Категория > Новости > Google научит Android проверять аутентичность приложений без подключения к интернету - «Новости»

Google научит Android проверять аутентичность приложений без подключения к интернету - «Новости»


21-06-2018, 23:00. Автор: Miers

Инженеры Google меняют механизм проверки приложений для Android на аутентичность. В компании планируют модифицировать хедеры файлов APK таким образом, чтобы среди метаданных появилось новое поле, содержащее криптографическую подпись. Из-за этого незначительно увеличится максимально допустимый размер APK. Никаких действий со стороны разработчиков не потребуется, новое поле Play Store будет заполнять автоматически.


В настоящее время установить «одобренные» Google приложения, прошедшие все надлежащие проверки, можно лишь через официальный Play Store, который в фоновом режиме, перед установкой убедится в подлинности и безопасности продукта. С добавлением нового поля в хедеры APK, подпись будет содержаться в самом файле, что позволит пользователям загружать приложения из Play Store и распространять их по другим каналам, но не изменять в процессе.


В блоге компании Джеймс Бендер (James Bender), продакт-менеджер Google Play Store, объясняет, что данное решение продиктовано желанием улучшить комфорт и безопасность пользователей, при этом дав разработчикам возможность донести свои решения до более широкой аудитории. Так, нововведение должно прийтись по душе пользователям из развивающихся стран, где распространение приложений посредством P2P уже давно стало нормой (в силу высокой стоимости трафика или ряда других ограничений).


«В будущем мы сможем определять аутентичность приложений даже в том случае, если устройство находится в оффлайне», — пишет Бендер.


Стоит отметить, что специалисты по информационной безопасности уже выразили сомнения в рациональности данного шага. Дело в том, что это нововведение в теории может продлить «срок жизни» вредоносных приложений. Так, малвари будет достаточно попасть в Play Store хотя бы на короткое время, после чего она будет фигурировать в базах как легитимное и проверенное решение. И даже после удаления вредоноса из официального каталога, пользователи, которые нечасто выходят в оффлайн, могут установить себе такую малварь, взятую из каких-либо других источников, но при этом система будет уверена, что приложение аутентичное и не представляет угрозы.


Источник новостиgoogle.com
Перейти обратно к новости