O Google anunciou que todos os aplicativos Android instalados em dispositivos aprovados em breve precisarão poder ser rastreados até uma identidade de desenvolvedor verificada, em um esforço para combater a crescente onda de operações de fraude financeira e vírus móveis.
A política, programada para ser lançada em regiões selecionadas de alto risco em 2025 antes da expansão global, estende as verificações de identidade já aplicadas no Google Play a qualquer aplicativo entregue em lojas de terceiros ou lateral direto.
Ao vincular cada pacote de software à entidade legal que a criou, o Google pretende tornar significativamente mais difícil para os atores de ameaças ressurgirem sob novos aliases após quedas, uma tática frequentemente observada em Trojan bancário e operações de roubo de credenciais.
Verificação de identidade para todos os aplicativos Android
De acordo com a telemetria interna citada pelo Google, o malware encontrado por downloads ad-hoc da Internet aparece a uma taxa mais de 50 vezes maior do que a encontrada no Google Play.
Embora a empresa não conduza revisões de conteúdo para binários fora da loja, ela obrigará os desenvolvedores a preencher um processo de conhecimento de conhecimento (KYC) análogo a uma verificação de identificação do aeroporto: documentos emitidos pelo governo e informações de contato serão validados antes que um certificado de editor exclusivo seja concedido.
Os aplicativos assinados com chaves não verificados serão bloqueadas da instalação em dispositivos que participam do ecossistema de serviços móveis do Google, que agora abrange mais de 3.000 modelos de hardware classificados como “certificados”.
O movimento se baseia na iniciativa de verificação de desenvolvedores de 2023 do Play, que o Google credita com os golpes de representação visivelmente reduzidos e roubo de dados Incidentes ao remover maus atores de anonimato.
Simplifica a conformidade para distribuidores não jogadores
As partes interessadas em segurança endossaram o mandato mais amplo. A Federação Bancária do Brasil, Febbraban, chamou a etapa de “avanço significativo” para a proteção do consumidor, o Ministério das Comunicações da Indonésia elogiou sua “abordagem equilibrada” e o ministério da economia digital da Tailândia o chamou de “proativo”.
A aliança do desenvolvedor global acrescentou que os controles onipresentes de identidade são “críticos” para sustentar a confiança em toda a cadeia de suprimentos do Android.
Para minimizar o atrito para organizações que distribuem fora do Google Play, desde instituições financeiras, enviando aplicativos internos a fornecedores que operam os mercados regionais do Google está lançando um console dedicado de desenvolvedor Android.
O portal espelha o fluxo de trabalho de verificação do console, mas omite os serviços de análise e cobrança da loja, concentrando -se apenas no atestado de identidade, gerenciamento de chaves e relatórios de status de conformidade.
Uma camada de conta simplificada estará disponível para estudantes, amadores e mantenedores de código aberto, reconhecendo seu perfil de risco não comercial e ainda imponha a rastreabilidade.
Do ponto de vista da engenharia de segurança, a mudança complementa as defesas de tempo de execução existentes, como a varredura no dispositivo do Play Protect e a API de atestado da Safetynet.
Ao mudar parte do modelo de confiança para a responsabilidade do desenvolvedor, o Google pretende atrapalhar o fenômeno “Infinite Lives”, no qual editores maliciosos iterem através de certificados descartáveis.
Os atores de ameaças agora enfrentarão a maior sobrecarga operacional de forjar IDs do governo ou recrutar mulas de dinheiro, elevando a barreira à entrada para a distribuição de malware Android em larga escala.
É importante ressaltar que a empresa enfatiza que o mandato não corroe a flexibilidade lateral do Android: os usuários ainda podem adquirir software de qualquer canal e os desenvolvedores permanecem livres para operar sua própria infraestrutura de distribuição.
No entanto, os instaladores de pacotes no dispositivo e as lojas de terceiros serão exibidas diálogos ou avisos de bloqueio de superfície quando um APK não possui uma assinatura verificada e válida, alinhando a experiência do usuário com os avisos existentes de “desenvolvedor desconhecido”.
O Google planeja liberar Detalhes da implementação granular, atualizações da API e cronogramas de execução nos próximos meses.
Os desenvolvedores já ativos no Google Play não precisam tomar mais ações, pois seu status verificado se propaga automaticamente para o ecossistema mais amplo.
Para outros, a versão de acesso antecipado do novo console antes da janela de conformidade obrigatória oferece uma oportunidade de pré-registrar, integrar o pipeline de assinatura atualizado e evitar interrupções de distribuição de última hora.
A iniciativa ressalta o argumento do Google de que a abertura e a segurança robusta não são mutuamente exclusivas, mas podem coexistir por meio de identidade rigorosa, controles criptográficos e políticos.
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!