SG.hu·
A Google jövő évtől blokkolja a nem ellenőrzött Android-alkalmazások telepítését
Amikor közel két évtizeddel ezelőtt megkezdődött a érintőképernyős okostelefonok korszaka az Androidot nyitott jellege különböztette meg az iPhone-tól. A Google fokozatosan feladta ennek a nyitottságnak egy részét a biztonság érdekében, és következő biztonsági kezdeményezése a rossz alkalmazások blokkolása érdekében az eddigi legnagyobb szigorítást jelentheti. A Google bejelentette, hogy megkezdi az összes Android-alkalmazás fejlesztője személyazonosságának ellenőrzését, azaz nem csak azokét, akik a Play Store-ban publikálnak. A Google ellenőrizni akarja a fejlesztők személyazonosságát függetlenül attól, hogy hol kínálják tartalmaikat, és az ellenőrzés nélkül maradt alkalmazások a következő években a legtöbb Android-eszközön nem fognak működni.
A Google korábban nagyon kevés kurátori munkát végzett a Play Store-ban (vagy az Android Marketben, ha elég messzire visszamegyünk az időben), de már régóta törekszik arra, hogy javítsa a platform hírnevét, amely kevésbé biztonságosnak számít, mint az Apple App Store. Évekkel ezelőtt még akár exploitokat is közzé lehetett tenni a hivatalos áruházban, amelyek root hozzáférést szereztek a telefonokhoz, de ma már többféle ellenőrzési és felismerési mechanizmus létezik, amelyek csökkentik a rosszindulatú szoftverek és a tiltott tartalmak elterjedtségét. Bár a Play Store még mindig nem tökéletes, a Google állítása szerint a boltján kívülről letöltött alkalmazások 50-szer nagyobb valószínűséggel tartalmaznak rosszindulatú szoftvereket.
Valószínűleg ez adta az ösztönzést a Google új fejlesztői ellenőrzési rendszerének bevezetésére. A vállalat ezt úgy írja le, mint egy "azonosítás-ellenőrzést a repülőtéren”. Mióta a cég 2023-ban megkövetelte minden Google Play alkalmazásfejlesztőtől, hogy igazolja személyazonosságát, a rosszindulatú szoftverek és a csalások száma meredeken visszaesett. A Google Play rosszindulatú szereplői az anonimitást használták ki rosszindulatú alkalmazások terjesztésére, ezért logikus, hogy a Google Playen kívüli alkalmazásfejlesztők ellenőrzése is javíthatja a biztonságot.
Ahhoz azonban, hogy ez az alkalmazásáruházon kívül is megvalósuljon, a Google-nak az Apple stratégiáját kell követnie, és olyan módon kell megmutatnia erejét, amelyet sok Android-felhasználó és fejlesztő tolakodónak találhat. A Google egy egyszerűsített Android Developer Console létrehozását tervezi, amelyet a fejlesztők akkor kell használjanak, ha a Play Store-on kívül kívánnak alkalmazásokat terjeszteni. Azonosításuk ellenőrzése után a fejlesztőknek regisztrálniuk kell alkalmazásaik csomagnevét és aláírási kulcsait. A Google azonban nem ellenőrzi az alkalmazások tartalmát vagy funkcionalitását.
A Google szerint csak az azonosított alkalmazások telepíthetők a tanúsított Android-eszközökre, ami gyakorlatilag minden Android-alapú eszközt jelent - ha Google-szolgáltatások vannak rajta, akkor az egy tanúsított eszköz. Ha nem Google-féle Android-verzió van a telefonodon, akkor ez nem érint, ez azonban a kínai Android-ökoszisztéma elenyésző kis részét jelenti csupán. A Google azt tervezi, hogy idén októberben kezdi meg a rendszer tesztelését korai hozzáféréssel. 2026 márciusában minden fejlesztő hozzáférhet az új konzolhoz, hogy hitelesítést kapjon. 2026 szeptemberében a Google Brazíliában, Indonéziában, Szingapúrban és Thaiföldön fogja elindítja ezt a funkciót. A következő lépés még homályos, de a Google 2027-re tervezi a hitelesítési követelmények globális kiterjesztését.
Ez a terv az Android számára fontos fordulópontot jelent. Az Epic Games által indított, folyamatban lévő Google Play trösztellenes per az elkövetkező hónapokban végre változásokat kényszeríthet ki a szoftveráruházban. A Google néhány héttel ezelőtt elvesztette a fellebbezését az ítélet ellen, és bár az ügyet az Egyesült Államok Legfelsőbb Bíróságához kívánja feljebb vinni, a további jogi manőverekre való tekintet nélkül a vállalatnak meg kell kezdenie alkalmazás-terjesztési rendszerének átalakítását.
A bíróság többek között elrendelte, hogy a Google-nak közzé kell tennie a harmadik féltől származó alkalmazásáruházakat, és engedélyeznie kell a Play Store tartalmának más áruházakban való újratárolását. Ha az emberek többféle módon juthatnak hozzá az alkalmazásokhoz, az növelheti a választékot - ez volt az Epic és más fejlesztők célja. A harmadik féltől származó források azonban nem rendelkeznek a Play Store mélyreható rendszerintegrációjával, ami azt jelenti, hogy a felhasználók a Google biztonsági rétegei nélkül fogják letölteni ezeket az alkalmazásokat.
Nehéz megmondani, hogy ez mennyire jelent valódi biztonsági problémát. Egyrészt érthető, hogy a Google aggódik, mert az Android-eszközöket fenyegető legtöbb jelentős rosszindulatú szoftver harmadik fél által üzemeltetett alkalmazás-tárolókból terjed. Azonban szinte az összes Android-eszközön érvényesíteni egy telepítési fehérlistát túlzott intézkedés. Ez azt jelenti, hogy az Android-alkalmazásokat fejlesztőknek meg kell felelniük a Google követelményeinek, mielőtt bárki telepítheti az alkalmazásaikat, ami segíthet a Google-nek megtartani az irányítást az alkalmazáspiac megnyílásával. Jelenleg a követelmények minimálisak, de nincs garancia arra, hogy ez így is marad.
A jelenleg rendelkezésre álló dokumentáció nem magyarázza el, mi történik, ha nem ellenőrzött alkalmazást próbál az ember telepíteni, és azt sem, hogy a telefonok hogyan vizsgálják meg az ellenőrzési állapotot. Feltehetően a Google a bevezetés időpontjának közeledtével közzé fogja tenni ezt a fehérlistát a Play Services-ben.
A Google korábban nagyon kevés kurátori munkát végzett a Play Store-ban (vagy az Android Marketben, ha elég messzire visszamegyünk az időben), de már régóta törekszik arra, hogy javítsa a platform hírnevét, amely kevésbé biztonságosnak számít, mint az Apple App Store. Évekkel ezelőtt még akár exploitokat is közzé lehetett tenni a hivatalos áruházban, amelyek root hozzáférést szereztek a telefonokhoz, de ma már többféle ellenőrzési és felismerési mechanizmus létezik, amelyek csökkentik a rosszindulatú szoftverek és a tiltott tartalmak elterjedtségét. Bár a Play Store még mindig nem tökéletes, a Google állítása szerint a boltján kívülről letöltött alkalmazások 50-szer nagyobb valószínűséggel tartalmaznak rosszindulatú szoftvereket.
Valószínűleg ez adta az ösztönzést a Google új fejlesztői ellenőrzési rendszerének bevezetésére. A vállalat ezt úgy írja le, mint egy "azonosítás-ellenőrzést a repülőtéren”. Mióta a cég 2023-ban megkövetelte minden Google Play alkalmazásfejlesztőtől, hogy igazolja személyazonosságát, a rosszindulatú szoftverek és a csalások száma meredeken visszaesett. A Google Play rosszindulatú szereplői az anonimitást használták ki rosszindulatú alkalmazások terjesztésére, ezért logikus, hogy a Google Playen kívüli alkalmazásfejlesztők ellenőrzése is javíthatja a biztonságot.
Ahhoz azonban, hogy ez az alkalmazásáruházon kívül is megvalósuljon, a Google-nak az Apple stratégiáját kell követnie, és olyan módon kell megmutatnia erejét, amelyet sok Android-felhasználó és fejlesztő tolakodónak találhat. A Google egy egyszerűsített Android Developer Console létrehozását tervezi, amelyet a fejlesztők akkor kell használjanak, ha a Play Store-on kívül kívánnak alkalmazásokat terjeszteni. Azonosításuk ellenőrzése után a fejlesztőknek regisztrálniuk kell alkalmazásaik csomagnevét és aláírási kulcsait. A Google azonban nem ellenőrzi az alkalmazások tartalmát vagy funkcionalitását.
A Google szerint csak az azonosított alkalmazások telepíthetők a tanúsított Android-eszközökre, ami gyakorlatilag minden Android-alapú eszközt jelent - ha Google-szolgáltatások vannak rajta, akkor az egy tanúsított eszköz. Ha nem Google-féle Android-verzió van a telefonodon, akkor ez nem érint, ez azonban a kínai Android-ökoszisztéma elenyésző kis részét jelenti csupán. A Google azt tervezi, hogy idén októberben kezdi meg a rendszer tesztelését korai hozzáféréssel. 2026 márciusában minden fejlesztő hozzáférhet az új konzolhoz, hogy hitelesítést kapjon. 2026 szeptemberében a Google Brazíliában, Indonéziában, Szingapúrban és Thaiföldön fogja elindítja ezt a funkciót. A következő lépés még homályos, de a Google 2027-re tervezi a hitelesítési követelmények globális kiterjesztését.
Ez a terv az Android számára fontos fordulópontot jelent. Az Epic Games által indított, folyamatban lévő Google Play trösztellenes per az elkövetkező hónapokban végre változásokat kényszeríthet ki a szoftveráruházban. A Google néhány héttel ezelőtt elvesztette a fellebbezését az ítélet ellen, és bár az ügyet az Egyesült Államok Legfelsőbb Bíróságához kívánja feljebb vinni, a további jogi manőverekre való tekintet nélkül a vállalatnak meg kell kezdenie alkalmazás-terjesztési rendszerének átalakítását.
A bíróság többek között elrendelte, hogy a Google-nak közzé kell tennie a harmadik féltől származó alkalmazásáruházakat, és engedélyeznie kell a Play Store tartalmának más áruházakban való újratárolását. Ha az emberek többféle módon juthatnak hozzá az alkalmazásokhoz, az növelheti a választékot - ez volt az Epic és más fejlesztők célja. A harmadik féltől származó források azonban nem rendelkeznek a Play Store mélyreható rendszerintegrációjával, ami azt jelenti, hogy a felhasználók a Google biztonsági rétegei nélkül fogják letölteni ezeket az alkalmazásokat.
Nehéz megmondani, hogy ez mennyire jelent valódi biztonsági problémát. Egyrészt érthető, hogy a Google aggódik, mert az Android-eszközöket fenyegető legtöbb jelentős rosszindulatú szoftver harmadik fél által üzemeltetett alkalmazás-tárolókból terjed. Azonban szinte az összes Android-eszközön érvényesíteni egy telepítési fehérlistát túlzott intézkedés. Ez azt jelenti, hogy az Android-alkalmazásokat fejlesztőknek meg kell felelniük a Google követelményeinek, mielőtt bárki telepítheti az alkalmazásaikat, ami segíthet a Google-nek megtartani az irányítást az alkalmazáspiac megnyílásával. Jelenleg a követelmények minimálisak, de nincs garancia arra, hogy ez így is marad.
A jelenleg rendelkezésre álló dokumentáció nem magyarázza el, mi történik, ha nem ellenőrzött alkalmazást próbál az ember telepíteni, és azt sem, hogy a telefonok hogyan vizsgálják meg az ellenőrzési állapotot. Feltehetően a Google a bevezetés időpontjának közeledtével közzé fogja tenni ezt a fehérlistát a Play Services-ben.