В августе Google объявил о внедрении новой функции безопасности, которая потребует от разработчиков подтверждать свою личность, если они хотят, чтобы пользователи Android могли устанавливать их приложения из сторонних источников. Теперь компания начала приглашать разработчиков, которые распространяют приложения исключительно вне Play Store, к раннему доступу к функции проверки личности в Android Developer Console. В том же объявлении Google также сообщила, что, несмотря на новое правило, она предоставит опытным пользователям возможность устанавливать даже непроверенные приложения на свои устройства Android.
Компания заявила, что получила отзывы от разработчиков и опытных пользователей, которые хотят сохранить возможность загружать непроверенные приложения. Именно поэтому сейчас создается «новый расширенный процесс, который позволит опытным пользователям принимать риски установки непроверенного программного обеспечения». Google не вдался в подробности о том, как разработана функция и как будет определяться «опытный пользователь», но уже собирает отзывы и поделится дополнительными сведениями в ближайшие месяцы. Компания уточнила, что процесс разработан таким образом, чтобы пользователи не становились жертвами мошенников, обходящих меры безопасности, в том числе путем отображения четких предупреждений о сопутствующих рисках.
Как пояснил Google в своем объявлении, распространенная в Азии схема мошенничества включает звонки жертвам с просьбой загрузить вредоносное ПО под видом легитимных приложений. Мошенники представляются сотрудниками банка, предупреждают жертв о компрометации их счета и инструктируют их установить приложение для защиты средств. Мошенники также оказывают давление на своих жертв, чтобы те игнорировали предупреждения безопасности во время установки приложения. Вредоносное ПО в приложении злоумышленников затем крадет данные для входа жертвы и перехватывает двухфакторные коды, необходимые для доступа к их банковскому счету.
«Несмотря на то, что у нас есть передовые меры безопасности для обнаружения и удаления вредоносных приложений, без проверки злоумышленники могут мгновенно создавать новые вредоносные приложения, — заявил Google. — Это превращается в бесконечную игру «выбей крота». Верификация меняет правила игры, заставляя их использовать реальную личность для распространения вредоносного ПО, что значительно усложняет и удорожает масштабирование атак». Пока что Google находится на ранних этапах внедрения требования верификации разработчиков, и широкое развертывание начнется не раньше конца 2026 года.
