Google готує оновлення політики безпеки Android, які змінять процес інсталяції застосунків поза Play Store. З серпня компанія поступово запроваджує обов’язкову ідентифікацію розробників для будь-яких установок, навіть якщо користувач завантажує застосунок самостійно. Водночас для технічно підготовлених користувачів планується виняток.
Компанія створює окремий механізм, що дозволить розробникам і досвідченим користувачам свідомо приймати ризики встановлення неперевіреного ПЗ. Інтерфейс розробляється так, щоб уникнути маніпуляцій чи тиску, коли шахраї змушують ігнорувати стандартні попередження.
Перед інсталяцією користувач побачить чітке попередження про можливі наслідки, а рішення — дозволити встановлення чи ні — залишиться за ним. Google наголошує, що це має зберегти баланс між безпекою та свободою дій тих, хто розуміє технічні ризики.
Наразі компанія збирає відгуки щодо дизайну механізму та обіцяє розповісти більше найближчим часом.
Google підкреслює, що навіть найкращий захист не здатен відвернути всі випадки соціальної інженерії. У Південно-Східній Азії, наприклад, поширені телефонні шахрайства, коли зловмисники видають себе за банківських працівників і умовляють встановити «перевірний застосунок», який насправді перехоплює сповіщення та коди 2FA.
Без верифікації злочинці можуть нескінченно створювати нові шкідливі застосунки, перетворюючи боротьбу з ними на «гру в крота».
Верифікація ж змушує розробників використовувати реальну ідентифікацію, що ускладнює масштабні атаки. Компанія зазначає, що ці вимоги вже довели ефективність у Google Play, тому тепер поширюються на всю екосистему Android.
«Ми прагнемо, щоб за кожним застосунком стояла реальна, відповідальна людина», — кажуть у Google.
Окремо компанія працює над спеціальним типом акаунтів для студентів, ентузіастів і невеликих проєктів, який дозволить поширювати застосунки на обмежену кількість пристроїв без повної перевірки.
👉Продовжити обговорення можна в нашій спільноті - https://t.me/technozonuachat
Джерело: 9to5google
