Ви можете завантажити програму Android або вручну встановити її пакет APK, якщо ви використовуєте спеціальну версію Android, яка не включає Google Play Store. Крім того, програма може бути експериментальною, перебувати в розробці або, можливо, більше не підтримується та не пропонується розробником. До цього часу існування в Інтернеті APK-файлів, готових до бокового завантаження, здавалося, що Google допускала, якщо застерігала від них.
Цей тихий застій порушує нова функція в Google Play Integrity API. Як повідомило Android Authority, інструменти розробника для натискання діалогових вікон «виправлення» під час бокового завантаження, дебютували на конференції I/O Google у травні, почали з’являтися на телефонах користувачів. Сторонні завантажувачі додатків від британського магазину Tesco, фандомного додатка BeyBlade X і ChatGPT повідомили про підказки «Завантажити цю програму з Play», які неможливо обійти. Користувач ігрового портативного комп’ютера Android три місяці тому наткнувся на підказку з подібним формулюванням від Diablo Immortal на своєму пристрої.
Google Play Integrity API — це те, як додатки раніше блокували доступ під час завантаження на телефони, які певним чином модифіковані зі стандартної ОС із збереженою інтеграцією Google Play. Нещодавно популярна програма двофакторної автентифікації заблокувала доступ на телефонах із модифікованою мікропрограмою, включаючи GrapheneOS, яка має на меті перевершити безпеку стандартної системи Android. Програми можуть викликати API цілісності Play і отримувати «вердикт цілісності», який повідомляє, чи телефон має «надійне» програмне середовище, увімкнено Google Play Protect і проходить інші перевірки програмного забезпечення.
Компанія Graphene поставила під сумнів правдивість API Integrity API та систем атестації SafetyNet від Google, рекомендуючи натомість стандартну атестацію апаратного забезпечення Android. Рахман зазначає, що додатки не повинні використовувати підхід «все або нічого» для перевірки цілісності. Замість того, щоб повністю блокувати встановлення, додатки могли звертатися до API лише під час конфіденційних дій, видаючи там попередження. Але відсутність підключення до Play Store також може позбавити розробників метрик, дозволити встановлення на несумісних пристроях (і, як наслідок, погані відгуки), і, звичайно, відкрити двері для піратства платних програм.
«Невідомі канали розповсюдження» заблоковано
У відео розробника Google про «Автоматичний захист цілісності» (на 12-хвилинній 24-секундній позначці на YouTube) зазначено, що «вибрані» програми мають доступ до автоматичного захисту. Це додає інструмент автоматичної перевірки до вашої програми та «найпотужнішу версію захисту Google Play від несанкціонованого доступу». «Якщо користувачі отримують вашу захищену програму з невідомого каналу розповсюдження, — йдеться на слайді презентації, — їм буде запропоновано отримати її з Google Play», доступної для «вибору партнерів Play».
Минулого року Google запровадив сканування зловмисного програмного забезпечення завантажених програм під час встановлення. Google і Apple виступили проти законодавства, яке розширює права на стороннє завантаження для власників смартфонів, посилаючись на проблеми безпеки та надійності. На початку цього року європейські регулятори змусили Apple дозволити завантажувати додатки та магазини додатків збоку, хоча й із застосуванням комісій і географічних обмежень.
Попередня версія цього допису неправильно характеризувала характер модифікацій GrapheneOS у мікропрограмі Android. Ars вибачається за помилку.