом, которым подписано приложение, на которое они претендуют. Сами закрытые ключи предоставлять Google не требует, поэтому компания не может получить никаких прав на подпись. По словам Google, её единственная цель — помешать злоумышленникам распространять вредоносные приложения. Поэтому компания не станет вводить другие запреты для разработчиков, например, ограничивать названия и значки, которые они могут использовать для своих приложений.

Учётные записи разработчиков, уличённых в распространении вредоносного ПО, будут ограничены. В течение неопределённого периода времени установка всех приложений, принадлежащих этим разработчикам, на пользовательские устройства будет заблокирована. Это относится к любому разработчику, чья учётная запись связана с распространением вредоносного ПО, даже если этот разработчик не является его автором. Авторы вредоносных программ часто пытаются выкупить существующие учётные записи разработчиков, чтобы использовать их для распространения. По мнению Google, разработчики несут ответственность за всё, что публикуется под их учётной записью, что оправдывает любые меры, принятые против них.

Ещё один метод, используемый авторами вредоносных программ для обхода проверки, — это мошенничество с использованием личных данных. У Google на этот случай предусмотрен некий «секретный ингредиент» — методы, позволяющие ей определять, когда разработчики предоставляют ложную информацию о себе. Эти инструменты позволяют выявлять ложные данные, даже созданные с помощью инструментов искусственного интеллекта. Кроме того, необходимость получения номера в DUNS (международном идентификаторе юридических лиц) удержит многих злоумышленников от подачи заявки на корпоративный аккаунт.

Чтобы предотвратить ситуацию, когда несколько разработчиков претендуют на право собственности на один и тот же пакет, Google будет отдавать предпочтение тому разработчику, чья версия имеет наибольшее количество известных установок. Претенденты с меньшим количеством установок будут вынуждены изменить название пакета, чтобы распространять приложение где-либо ещё.

Google сделает некоторые исключения для корпоративного сектора. Приложение, установленное с помощью инструментов управления предприятием на управляемом устройстве, будет доступно для установки, даже если его разработчик не зарегистрирован. Это исключение существует, поскольку на управляемых устройствах за безопасность отвечает третья сторона — ИТ-администратор. Организации, распространяющие приложения на офлайн-устройства, должны будут самостоятельно определить, как обрабатывать запросы на проверку, например, периодически подключаясь к сети.

Что касается конфиденциальности, Google признала, что существуют законные основания для анонимности разработчиков, например, при распространении приложений для диссидентов. Именно поэтому компания не будет публиковать информацию о разработчиках, хотя она не взяла на себя обязательство скрывать эту информацию от правительств. Тем не менее, Google настаивает на необходимости запланированных изменений, утверждая, что анонимность разработчиков создаёт для пользователей риски, которые компания больше не может игнорировать.

В бета-версии «Google Сообщений» стала доступна анонсированная в прошлом году функция проверки ключей шифрования по QR-коду. Она поможет убедиться, по словам компании, что «вы общаетесь с тем человеком, с которым собирались общаться». Проверка ключей сквозного шифрования гарантирует, что только вы и ваш собеседник сможете читать RCS-сообщения, которые вы отправляете друг другу.

Пять причин полюбить HONOR Pad V9

Почему ИИ никак не сесть на безматричную диету

Пять причин полюбить HONOR Magic7 Pro

Фитнес-браслет HUAWEI Band 10: настоящий металл

Пять причин полюбить HONOR X8c

Hollow Knight: Silksong — песнь страданий и радостей. Рецензия

Обзор умных часов HUAWEI WATCH 5: часы юбилейные

HUAWEI FreeArc: вероятно, самые удобные TWS-наушники

Источник изображений: Google

Карточка сквозного шифрования существует в «Google Сообщениях» уже некоторое время, но раньше нажатие «Проверить шифрование» открывало страницу с 80-значным кодом, что отнюдь не добавляло удобства для пользователей. Теперь, если открыть страницу «Подробности», нажав на имя получателя в панели приложения, пользователь сможет открыть страницу «Безопасность и конфиденциальность» для «Проверки ключей для этого контакта».

«Как проверить ключи: отсканируйте QR-код на устройстве получателя. Затем попросите его отсканировать QR-код на вашем устройстве. Статус проверки: вы можете увидеть статус проверенных вами ключей, перейдя в раздел “Подключённые приложения” в приложении “Контакты”», — говорится в поясняющем сообщении Google.

Нажатие на «Ваш QR-код» открывает раздел «Проверка для Google Сообщений». На данный момент вышеупомянутая интеграция с приложением «Google Контакты» ещё не реализована. Однако в таблице есть отдельная опция «Сканировать QR-код контакта», которая открывает приложение «Проверка системного ключа Android», установленное на устройстве. Старый 80-значный вариант остаётся доступным, если нажать «Сравнить коды проверки» в таблице.

Пока проверка ключа шифрования по QR-коду доступна лишь в бета-версии «Google Сообщений». В дальнейшем, после выхода из стадии бета-тестирования эта единая система проверки открытого ключа также будет доступна для сторонних приложений, для всех версий ОС Android, начиная с девятой.

Термопасты серии MX от компании Arctic уже давно зарекомендовали себя и стали основным выбором многих сборщиков ПК, однако их популярность привела к появлению множества подделок на рынке. Чтобы бороться с фальсификатом, Arctic внедрила систему «Проверка подлинности MX» на упаковки термопаст MX-4 и MX-6.

HUAWEI FreeArc: вероятно, самые удобные TWS-наушники

Фитнес-браслет HUAWEI Band 10: настоящий металл

Hollow Knight: Silksong — песнь страданий и радостей. Рецензия

Пять причин полюбить HONOR X8c

Пять причин полюбить HONOR Pad V9

Почему ИИ никак не сесть на безматричную диету

Пять причин полюбить HONOR Magic7 Pro

Обзор умных часов HUAWEI WATCH 5: часы юбилейные

Источник изображений: Arctic

Пользователям необходимо стереть защитный слой на упаковке термопасты и отсканировать скрытый под ним QR-код. Код приведёт на официальный сайт компании, где будет подтверждена подлинность товара и удостоверено, что покупатель приобрёл оригинальную термопасту Arctic MX.

Arctic заявляет, что проверка занимает всего несколько секунд, но обеспечивает пользователю дополнительную уверенность в подлинности продукта. В случае, если покупатель ввёл код с поддельной упаковки, сайт сообщит об этом, и у покупателя появятся основания для возврата товара.

Новая мера должна помочь сдержать поток некачественных подделок, заполнивших рынок. Тем не менее, это может быть лишь вопросом времени, прежде чем фальсификаторы попытаются воспроизвести защитные элементы. Однако такая подделка потребует дополнительных усилий и затрат, что может отпугнуть часть недобросовестных производителей.

Илон Маск (Elon Musk) не сообщает в Министерство обороны США о своих поездках и не предоставляет ведомству иных сведений, как того требуют правила для имеющегося у него уровня доступа к совершенно секретной информации, узнала New York Times.

Пять причин полюбить HONOR X8c

Фитнес-браслет HUAWEI Band 10: настоящий металл

Hollow Knight: Silksong — песнь страданий и радостей. Рецензия

Пять причин полюбить HONOR Magic7 Pro

HUAWEI FreeArc: вероятно, самые удобные TWS-наушники

Почему ИИ никак не сесть на безматричную диету

Обзор умных часов HUAWEI WATCH 5: часы юбилейные

Пять причин полюбить HONOR Pad V9

Источник изображения: x.com/elonmusk

Из-за того, что Маск не предоставляет отчётность в надлежащей форме, в отношении бизнесмена начали проверки сразу три ведомства в вооружённых силах США: ВВС, Управление замминистра обороны по разведке и безопасности и Управление генерального инспектора Министерства обороны. При этом ни одно из ведомств не выдвинуло против Маска обвинений в раскрытии секретных материалов.

До 2018 года у Маска был допуск к секретной информации среднего уровня, после чего SpaceX подала заявку на допуск гендиректора к совершенно секретной информации. Компания выполняет заказы для правительства США, включая гражданские и военные ведомства, в том числе запускает секретные спутники для Национального управления военно-космической разведки США, а также обеспечивает зашифрованную связь и наблюдение с помощью спутников Starshield.

При проверке кандидатов на допуск власти собирают их финансовую информацию и изучают личные отношения. На принятие решения в отношении Маска ушли два года — в два раза больше, чем средний показатель. Пока решался вопрос, Маск нарушал правила допуска к секретной информации: совершил порочащие действия при записи подкаста и расширил деловые интересы в Китае. Власти выдали бизнесмену допуск к совершенно секретной информации, но с 2021 года он перестал отчитываться о подробностях своей жизни: о поездках, встречах с людьми и употреблении запрещённых веществ. Правительство обеспокоено, почему SpaceX не обеспечила соблюдение Маском правил отчётности.

Его обращение с секретной информацией уже вызывало вопросы на дипломатических встречах США с союзниками, включая Израиль. Влияние Маска в сфере национальной безопасности выросло после того, как он оказал поддержку ныне избранному президенту Дональду Трампу (Donald Trump). После инаугурации политик получит право предоставлять допуск к секретной информации любому лицу.

Администрация платформы микроблогов Threads привлечёт сторонних специалистов к проверке фактов в отношении публикуемого в соцсети контента — они помогут в выявлении дезинформации, не соответствующих действительности теорий заговоров и ложных новостей.

Пять причин полюбить HONOR Magic7 Pro

Hollow Knight: Silksong — песнь страданий и радостей. Рецензия

Почему ИИ никак не сесть на безматричную диету

Фитнес-браслет HUAWEI Band 10: настоящий металл

Пять причин полюбить HONOR Pad V9

Пять причин полюбить HONOR X8c

Обзор умных часов HUAWEI WATCH 5: часы юбилейные

HUAWEI FreeArc: вероятно, самые удобные TWS-наушники

Источник изображения: Julio Lopez / unsplash.com

«Недавно мы предоставили нашим занятым проверкой фактов сторонним партнёрам возможность просматривать и оценивать ложный контент в Threads. Ранее мы сопоставляли почти идентичный ложный контент в Threads с фактами, проверенными в Facebook✴ и Instagram✴. Теперь специалисты по проверке фактов смогут самостоятельно оценивать контент в Threads», — сообщил глава Instagram✴ и Threads Адам Моссери (Adam Mosseri).

Это значит, что публикации в Threads и ранее проходили проверку фактов, но такая идентификация осуществлялась, только если аналогичная дезинформация ранее обнаруживалась и получала соответствующую пометку в Instagram✴ или Facebook✴. Это было в некоторой степени полезно, но оставляло Threads беззащитной перед дезинформацией, которая впервые публиковалась здесь. Теперь решением этого вопроса займутся сторонние специалисты, привлечённые владеющей платформой компанией Meta✴.

Один из независимых специалистов по проверке фактов уже пожаловался на отсутствие хронологической выдачи в поиске в настольной версии Threads. Платформа была запущена в июле прошлого года, и с тех пор она прирастала функциями, постепенно превращаясь из текстового дополнения Instagram✴ в самостоятельную соцсеть. Meta✴ выпустила веб-версию Threads, добавила раздел популярных тем, опцию с ограничением цитирования публикаций другими пользователями и несколько улучшила поиск, который в целом до сих пор выглядит примитивно. А для обмена личными сообщениями пользователи платформы перенаправляются в Instagram✴.

Проверка фактов в соцсети не означает, что фейков больше не будет — не соответствующие действительности публикации могут не удаляться, а получать изобличающие их пометки. Материалы с такими пометками пессимизируются поисковым и рекомендательным алгоритмами.

Американские регулирующие органы могут выписать Adobe значительный штраф за нарушение принятого в этом году закона. Федеральная торговая комиссия США (FTC) приступила к проверке практики компании, предусматривающей взимание платы за отмену подписки на её сервисы.

HUAWEI FreeArc: вероятно, самые удобные TWS-наушники

Hollow Knight: Silksong — песнь страданий и радостей. Рецензия

Фитнес-браслет HUAWEI Band 10: настоящий металл

Почему ИИ никак не сесть на безматричную диету

Обзор умных часов HUAWEI WATCH 5: часы юбилейные

Пять причин полюбить HONOR X8c

Пять причин полюбить HONOR Magic7 Pro

Пять причин полюбить HONOR Pad V9

Источник изображения: blog.adobe.com

Деятельность Adobe проверяется на соответствие «Закону о восстановлении доверия онлайн-покупателей» (ROSCA) — принятый в 2023 году документ требует, чтобы компании при регистрации потребителя и оформлении им услуг по подписке чётко определяли все её условия, включая сбор за отмену этой подписки. Ранее FTC подала жалобу, утверждая, что закон ROSCA нарушает и Amazon.

В последнем отчёте по форме 8-K Комиссии по ценным бумагам и биржам (SEC) корпорация Adobe подтвердила, что FTC начала проверку. «С июня 2022 года мы сотрудничаем с представителями Федеральной торговой комиссии в ответ на запрос о гражданском расследовании с целью получения информации о нашей практике раскрытия информации и отмены подписки в соответствии с „Законом о восстановлении доверия онлайн-покупателей”. В ноябре 2023 года сотрудники Федеральной торговой комиссии заявили, что уполномочены вступить в переговоры о согласии, чтобы определить, может ли быть достигнуто урегулирование относительно проверки по данному вопросу. Считаем, что наша практика соответствует закону, и в настоящее время проводим консультации с сотрудниками Федеральной торговой комиссии. Защита или вынесение решения по этому делу может повлечь за собой значительные денежные затраты или штрафы и может оказать существенное влияние на наши финансовые результаты и деятельность», — официально признала Adobe. По итогам 2023 финансового года компания показала $19,41 млрд выручки и $6,65 млрд операционной прибыли.