| 12 ноября 2025 г. — 4:15 PT
В августе Google объявил, что потребует верификации разработчиков для установки Android-приложений, в том числе через установку из сторонних источников. Это требование остается в силе, но Google работает над решением для «опытных пользователей».
Хотя планы по верификации разработчиков реализуются (с ранним доступом, начинающимся сегодня), Google сообщил, что «разрабатывает новый расширенный процесс, который позволит опытным пользователям принимать риски установки непроверенного программного обеспечения». Это предназначено для разработчиков и продвинутых пользователей.
Мы разрабатываем этот процесс специально для противодействия принуждению, гарантируя, что пользователи не будут обмануты при обходе этих проверок безопасности под давлением мошенника. Он также будет включать четкие предупреждения, чтобы пользователи полностью понимали связанные с этим риски, но в конечном итоге выбор будет за ними.
Google «собирает предварительные отзывы о дизайне этой функции сейчас и поделится более подробной информацией в ближайшие месяцы».
Сегодня компания предоставила более подробную информацию о том, почему она считает верификацию разработчиков важной для защиты пользователей Android. Основные моменты:
- «Технические средства защиты критически важны, но они не могут решить все сценарии, когда пользователь манипулируется. Мошенники используют тактику социальной инженерии под высоким давлением, чтобы заставить пользователей обойти предупреждения, предназначенные для их защиты».
- «Например, распространенная атака, которую мы отслеживаем в Юго-Восточной Азии, наглядно демонстрирует эту угрозу. Мошенник звонит жертве, утверждая, что ее банковский счет скомпрометирован, и использует страх и срочность, чтобы направить ее установить «приложение для верификации» для защиты своих средств, часто подталкивая ее игнорировать стандартные предупреждения безопасности. После установки это приложение — фактически вредоносное ПО — перехватывает уведомления жертвы. Когда пользователь входит в свое реальное банковское приложение, вредоносное ПО захватывает коды двухфакторной аутентификации, давая мошеннику все необходимое для опустошения счета».
- «Хотя у нас есть продвинутые средства защиты и меры для обнаружения и удаления вредоносных приложений, без верификации злоумышленники могут мгновенно запускать новые вредоносные приложения. Это становится бесконечной игрой «кто кого».
Google заявляет, что верификация заставляет злоумышленников использовать «реальную личность для распространения вредоносного ПО, что делает атаки значительно более сложными и дорогостоящими в масштабе». Компания отмечает, что требования к верификации разработчиков в Google Play были «эффективными»
…теперь мы применяем эти уроки к более широкой экосистеме Android, чтобы гарантировать, что за устанавливаемым вами программным обеспечением будет стоять реальная, подотчетная личность.
Google также подтвердил сегодня, что продолжает работу над «специальным типом учетной записи для студентов и любителей», который позволит распространять приложения на «ограниченное количество устройств без прохождения полной верификации».