- Magpapatupad ang Google ng mandatoryong 24-oras na panahon ng paghihintay para sa mga app mula sa mga hindi na-verify na developer.
- Ang bagong "Advanced Flow" ay nagdaragdag ng mga karagdagang hakbang tulad ng developer mode, pag-restart, at muling pag-authenticate.
- Halos hindi mapapansin ng mga na-verify na app at opisyal na tindahan ang anumang pagbabago; ang epekto ay nasa mga APK at alternatibong repository.
- Pinapanatili ng mga advanced na user ang mga shortcut tulad ng ADB at mga limited distribution account upang malampasan ang ilan sa mga paghihigpit.
Sa loob ng maraming taon, ang Android ay kasingkahulugan ng kalayaang mag-install ng mga aplikasyon mula sa halos kahit saanMalinaw na ito ang nagpaiba nito sa iOS. Nariyan pa rin ang posibilidad na iyan, ngunit inanunsyo ng Google ang isang malaking pagbabago sa kung paano ito ginagawa, na nagpapakilala ng isang mahalagang elemento: 24-oras na paghihintay bago makumpleto ang pag-install ng ilang partikular na app.
Hindi inaalis ng kompanya ang sideloadingngunit napapalibutan ito ng mas maraming alitan at mas maraming hakbang kapag ang app ay nagmula sa isang hindi na-verify na developerAng nakasaad na layunin ay gawing mas mahirap ang mga panlolokong umaasa sa social engineering, bagama't para sa maraming mga advanced na user, ang bagong sistema ay mangangahulugan ng mas masalimuot na proseso para sa pag-install ng isang simpleng APK.
Ano nga ba ang eksaktong nagbabago: mula sa agarang APK patungo sa 24-oras na wall
Hanggang ngayon, para sa karamihan ng mga gumagamit, sapat na ito para mag-download ng APK file at patakbuhin ito Para makapagpatakbo ng third-party app sa iyong mobile phone o Android TV, mawawala ang feature na ito kasabay ng mga pagbabagong inilulunsad ng Google kung hindi pa nabe-verify ng developer ang kanilang pagkakakilanlan sa loob ng bagong programa ng Android.
Ang sentral na bahagi ng sistema ay isang 24-oras na panahon ng paghihintay para sa proteksyonSa pagsasagawa, nangangahulugan ito na, bagama't maaari ka pa ring mag-install ng mga app mula sa labas ng Google Play o iba pang opisyal na tindahan, Hindi mo na ito magagawa nang padalos-dalos o gagabayan nang real time ng ibang taoKailangan mong simulan ang proseso, i-restart ang iyong device, maghintay ng isang buong araw, at saka lamang magdesisyon kung magpapatuloy.
Binabalangkas ng Google ang pagbabagong ito sa isang nakababahalang konteksto: tinatantya nito na Mahigit sa kalahati ng mga nasa hustong gulang ang naging biktima ng ilang uri ng tangkang panloloko noong nakaraang taonKadalasan, ang mga panlolokong ito ay ginagawa sa pamamagitan ng mga pekeng app na nagpapanggap na mga bangko, ahensya ng gobyerno, o mga serbisyo sa pagmemensahe. Marami sa mga panlolokong ito ay umaasa sa mga tawag sa telepono o malayuang pag-access kung saan idinidikta ng attacker ang bawat hakbang sa biktima.
Iginiit ng kompanya na Hindi nawawala ang pag-install ng mga third-party na appAng pagkakaiba ay, kung ang lumikha ay hindi beripikado, ang sistema ay hindi na lamang ilang pagpindot kundi nagiging isang mahabang proseso, na idinisenyo upang pilitin ang gumagamit na huminto, pag-isipan ito, at magkaroon ng oras upang suriin kung ang kanilang ini-install ay may katuturan.
Ang bagong "Advanced Flow": anim na hakbang para mag-install ng hindi na-verify na app
Ang pagbabago ay hindi lamang tungkol sa pagdaragdag ng karagdagang notification; itinatakda nito ang isang buong daloy ng trabaho na tinawag ng Google na "Masusing Daloy"Ilalapat ang prosesong ito kapag gusto mong mag-install ng app na ginawa ng isang taong hindi pa bahagi ng Android verification system, mula man ito sa isang website, alternatibong repository tulad ng F-Droid, o isang third-party store (maaari mong maghanap ng mga app para sa Android at iOS).
Para mai-install ang mga ganitong uri ng aplikasyon, kailangang kumpletuhin ng gumagamit ang isang pagkakasunud-sunod ng anim na magkakaugnay na hakbang na sumisira sa ideya ng mabilis na pag-install:
- Manu-manong paganahin ang developer mode Sa mga setting ng system, pindutin ang build number nang ilang beses. Hindi na sapat ang pag-check lang sa kahon na "unknown sources"; kakailanganin mong pumunta sa mas advanced at partikular na seksyon.
- Pagtugon sa isang babala tungkol sa posibleng pamimilitTahasang itatanong ng Android kung may gumagabay sa iyo sa pamamagitan ng telepono o malayuan para i-disable ang mga proteksyon sa seguridad ng system.
- Kinakailangan ang pag-restart ng devicePinuputol ng hakbang na ito ang anumang aktibong tawag o mga sesyon ng malayuang pag-access, na mahalaga kung may scammer na nagmomonitor o sumusubaybay sa iyong ginagawa.
- Tanggapin ang 24-oras na bloke bago ka makapagpatuloy. Hindi mo makukumpleto ang pag-install ng app sa araw na iyon, kahit na na-download mo na ang file.
- Mag-reauthenticate gamit ang PIN, fingerprint, o facial recognition kapag lumipas na ang panahon ng paghihintay, para kumpirmahin na ikaw pa rin ang gumagawa ng desisyon.
- Sa wakas, i-install na ang app, na may mga nakikitang babala na ang developer ay hindi pa nabeberipika at may dalawang opsyon: payagan ang mga ganitong uri ng pag-install sa loob lamang ng pitong araw o paganahin ang mga ito nang walang katiyakan.
Ayon sa Google, ang daloy na ito ay dinisenyo matapos subukan ang iba't ibang mga senaryo sa mga advanced na user. paghahanap ng balanse sa pagitan ng kaligtasan at kakulangan sa ginhawaAng napiling punto —ang buong araw na paghihintay — ay naglalayong pigilan ang mga panlolokong umaasa sa pagkaapurahan: kung kailangan ng umaatake na mag-install ang biktima ng isang bagay "ngayon na", hindi ito papayagan ng sistema.
Ang isang mahalagang nuance ay iyon Ang Advanced Flow ay hindi paulit-ulit na uulitNilinaw ng kompanya na ang kumpletong proseso ng pag-activate, pag-restart, at 24-oras na paghihintay ay ilalapat bilang paunang daloy para sa bawat device at uri ng pag-install; pagkatapos, magkakaroon pa rin ng mga abiso at kontrol, ngunit hindi na kailangang ulitin ang buong proseso mula sa simula sa bawat pagkakataon.
Ang parehong pamamaraang ito ay palalawakin sa iba pang mga Android device, tulad ng mga telebisyon na may Android TV o Chromecast na may Google TVSa mga ganitong pagkakataon, kakailanganin mo ring i-activate ang developer mode, kumpirmahin na walang gumagabay sa iyo, i-restart at maghintay bago mag-install ng mga app mula sa mga hindi na-verify na developer, isang bagay na makakaapekto sa mga dating naglo-load ng mga IPTV client, alternatibong streaming app o ad blocker sa kanilang mga TV.
Bakit gusto ng Google na maghintay ka ng 24 oras: seguridad at social engineering
Ang opisyal na pahayag ng Google ay nakatuon sa isang problema na higit pa sa mga teknikal na pagkabigo: social engineering at sikolohikal na presyonMaraming kasalukuyang panloloko ang hindi umaasa sa mga kahinaan ng sistema, kundi sa pagkumbinsi sa gumagamit na manu-manong i-disable ang mga proteksyon at mag-install ng malisyosong software.
Kasama sa mga karaniwang taktika ang Mga tawag na nagpapanggap na galing sa bangko, isang teknikal na serbisyo, o isang pampublikong ahensyaAng mga sitwasyong ito ay lumilikha ng pakiramdam ng emergency. Sa ilalim ng pressure na ito, ang biktima ay may tendensiyang tumanggap ng mga pahintulot, balewalain ang mga babala, at sundin ang mga tagubilin nang hindi humihinto upang basahin ang mga mensahe sa screen.
Gamit ang nakaraang sistema, kung saan Ilang segundo lang ang pag-download at pag-install ng APKDati, kailangan lang gabayan ng scammer ang biktima nang paunti-unti para ma-trigger nila ang bawat babala nang halos walang iniisip. Nilalayon ng bagong proseso na basagin ang ganitong padron: pilitin ang pag-restart, pagpapakilala ng 24-oras na paghinto, at paghingi ng kasunod na muling pag-authenticate.
Sinabi pa nga ni Sameer Samat, pinuno ng Android ecosystem, na Ang araw na iyon ng paghihintay ay nag-aalis ng libu-libong pagtatangka ng pandaraya.Ang kanilang argumento ay, sa panahong iyon, may oras ang tao para suriin kung totoo ang umano'y problema sa kanilang bank account, makipag-usap sa isang miyembro ng pamilya, o maghanap ng impormasyon tungkol sa application na hiniling sa kanila na i-install.
Inaamin ng Google na Ang alitan na ito ay makakaapekto rin sa mga user na nag-i-install ng mga lehitimong app.Totoo ito lalo na para sa mga madalas gumamit ng mga open-source na APK o mga proyekto mula sa mga independent developer. Gayunpaman, naniniwala siyang sulit ang kabuuang balanse kung ang bilang ng mga biktima ng mga real-time guided scam ay lubos na mababawasan.
Mga na-verify na app, limitadong account, at ang papel ng Play Protect
Upang maiwasan ang ganap na pagpigil sa ecosystem, isinasama ng Google ang bagong pansamantalang pader na ito na may ilang mga pigura na idinisenyo upang upang maiba ang pagkakaiba sa pagitan ng mga natukoy na developer at mga hindi kilalang tagalikhaAng unang bahagi ay ang programa sa beripikasyon, na nag-aatas sa mga developer na magparehistro kasama ang kanilang mga dokumentasyon —tulad ng national identity card o iba pang opisyal na pagkakakilanlan — at iugnay ang kanilang mga signing key sa isang partikular na account.
Kapag ang isang app ay nagmula sa isang na-verify na developerSa mga ganitong pagkakataon, hindi ilalapat ng sistema ang buong Advanced Flow. Ang pag-install ay susunod sa isang landas na mas malapit sa kasalukuyan: ang mga karaniwang babala tungkol sa mga hindi kilalang mapagkukunan at mga pagsusuri sa seguridad ay pananatilihin, ngunit walang mandatoryong 24-oras na pagharang o sapilitang pag-restart.
Bukod pa rito, nagpapakilala ang Google ng mga tawag "mga limitadong account ng pamamahagi"Ang mga account na ito ay idinisenyo para sa mga estudyante, mahilig sa libangan, o maliliit na proyekto. Gamit ang ganitong uri ng account, maaaring ibahagi ng isang developer ang kanilang mga app sa hanggang 20 device nang hindi kinakailangang dumaan sa buong pormal na proseso ng pag-verify o magbayad ng $25 na bayad sa pagpaparehistro na kinakailangan upang mag-publish sa Google Play.
Kahanay, Pinapalakas ng Google Play Protect ang papel nito bilang karagdagang patong ng seguridadPatuloy na sinusuri ng sistemang ito ang mga naka-install na application at maaaring harangan o i-uninstall pa nga ang mga itinuturing nitong potensyal na mapaminsala, isang bagay na lalong mapapansin sa mga device tulad ng mga telebisyon, kung saan binabago ng ilang partikular na third-party na app ang mga elemento ng system o hinaharangan ang advertising.
Para sa mga umaasa sa mga third-party na app na maaaring sumasalungat sa mga patakarang ito, ito ay magiging lalong mahalaga. Suriin ang mga setting ng iyong Play Protect mula sa Play Store ng device at magpasya kung hanggang saan nila pinapayagan ang system na awtomatikong kumilos sa software na naka-install sa labas ng mga opisyal na channel, pati na rin kumonsulta Mga pangunahing estratehiya para protektahan ang iyong mga device.
Ano ang ibig sabihin nito para sa mga gumagamit sa Espanya at Europa?
Sa pang-araw-araw na buhay ng maraming gumagamit sa Espanya at sa iba pang bahagi ng Europa, Limitado ang direktang epekto kung Google Play lang ang gagamitin nila. at iba pang opisyal na tindahan. Ang mga banking, retail, social media, at messaging app na na-download mula sa mga beripikadong channel ay patuloy na mai-install gaya ng dati, nang hindi lumalabas ang 24-oras na wall.
Ang pagbabago ay magiging pinakakapansin-pansin sa mga Karaniwan nilang ini-install nang manu-mano ang mga APK O kaya naman ay umaasa sila sa mga alternatibong repositoryo tulad ng F-Droid, pati na rin sa mga gumagamit ng mga third-party na tindahan na naka-link sa mga partikular na brand o proyekto. Kung ang mga developer ng mga app na ito ay hindi makikipag-ugnayan sa sistema ng pag-verify ng Google, ang kanilang mga user ay kailangang harapin ang bagong advanced na daloy ng trabaho.
Ang pagbabagong ito ay dumarating din sa isang maselang panahon sa Europa, kung saan mga regulasyong digital — kabilang ang Digital Markets Act (DMA)— Itinutulak nito ang mga pangunahing plataporma upang mapadali ang kompetisyon at bigyan ang mga gumagamit ng mas maraming pagpipilian. Bagama't napilitan ang Apple na bahagyang buksan ang iOS sa sideloading sa European Union, hinihigpitan naman ng Google ang mga patakaran sa parehong kasanayang ito sa Android, dahil sa mga alalahanin sa seguridad.
Pinuna ng mga proyektong tulad ng F-Droid at ilang alternatibong app store ang mga hakbang na ito, na inaakusahan ang Google ng paggamit ng malware bilang dahilan upang unti-unting isara ang Android at bawasan ang bigat ng mga channel na hindi nito direktang kinokontrol. Gayunpaman, iginiit ng Mountain View na ang susi ay hindi kung saan naka-host ang app, kundi kung natukoy ang developer nito at kung aako ba ito ng responsibilidad.
Sa anumang kaso, para sa karaniwang gumagamit na nag-i-install lamang ng mga app mula sa Google Play, Ang pagbabago ay maaaring halos hindi mapansin.Ang problema ay lilitaw kapag, halimbawa, may humiling sa iyo na mag-install ng isang panlabas na tool upang "lutasin ang isang agarang problema" sa iyong account: doon ilalagay ng system ang mga bagong hadlang nito, kabilang ang 24 na oras na paghihintay.
Isang backdoor para sa mga advanced na user: ADB at advanced na configuration
Isa sa mga pangunahing alalahanin kasunod ng anunsyo ay kung ano ang mangyayari sa tinatawag na mga gumagamit ng kapangyarihanPara sa kanila, nagbukas ang Google ng ilang mga daan para sa mga gumagamit ng Android sa mas teknikal na paraan, sinusubukan ang mga ROM, nag-i-install ng mga open-source na application, o mga eksperimental na tool sa labas ng mga opisyal na tindahan.
Ang pinakamalinaw ay iyan Hindi maaapektuhan ang pag-install ng mga app gamit ang ADB (Android Debug Bridge). dahil sa 24 na oras na panahon ng paghihintay. Sa madaling salita, kung ikokonekta mo ang iyong telepono o tablet sa isang computer—o gagamit ng wireless ADB—at magpapadala ng APK na may mga karaniwang utos, hindi ilalapat ng system ang buong Advanced Flow.
Dahil dito, ang ADB isang uri ng opisyal na ruta ng pagtakas para sa mga bihasang gumagamitHindi ito isang mapagkukunan na inilaan para sa lahat, dahil nangangailangan ito ng pagpapagana ng USB debugging at paghawak ng isang tiyak na antas ng mga utos o tool, ngunit iyon mismo ang profile na itinuturing ng Google na pinakamahusay na nakakaintindi sa mga panganib na nauugnay sa sideloading.
Sa kabilang banda, ang mga nais magpatuloy sa pag-install ng mga APK mula sa kanilang sariling device ay maaaring gawin ito sa pamamagitan ng isang advanced na setting na nakatago sa mga opsyon ng developerMatapos i-tap ang build number nang ilang beses para i-activate ang mode na ito, makikita mo ang mga setting tulad ng "Payagan ang mga hindi na-verify na pakete," piliin kung ang exception na ito ay pansamantala (pitong araw) o walang katiyakan, at hayagang kumpirmahin na tinatanggap mo ang mga panganib, bilang karagdagan sa pagkonsulta mahahalagang tip at trick.
Ang pamamaraang ito ay nagtatangkang gumuhit ng malinaw na linya sa pagitan ng ang karaniwang gumagamit, na gusto naming protektahan mula sa padalus-dalos na pag-install na ginagabayan ng mga ikatlong partido.At ang teknikal na gumagamit na, sa teorya, ay alam ang kanyang ginagawa at handang maglaan ng mas maraming oras at pagsisikap sa pag-configure ng device upang mapanatili ang kalayaang iyon.
Ang pinagbabatayang pakiramdam ay nananatiling mas bukas na sistema ang Android kaysa sa iOS, ngunit Ang bawat bagong patakaran ay nagpapakilala ng isa pang nakikitang hadlangNananatili ang kakayahang mag-install ng mga app mula sa halos anumang mapagkukunan, bagama't hindi na ito magiging mabilis at inosenteng kilos ng pag-download ng APK at pagpindot sa "Install" sa loob lamang ng ilang segundo.
Ang pananaw para sa mga darating na buwan ay pinagsama-sama Mas mahusay na proteksyon laban sa mga scam na nagsasamantala sa pagkaapurahan Ang karanasan ay magiging mas mabagal at mas maingat para sa sinumang gustong mag-install ng mga app mula sa mga hindi na-verify na developer. Sa pagitan ng developer mode, muling pag-authenticate, pag-restart, at ang mandatoryong 24-oras na panahon ng paghihintay, ang pag-install ng external app ay magiging isang mas maingat na gawain. Para sa ilan, ito ay magiging isang malaking abala, habang para sa iba ito ay magiging isang layer ng seguridad na, bagama't nakakainis, ay maaaring maiwasan ang higit sa isang hindi kanais-nais na sorpresa.
