Google вимагає по $25 з кожного Android-розробника «за верифікацію». Але будуть виключення

Представники Google розкрили додаткові подробиці майбутньої верифікації Android-розробників, яка почнеться в 2026 році. За реєстрацію розробника стягуватиметься плата в $25, але для персонального використання, студентів та ентузіастів буде надано безкоштовний варіант облікового запису, який дозволяє встановлювати свої додатки на обмеженій кількості пристроїв. Цей варіант не потребує надання посвідчення особи, пишуть в блозі техпідтримки Google.

Хоча безкоштовний варіант може застосовуватися без верифікації розробника, але він має обмеження для масового поширення застосунків і не вирішує проблем, озвучених проектом F-Droid. Адже Google вимагає реєстрації в Android Developer Console кожного пристрою, на який програма може бути встановлена. За задумом компанії, подібне обмеження не дозволить зловмисникам зловживати безкоштовним неверифікованим обліковим записом.

Перед встановленням сторонньої програми користувач повинен визначити унікальний ідентифікатор свого пристрою і передати його розробнику програми, зареєстрованому в Google як студент або ентузіаст. Після цього розробник повинен додати ідентифікатор пристрою через інтерфейс Android Developer Console і у такий спосіб авторизувати можливість встановлення своєї програми на конкретному пристрої.

З додаткових проблем, які можуть виникнути у користувачів під час встановлення програм після введення обов’язкової верифікації розробників, згадується необхідність доступу до інтернету для виконання перевірок під час встановлення програми. При першому встановленні програми платформа Android надсилатиме запит до сервісу Android Developer Verifier для перевірки проходження верифікації розробником програми, який завірив пакет своїм цифровим підписом.

Для найпопулярніших програм Android Developer Verifier буде підтримувати кеш ідентифікаторів, що зберігається на пристрої. Це дозволяє в окремих випадках обійтися без зовнішньої перевірки. 

Google також працює над реалізацією можливості для каталогів додатків, що дозволяє обійтися без додаткових зовнішніх перевірок — каталоги зможуть використовувати токени попередньої автентифікації (pre-auth token), за допомогою яких можна встановити пов’язані з ними програми.

Підтримка прямої установки будь-яких програм за допомогою утиліти “adb” (Android Debug Bridge) збережеться, але така установка вимагає підключення пристрою до зовнішнього комп’ютера та увімкнення режиму розробника. Запровадження верифікації не торкнеться процесів тестування, налагодження та запуску додатків, які розробляються в середовищі Android Studio, в якому для взаємодії з пристроями використовується “adb”. Також буде зроблено винятки для корпоративних програм, встановлення яких здійснюється за допомогою інструментів централізованого управління.

Верифіковані облікові записи розробників, яких раніше викрили в поширенні шкідливих змін, будуть обмежені, а всі пов’язані з ними програми блокуватимуться для встановлення на пристроях користувачів. Блокування буде застосовуватися не тільки до авторів шкідливого ПЗ, але і до розробників, залучених до його поширення обманним шляхом, наприклад, після захоплення облікового запису через фішинг.

В обговоренні представники Google визнали, що в деяких випадках, наприклад, при розповсюдженні програм для політичних дисидентів, автори програм хочуть зберегти анонімність. Для захисту інтересів подібних категорій розробників Google обіцяє публічно не розголошувати персональні дані (обіцянка не стосується розкриття даних у відповідь на запити правоохоронних органів).