En agosto, Google hizo un anuncio de que sorprendió a los entusiastas de Android y los defensores de la privacidad: a partir del próximo año, Android bloqueará la instalación de aplicaciones de desarrolladores no verificados. Esto se aplica no solo a las aplicaciones en Play Store, sino igualmente a las aplicaciones distribuidas fuera de ella, lo que provocó una preocupación de que Google quiere matar la respuesta pegado. A posteriori de unas semanas de silencio, Google finalmente abordó estas preocupaciones, insistiendo en que la respuesta pegado está aquí para quedarse. La compañía igualmente compartió nuevos detalles sobre cómo se aplicarán los requisitos de comprobación de su desarrollador, incluido eso, en algunos casos, Android requerirá una conexión de red activa a las aplicaciones Sideload.

El mes pasado, vimos evidencia en el SDK de Android, lo que sugiere que la comprobación del desarrollador podría estropearse cuando una conexión de red no está habitable. No pudimos confirmar este comportamiento en ese momento, ya que los requisitos de comprobación del desarrollador de Android aún no habían entrado en vigencia. Esta semana, sin confiscación, Google confirmó que este será el caso. Próximo con su publicación de blog que declara que “Sideloading es fundamental para Android”, Google igualmente publicó un video que explica el razonamiento detrás de los requisitos de comprobación y cómo se implementará el próximo año. Estudié el video para educarse todo lo que pude sobre estos próximos cambios para que no tenga que hacerlo.

Cómo Android verificará las aplicaciones

Cuando intenta instalar una aplicación de Android, el sistema operante ya realiza una serie de verificaciones antaño de permitir que la instalación pase. Estas verificaciones aseguran que una aplicación con la misma ID de aplicación (es afirmar, el nombre del paquete) ya no esté instalada, que no está creada para una interpretación extremadamente antigua del sistema operante y, lo más importante, que Google Play Protex no lo ha afectado como malware.

Google ahora está agregando un paso adicional para este proceso. La compañía ha incorporado un arpón en el flujo de instalación, que requiere que cualquier aplicación esté instalada por primera vez para suceder por la comprobación. En el momento de la instalación, Android se comunicará con una “entidad confiable” en el dispositivo llamado verificador de desarrollador de Android. Este nuevo servicio del sistema precargado determina si el desarrollador de la aplicación ha sido verificado, si se encontraron problemas durante la comprobación, y finalmente, qué política de instalación debe hacer cumplir.

Para determinar si el desarrollador de una aplicación ha sido verificado, el servicio de verificador de desarrolladores de Android debe repasar que el paquete y la esencia utilizada para firmarlo se hayan enviado a Google. Es inútil ayudar una colchoneta de datos integral en el dispositivo de dicho paquete y combinaciones esencia, especialmente porque muchas aplicaciones nuevas de Android aparecen cada semana. Es por eso que Google dice que su teléfono necesitará una conexión de red para repasar las aplicaciones, aunque solo en el “peor de los casos”. La compañía planea que el servicio de verificador de desarrolladores mantenga un personalidad de las aplicaciones más populares que ya ha verificado para que puedan instalarse sin una conexión de red.

Por otra parte, Google dice que está funcionando en una posibilidad para que las tiendas de aplicaciones omitan las llamadas de red adicionales. Las tiendas de aplicaciones pueden suceder lo que se lumbre un “token previo a la autocar”, una “mancha criptográficamente verificable” asociado con el paquete que desean instalar. Esto permite repasar el desarrollador de una aplicación sin ninguna citación de red adicional al backend de Google.

El segundo tirada trimestral de Android 16, es afirmar. Android 16 QPR2, será la primera interpretación de Android para consentir de forma nativa estos cambios. Sin confiscación, las políticas de comprobación no se aplicarán cuando la modernización se desarrolle en diciembre, ya que Google todavía está trabajando en su implementación y sumario de métricas. Los cambios serán retroceder a versiones más antiguas de Android a través de Google Play Protect, aunque Google dice que puede acaecer algunas ligeras diferencias porque este método aprovecha una aplicación existente en ocasión del nuevo servicio de verificador nativo integrado en el sistema operante.

Cómo los requisitos de comprobación de Android afectarán a los estudiantes y aficionados

Cuando Google anunció por primera vez sus nuevos requisitos de comprobación del desarrollador, mencionó que crearía un “tipo separado de cuenta de la consola de desarrollador de Android” para los desarrolladores de aficionados y estudiantes, uno que tendría “menos requisitos de comprobación” y una exención para la tarifa de registro de $ 25 USD. A primera pinta, esto parece que resolvería las deyección de los desarrolladores independientes que distribuyen sus aplicaciones de forma gratuita en lugares como GitHub o F-Droid, pero hay una gran trampa.

Los desarrolladores que se registren con Google como estudiante o simpatizante enfrentarán severas restricciones de distribución de aplicaciones, a enterarse, un linde en la cantidad de dispositivos que pueden instalar sus aplicaciones. Para hacer cumplir esto, cualquier usufructuario que desee instalar software de estos desarrolladores primero debe recuperar un identificador único de su dispositivo. Luego, el desarrollador debe ingresar este identificador en la consola de desarrollador de Android para autorizar ese dispositivo específico para la instalación.

Este apretón de manos bidireccional entre usuarios y desarrolladores fue diseñado intencionalmente para confinar la distribución. Google dice que las cuentas de estudiantes/aficionados son solo para desarrolladores que desean compartir un APK con un conjunto finito de personas conocidas, no para aquellos que desean distribuir sus aplicaciones en militar. Los desarrolladores que se registran como estudiante o simpatizante, pero luego deciden que quieren un manifiesto más amplio tendrán la opción de convertir su cuenta, para que no se queden atascados para siempre con una distribución limitada.

Estas restricciones tienen sentido en el contexto de los objetivos generales de Google. Permitir una distribución ilimitada para cuentas de estudiantes/aficionados crearía una pretexto para que los malos actores exploten, por lo que al confinar su inteligencia, Google disuade a los desarrolladores maliciosos de hacer mal uso de este tipo de cuenta.

Cómo Google evitará que los malos actores evadirán la comprobación

Hablando de malos actores, Google dice que diseñó su sistema para atrapar y evitar que pasen la comprobación. Para abrir, los desarrolladores no solo podrán exigir la propiedad sobre cualquier paquete existente. Para demostrar la propiedad, deben demostrar que pueden firmar aplicaciones utilizando la misma esencia que la aplicación que están reclamando. Esto no requiere compartir claves privadas con Google, por lo que la compañía misma no obtendrá ningún derecho de firma. Google dice que su único objetivo es evitar que los malos actores distribuyan aplicaciones dañinas, como el malware. Por lo tanto, no colocará otras restricciones de políticas a los desarrolladores, como confinar los nombres e íconos que pueden usar para sus aplicaciones.

Los desarrolladores atrapados distribuyen malware tendrán restricciones en sus cuentas. Para un período no especificado, todas las aplicaciones propiedad de estos desarrolladores serán bloqueadas desde la instalación en dispositivos de usufructuario. Esto se aplica a cualquier desarrollador cuya cuenta está asociada con la distribución de malware, incluso si ese desarrollador no es el autor de malware. Los autores de malware a menudo intentan comprar cuentas de desarrolladores existentes para aprovecharlas para su distribución; Google dice que, en última instancia, los desarrolladores son responsables de cualquier cosa publicada en su cuenta, lo que justifica cualquier influencia tomada contra ellos.

Otra técnica que los autores de malware usan para evitar la comprobación es el fraude de identidad. Google dice que tiene algunas “salsa secreta”, técnicas que le permiten identificar cuándo los desarrolladores minten sobre su identidad. La compañía tiene equipos que realizan comprobación y están capacitados en la identificación de presentaciones falsas, incluso las generadas utilizando herramientas de IA. Por otra parte, la carencia de obtener un número DUNS disuadirá a muchos actores malos de solicitar una cuenta organizacional.

¿Qué pasa con los casos de uso de privacidad, F-Droid y de uso empresarial?

En su video, Google abordó varias preocupaciones que los usuarios plantearon posteriormente del anuncio. Con respecto a la privacidad, Google reconoció que existen razones legítimas para el anonimato del desarrollador, como al distribuir aplicaciones para disidentes. Es por eso que la compañía declaró que no compartirá la información del desarrollador públicamente (aunque, en particular, no se comprometió a retener esta información de los gobiernos). De todos modos, Google insiste en que el status quo debe cambiar, argumentando que el anonimato del desarrollador plantea riesgos para los usuarios de que ya no puede suceder por parada.

Si perfectamente Google no abordó directamente las preocupaciones de que sus políticas matarán tiendas de aplicaciones independientes como F-Droid, sí mencionó un pequeño banda plateado. La compañía dijo que en raros escenarios, permitirá la duplicación de nombres del paquete. Por ejemplo, si una aplicación en Play Store comparte un nombre de paquete con una aplicación de otra fuente pero tiene menos instalaciones, Google trabajará con los desarrolladores en una posibilidad, lo que puede requerir que el desarrollador de Play Store cambie el nombre del paquete de su aplicación.

Desafortunadamente, es poco probable que esta talla ayude a muchos desarrolladores en F-Droid. El problema se deriva de cómo F-Droid distribuye aplicaciones: su equipo compila el código fuente proporcionado por los desarrolladores y luego firma las aplicaciones mismas. Esta experiencia a menudo crea dos versiones conflictivas de una aplicación, una de F-Droid y otra del desarrollador llamativo, que usan el mismo nombre del paquete.

Para evitar que múltiples desarrolladores reclamen la propiedad del mismo paquete, Google dará preferencia al desarrollador cuya interpretación tiene la mayoría de las instalaciones conocidas. Para muchas aplicaciones en F-Droid, esto significa que su equipo se convertiría efectivamente en el propietario, a pesar de que no son los desarrolladores originales. Los creadores originales se verían obligados a cambiar el nombre de su paquete para distribuir su aplicación en otro ocasión. Este resultado es indeseable y viola la filosofía central de F-Droid, explicando su válido competición a las nuevas políticas de Google.

Por posterior, Google hará algunas excepciones para las empresas. Se instalará una aplicación instalada a través de las herramientas de suministro de Enterprise en un dispositivo administrado incluso si su desarrollador no está registrado. Esta talla existe porque los dispositivos administrados tienen un tercero responsable, un administrador de TI, a cargo de la seguridad. Desafortunadamente, Google dice que las entidades que distribuyen aplicaciones a dispositivos fuera de recorrido necesitarán determinar por sí mismas cómo manejar las solicitudes de comprobación, como conectarse periódicamente a la web.

Todavía quedan muchas preguntas sobre los nuevos requisitos de comprobación del desarrollador de Android, incluido qué métodos lo omitirán. Ya sabemos que la instalación de ADB funciona, pero no está claro si eso se extenderá a soluciones como Shizuku, lo que permite ejecutar comandos ADB utilizando privilegios de shell. Todavía hay mucho tiempo antaño de que Google aplique sus nuevas políticas, por lo que los detalles podrían cambiar y pueden surgir nueva información. Si aprendemos poco nuevo, nos aseguraremos de avisarle, ¡así que síganos para mantenernos al día!