В недавно объявленной политике Android от компании Google акцентируется внимание на необходимости борьбы с увеличением случаев присутствия вредоносного ПО в приложениях, которые были загружены в обход официального магазина приложений Google Play. Теперь Android требует, чтобы все разработчики приложений проходили верификацию личности у Google. Это распространяется как на приложения из Google Play, так и на все сторонние APK, размещенные на таких платформах, как GitHub и другие проектные веб-сайты.
Благодаря новым правилам Google планирует повысить уровень кибербезопасности и обеспечить контроль над тем, какие приложения могут устанавливаться на сертифицированные устройства Android. Однако критики этого нововведения подчеркивают, что оно может привести к потере пользователями свободы выбора приложений, а также к необходимости раскрывать разработчикам свои личные данные перед Google.
Аргументы противников новых правил
Противники считают, что централизованная верификация данных разработчиков увеличивает риски утечек и кражи личной информации. Исторически крупные утечки данных и рост числа мошенничеств с идентификацией приводят к опасениям, что сбор дополнительных данных может стать причиной новых угроз. Появление генеративного ИИ также добавляет новые векторы для обмана и создания поддельных идентификаций.
Криптографические альтернативы
В качестве альтернативы предлагаемам централизованной верификации критики рассматривают криптографические методы. Использование подписи PGP, хэш-функций и сетей доверия позволяет аутентифицировать разработчиков и APK без необходимости централизованного раскрытия данных, что более безопасно. Реальные atтестации и децентрализованные модели сертификатов могут обеспечивать высокий уровень доверия без необходимости отправки личных данных в единую корпорацию. Некоторые проекты и версии Android, такие как GrapheneOS, и экспериментальные магазины приложений уже исследуют криптографические подходы к верификации.
Авторы статьи уверены, что децентрализованный и криптографический подход способен лучше защитить пользователей и сохранить свободу выбора программного обеспечения, чем политика, требующая глобальной подачи идентификационных данных разработчиков в Google.
