Android закрыл ворота: новое правило Google может ограничить доступ к приложениям

Google объявил, что с 2026 года все разработчики приложений должны будут подтвердить свою личность, если хотят, чтобы их приложения оставались доступными на Android. Это правило применяется ко всем приложениям, но разработчики, чьи приложения уже есть в Google Play, вероятно, не заметят особых изменений.

Google заявляет, что если приложение уже есть в Play Store, разработчик, скорее всего, уже предоставил всю информацию, необходимую для проверки. Магазин просто использует эти данные для автоматической регистрации приложения.

Изменения в первую очередь затронут разработчиков, которые распространяют свои приложения за пределами Google Play, а также пользователей, которые полагаются на такие приложения. Сюда входят приложения, распространяемые через сторонние магазины, такие как APKPure, F-Droid и Amazon Appstore, а также выложенные на сайтах разработчиков в виде файлов .APK.

Google пояснил, что введением новой процедуры проверки он стремится «лучше защитить пользователей от злоумышленников, распространяющих вредоносное ПО и мошенничество». Согласно данным компании, приложения, доступные в Google Play, содержат в 50 раз меньше вредоносного ПО, чем те, которые распространяются за пределами магазина.

Как будет проходить проверка и кого она затронет?

Google разрабатывает новую Консоль Андроид-разработчика (Android Developer Console) специально для тех разработчиков, которые распространяют свои приложения за пределами Google Play. Компания опубликовала документацию с описанием первых шагов нового процесса — с ней можно ознакомиться заранее.

Если разработчик распространяет приложения как в Google Play, так и за его пределами, ему не нужно будет создавать отдельный аккаунт в Android Developer Console. К его существующему аккаунту в Play Console будет добавлена новая опция, где он сможет регистрировать приложения, которые он распространяет за пределами Google Play. Однако разработчики, которые распространяют приложения исключительно за пределами Google Play, должны будут создать новый аккаунт.

При регистрации разработчики — как физические лица, так и организации — должны будут предоставить удостоверение личности, выданное государством (например, паспорт или водительские права), а также адрес электронной почты и номер телефона. Эти данные необходимо будет подтвердить с помощью одноразового кода, отправленного Google. Затем система поможет разработчику связать имя пакета приложения с подтверждённой личностью, отправив публичный фингерпринт SHA-256 (хеш-отпечаток) своего ключа подписи и загрузив подписанный APK-файл со специальным файлом проверки. Для большинства разработчиков, особенно тех, кто использует один ключ и уникальное имя пакета, процесс должен быть быстрым и простым и занять около 10 минут.

Примечательно, что фактическое содержание приложения не проверяется. Google сравнивает этот этап с проверкой документов в аэропорту — подтверждением личности, а не сканированием багажа с помощью рентгеновского аппарата.

Google также сообщил, что разработчики-любители и студенты будут освобождены от полных требований проверки, которые в противном случае могли бы стать для них проблемой. Вместо этого они смогут создать специальный аккаунт с меньшим количеством проверок и без необходимости платить обычную плату в размере 25 долларов. Все остальные разработчики по-прежнему должны будут пройти полный процесс проверки и заплатить 25 долларов, чтобы создать аккаунт в новой консоли.

Неопределённые преимущества для пользователей, определённая головная боль для разработчиков

Новая политика сразу же вызвала негативную реакцию со стороны сообщества разработчиков. Одно из опасений заключалось в том, что новые правила вряд ли остановят злоумышленников, которые найдут способы обойти систему. Злоумышленники уже не раз демонстрировали способность обходить существующие меры безопасности в экосистеме Google.

Сотни вредоносных приложений продолжают проскальзывать в Google Play, несмотря на то, что разработчики там уже подвергаются проверке личности и безопасности. Недавнее расследование Bitdefender выявило крупномасштабную кампанию по мошенничеству с рекламой и фишингу. В ней участвовало по меньшей мере 331 вредоносное приложение в Google Play, которые в совокупности набрали более 60 миллионов загрузок. Эти приложения с лёгкостью обходили ограничения безопасности Android 13, использовали передовые технологии для сокрытия своего присутствия и даже применяли фишинговые атаки для кражи учётных данных пользователей и их банковских карт — и всё это под видом легальных утилит.

Для легальных разработчиков, которых гораздо больше, чем злоумышленников, новая система, скорее всего, только создаст дополнительные проблемы. Пока неясно, насколько обременительным будет этот процесс, но ожидается, что его влияние будет заметным. Наиболее ощутимую разницу, вероятно, почувствуют мелкие разработчики и те, кто полагается на стороннюю загрузку и магазины приложений, отличные от Google Play.

Ложное чувство безопасности и ограниченный выбор

Для пользователей эти изменения могут привести к некоторым непреднамеренным и потенциально далекоидущим негативным последствиям. Прежде всего, выбор приложений, особенно за пределами Google Play, может сократиться. Честные независимые разработчики, которые полагаются на стороннюю загрузку и магазины приложений, могут решить вовсе отказаться от распространения своих приложений, вместо того чтобы проходить дополнительные проверки. По иронии судьбы, это может привести к более высокой концентрации вредоносных приложений, поскольку стимул мошенников пройти проверку зачастую сильнее, чем у начинающих разработчиков, которые часто зарабатывают мало или не зарабатывают на своих приложениях вообще.

Также существует риск, что новая политика может создать ложное чувство безопасности. Если пользователи начнут полагать, что любое приложение — даже установленное не из Google Play — безопасно просто потому, что разработано проверенным разработчиком, они могут ослабить бдительность. Это может привести к более неосторожным загрузкам, когда пользователи будут игнорировать элементарные меры предосторожности и устанавливать приложения, не оценивая риски должным образом.

Что будет с AdGuard для Android?

Те, кто использует Блокировщик рекламы AdGuard на Android, знают, что приложение нельзя найти в Google Play. Это потому, что политика Google запрещает полноценные блокировщики рекламы на сетевом уровне. Вы можете скачать AdGuard с нашего официального сайта, а также в нескольких сторонних магазинах приложений.

Со своей стороны, мы по-прежнему стремимся сделать AdGuard доступным для всех. И можем вас заверить, что примем все необходимые меры, чтобы соблюсти новую политику Google и обеспечить доступность приложения в будущем.