Νέα μέτρα ασφαλείας από τη Google για τα Android apps και τέλος στην ανώνυμη διανομή εφαρμογών

[nchatz]

Η Google ενισχύει τα μέτρα ασφαλείας γύρω από τη διανομή Android εφαρμογών βάζοντας τέλος σε μια κατάσταση απόλυτης ελευθερίας που ίσχυε μέχρι σήμερα αλλά με σοβαρά θέματα ασφαλείας.

Συγκεκριμένα από το επόμενο έτος, η εταιρεία θα ξεκινήσει να επαληθεύει τις ταυτότητες των προγραμματιστών που διανέμουν εφαρμογές σε συσκευές Android, όχι μόνο εκείνων που διανέμουν μέσω του Play Store. Οι αλλαγές θα επηρεάσουν όλες τις πιστοποιημένες συσκευές Android όταν τεθούν σε εφαρμογή, αν και η παγκόσμια διάθεση θα είναι πιο σταδιακή.

Ο τεχνολογικός κολοσσός τονίζει ότι αυτό δεν σημαίνει πως οι προγραμματιστές δεν μπορούν να διανέμουν εκτός του Play Store μέσω άλλων καταστημάτων εφαρμογών ή μέσω sideloading, αφού το Android θα παραμείνει ανοιχτό ως προς αυτό. Ωστόσο, οι προγραμματιστές που εκτιμούσαν την ανωνυμία των εναλλακτικών μεθόδων διανομής δεν θα έχουν πλέον αυτή την επιλογή. Η Google αναφέρει ότι αυτό θα βοηθήσει στη μείωση των κακόβουλων παραγόντων που κρύβουν την ταυτότητά τους για να διανείμουν κακόβουλο λογισμικό, να διαπράξουν οικονομική απάτη ή να κλέψουν προσωπικά δεδομένα χρηστών.

Σύμφωνα με δική της έρευνα, η Google αναφέρει ότι περισσότερο από 50 φορές περισσότερο κακόβουλο λογισμικό προερχόταν από πηγές sideloading από το διαδίκτυο σε σύγκριση με το Google Play, όπου η εταιρεία απαιτεί από το 2023 επαλήθευση προγραμματιστών.

Αρχικά, η Google θα επιτρέψει στους ενδιαφερόμενους προγραμματιστές να εγγραφούν για πρώιμη πρόσβαση ξεκινώντας τον Οκτώβριο του 2025 για να δοκιμάσουν το σύστημα και να παρέχουν σχόλια. Τον Μάρτιο του 2026, η επαλήθευση θα είναι διαθέσιμη για όλους τους προγραμματιστές. Μέχρι τον Σεπτέμβριο του 2026, οποιαδήποτε εφαρμογή εγκατασταθεί σε συσκευή Android στη Βραζιλία, την Ινδονησία, τη Σιγκαπούρη και την Ταϊλάνδη θα πρέπει να πληροί τις νέες απαιτήσεις. Από το 2027, οι απαιτήσεις θα αρχίσουν να εφαρμόζονται παγκοσμίως.

Οι προγραμματιστές θα πρέπει να παρέχουν το νόμιμο όνομά τους, τη διεύθυνση, το email και τον αριθμό τηλεφώνου, γεγονός που θα μπορούσε να ωθήσει τους ανεξάρτητους προγραμματιστές να εγγραφούν ως επιχείρηση για προστασία τη δική τους ιδιωτικότητας. Η Apple εφάρμοσε παρόμοια αλλαγή για το App Store της ΕΕ νωρίτερα φέτος για να συμμορφωθεί με τον Νόμο για τις Ψηφιακές Υπηρεσίες (DSA), έναν κανονισμό που πλέον απαιτεί από τους προγραμματιστές εφαρμογών να παρέχουν τα πραγματικά τους στοιχεία για να υποβάλλουν νέες εφαρμογές ή ενημερώσεις εφαρμογών προς διανομή.

Η Google σημειώνει ότι οι φοιτητές και οι χομπίστες προγραμματιστές θα μπορούν να χρησιμοποιούν ξεχωριστό τύπο λογαριασμού στo Android Developer Console όταν αυτό το σύστημα τεθεί σε εφαρμογή, καθώς οι ανάγκες τους διαφέρουν από εκείνες των εμπορικών προγραμματιστών. Οι αλλαγές θα μπορούσαν να έχουν σημαντικό αντίκτυπο στο οικοσύστημα εφαρμογών Android και στη διανομή εφαρμογών, καθώς η Google εργάζεται για τη μείωση των ζητημάτων ασφαλείας και του κακόβουλου λογισμικού που παραδοσιακά ταλαιπωρούν την πλατφόρμα της.

Διαβάστε ολόκληρο το άρθρο

[kostas808]

Quote

Οι αλλαγές θα επηρεάσουν όλες τις πιστοποιημένες συσκευές Android όταν τεθούν σε εφαρμογή

Όσοι αξιοποιούν τη συσκευή τους σωστά θα είναι οκ.

 

[Returntolobby]

Ε κομπλέ, θέλαμε λιγο παραπάνω censorship.

[Marcos_Aurilius]

Κοινώς, κάντο όπως η Apple που την κυνηγάει η ΕΕ - κλείδωμα του οικοσυστήματος, και έλεγχος όλων των εφαρμογών από την Google, ασχέτως σημείου διανομής.
Slippery slope που λένε τα αμερικανάκια.

Όπως έγραψαν και στο Reddit:

All revanced apps - gone
All Switch emulators - gone
Any modded app - gone

[Sablj]

16 minutes ago, Marcos_Aurilius said:

Όπως έγραψαν και στο Reddit:

All revanced apps - gone
Any modded app - gone

Ουσιαστικά για αυτό γίνεται, γιατί έχει απώλεια εσόδων... 

Μόλις εφαρμοστεί θα πάρει και μια αύξηση στις συνδρομητικές της υπηρεσίες και όλα καλά... 

[Giannis_siag]

51 λεπτά πριν, Marcos_Aurilius είπε

Κοινώς, κάντο όπως η Apple που την κυνηγάει η ΕΕ - κλείδωμα του οικοσυστήματος, και έλεγχος όλων των εφαρμογών από την Google, ασχέτως σημείου διανομής.
Slippery slope που λένε τα αμερικανάκια.

Όπως έγραψαν και στο Reddit:

All revanced apps - gone
All Switch emulators - gone
Any modded app - gone

ή μπορείς να κάνεις sign up ως χόμπιστας dev και να φτιάξεις τα apks μόνος σου 

Επεξ/σία πριν από 20 ώρες από Giannis_siag

[stelioz78]

αν ειναι να χρησιμοποιουμε κλειδωμενο λειτουργικο , τοτε καλυτερα αυτο να ειναι apple . για μενα τελος το αντροιντ αν δεν βρεθει καποια λυση . αν και καπου διαβασα οτι μεσω adb θα μπορεις να εγκαταστησεις οτι θελεις

[kinitos]

Η πλάκα ειναι που λέει οτι θα ειναι ανοιχτό οπως παντα .

Τι εννοείς ανοιχτό αφού κάθε χρόνο γίνεται όλο και πιο κλειστό. Σε λίγο η απλ θα ειναι περισσότερο ανοιχτό απο της γκουγκλ 

[Directx]

Αρνητική εξέλιξη η οποία ήταν αναμενόμενη με βάση τις κινήσεις της εταιρίας τα τελευταία χρόνια απέναντι στο side-loading. Από εκεί και πέρα μένει να φανεί τι θα γίνει με τους χομπίστες και τους μαθητές καθώς η διαδικασία που θα ακολουθεί για αυτή την κατηγορία προγραμματιστών δεν έχει ακόμα διευκρινιστεί.

Σε κάθε περίπτωση ένα ακόμα πλεονέκτημα του Android πάει περίπατο.

Spoiler

ΥΓ.
Θυμάμαι την εποχή που μεσουρανούσε η Nokia με το Symbian OS, αν ήθελες να διανέμεις μια εφαρμογή, ένα SIS (το ανάλογο των APK σε Android) αφού το υπέγραφες με το δικό σου κλειδί, ακολούθως έπρεπε να το αναρτήσεις σε μια δωρεάν υπηρεσία της Nokia μαζί με το IMEI της συσκευής που θα το εγκαθιστούσες. Ακολούθως λάμβανες ένα υπογεγραμμένο SIS έτοιμο προς εγκατάσταση στην εν λόγο και μόνο συσκευή με την διαφορά ότι επειδή ήταν self-signed εφαρμογή (την είχες υπογράψει μόνος σου) δεν είχε πρόσβαση σε ορισμένα κρίσιμα API του λειτουργικού, όπως πχ. η δυνατότητα κλήσεων ή αποστολής SMS/MMS κλπ, δεν θα εκπλαγώ αν εφαρμοστεί κάτι ανάλογο από την Google για τα λογισμικά αυτής της κατηγορίας (χομπίστες / μαθητές).

 

Επεξ/σία πριν από 13 ώρες από Directx

[negator2vc]

Και παντα φυσικα η κλασική δικαιολογια οτι θελουν και καλα να προστατεψουν τους χρηστες 🤮
 

[kurkosdr]

Είμαστε και εμείς τα κορόιδα που στηρίξαμε την Google τότε στις εποχές του Froyo (όταν το λειτουργικό της ήταν μέτριο στον τομέα της σταθερότητας και του UX) αγοράζοντας ακριβές για την εποχή συσκευές όπως το LG Optimus 2X και αγοράζοντας εφαρμογές και παιχνίδια από το Play Store της γιατί μας έλεγε ότι το Android δεν ήταν σαν το iOS και το ανοιχτό sideloading είναι μέρος του Android Compatibility Definition Document 😑

Επεξ/σία πριν από 12 ώρες από kurkosdr

[kurkosdr]

10 ώρες πριν, Giannis_siag είπε

ή μπορείς να κάνεις sign up ως χόμπιστας dev και να φτιάξεις τα apks μόνος σου 

Το ότι η Google θα έχει την πραγματική ταυτότητα σου δεν σε απασχολεί καθόλου;

Για να στο κάνω λιανά, αν φτιάξεις εφαρμογή τύπου Revanced ή YouTube Downloader, η Google μπορεί ξέροντας την ταυτότητα σου να σε κυνηγάει με μηνύσεις για παραβιάσεις των terms of service.

Sideloading που απαιτεί να δώσεις την πραγματική ταυτότητα σου και βασίζεται σε remote servers για να λειτουργήσει (που σήμερα υπάρχουν αλλά αύριο μπορεί να μην υπάρχουν ή να μην υποστηρίζουν την έκδοση Android που έχεις) δεν είναι ανοιχτό sideloading.

Επεξ/σία πριν από 10 ώρες από kurkosdr

[kinitos]

4 hours ago, Directx said:

Αρνητική εξέλιξη η οποία ήταν αναμενόμενη με βάση τις κινήσεις της εταιρίας τα τελευταία χρόνια απέναντι στο side-loading. Από εκεί και πέρα μένει να φανεί τι θα γίνει με τους χομπίστες και τους μαθητές καθώς η διαδικασία που θα ακολουθεί για αυτή την κατηγορία προγραμματιστών δεν έχει ακόμα διευκρινιστεί.

Σε κάθε περίπτωση ένα ακόμα πλεονέκτημα του Android πάει περίπατο.

  Hide contents

ΥΓ.
Θυμάμαι την εποχή που μεσουρανούσε η Nokia με το Symbian OS, αν ήθελες να διανέμεις μια εφαρμογή, ένα SIS (το ανάλογο των APK σε Android) αφού το υπέγραφες με το δικό σου κλειδί, ακολούθως έπρεπε να το αναρτήσεις σε μια δωρεάν υπηρεσία της Nokia μαζί με το IMEI της συσκευής που θα το εγκαθιστούσες. Ακολούθως λάμβανες ένα υπογεγραμμένο SIS έτοιμο προς εγκατάσταση στην εν λόγο και μόνο συσκευή με την διαφορά ότι επειδή ήταν self-signed εφαρμογή (την είχες υπογράψει μόνος σου) δεν είχε πρόσβαση σε ορισμένα κρίσιμα API του λειτουργικού, όπως πχ. η δυνατότητα κλήσεων ή αποστολής SMS/MMS κλπ, δεν θα εκπλαγώ αν εφαρμοστεί κάτι ανάλογο από την Google για τα λογισμικά αυτής της κατηγορίας (χομπίστες / μαθητές).

 

Και βέβαια αυτό που λες για νότια ηταν ενα βήμα ακριβώς πριν την κατάρρευση. Διότι και εκει ήθελαν να πάρουν όλο το χρήμα. Και κάσικη αλαζονεία απο τους κορυφαίους. 

[kurkosdr]

7 ώρες πριν, Directx είπε

ΥΓ.
Θυμάμαι την εποχή που μεσουρανούσε η Nokia με το Symbian OS, αν ήθελες να διανέμεις μια εφαρμογή, ένα SIS (το ανάλογο των APK σε Android) αφού το υπέγραφες με το δικό σου κλειδί, ακολούθως έπρεπε να το αναρτήσεις σε μια δωρεάν υπηρεσία της Nokia μαζί με το IMEI της συσκευής που θα το εγκαθιστούσες. Ακολούθως λάμβανες ένα υπογεγραμμένο SIS έτοιμο προς εγκατάσταση στην εν λόγο και μόνο συσκευή με την διαφορά ότι επειδή ήταν self-signed εφαρμογή (την είχες υπογράψει μόνος σου) δεν είχε πρόσβαση σε ορισμένα κρίσιμα API του λειτουργικού, όπως πχ. η δυνατότητα κλήσεων ή αποστολής SMS/MMS κλπ, δεν θα εκπλαγώ αν εφαρμοστεί κάτι ανάλογο από την Google για τα λογισμικά αυτής της κατηγορίας (χομπίστες / μαθητές).

Symbian S60v1 και S60v2 δεν είχαν code signing, μόνο το S60v3 και τοS60v5 το είχαν και για να επιτρέψεις την εγκατάσταση self-signed εφαρμογών έπρεπε να αλλάξεις μια ρύθμιση:

http://www.allaboutsymbian.com/news/item/4187_Operators_locking_handsets_Sym.php

https://web.archive.org/web/20070111073018/http://mobilephonedevelopment.com/archives/240

Και όπως είπες για τις self-signed εφαρμογές υπήρχαν οι περιορισμοί σε "ευαίσθητα" APIs. Δεν θυμάμαι αν το self-signing γινόταν locally ή στέλνοντας το sisx σε κάποια υπηρεσία της Nokia, αλλά σε κάθε περίπτωση δεν υπήρχαν τίποτα σοβαρά ID requirements αν κρίνω από τα πειρατικά sisx που εγκατέστησα σε S60v3 τηλέφωνα φίλων τότε.

Επεξ/σία πριν από 6 ώρες από kurkosdr