Компания Google анонсировала новый механизм установки приложений на Android, который требует обязательного 24-часового ожидания при загрузке программ от непроверенных разработчиков. Это решение призвано найти баланс между открытостью экосистемы и безопасностью пользователей.
Нововведение получило название «расширенный поток» (advanced flow) и призвано усложнить жизнь злоумышленникам, использующим sideloading (установку из сторонних источников) для распространения вредоносного ПО.
Изменения стали логичным продолжением инициативы, анонсированной Google годом ранее: теперь все Android-приложения, устанавливаемые на сертифицированные устройства, должны быть зарегистрированы от имени проверенных разработчиков. Такой подход позволяет быстрее выявлять недобросовестных участников и блокировать распространение вредоносных программ до того, как они достигнут устройств пользователей.
Особую опасность представляют сценарии, в которых киберпреступники обманом заставляют пользователей установить приложение в обход Google Play, а затем убеждают их предоставить приложению расширенные привилегии. Получив такие права, вредонос может отключить Play Protect — встроенную антивирусную защиту всех сертифицированных Android-устройств. Новый механизм призван разрушить эту схему, добавляя временной буфер, в течение которого пользователь может осознать обман.
Критика со стороны сообщества и поиск компромисса
Требование обязательной регистрации разработчиков вызвало волну критики со стороны более 50 разработчиков приложений и альтернативных маркетплейсов, включая F-Droid, Brave, Electronic Frontier Foundation, Proton, Tor Project и Vivaldi. Оппоненты указывают на несколько проблем:
создание искусственных барьеров для входа на рынок;
увеличение трений для разработчиков и пользователей;
отсутствие прозрачности в вопросах сбора персональных данных разработчиков, их хранения, защиты и возможной передачи государственным органам.
В ответ на эти опасения Google предложила компромиссный вариант: «расширенный поток» сохраняет возможность установки приложений от непроверенных разработчиков для продвинутых пользователей, но делает этот процесс одноразовым и осознанным.
Чтобы установить приложение от непроверенного разработчика, пользователю необходимо последовательно выполнить несколько шагов:
Активация режима разработчика — в системных настройках включается соответствующий режим.
Подтверждение осознанности — пользователь должен подтвердить, что действует добровольно и не под влиянием сторонних инструкций (например, мошенников, пытающихся управлять действиями через экран).
Перезагрузка и повторная аутентификация — устройство перезагружается, а пользователь повторно входит в систему. Это предотвращает сценарии, когда злоумышленник удалённо наблюдает за действиями жертвы.
24-часовое ожидание — перед установкой требуется выждать сутки. Google считает, что за это время пользователь сможет осознать, что его не шантажируют, а счёт в банке не взломан.
Подтверждение биометрией или PIN-кодом — по истечении времени ожидания пользователь подтверждает намерение установить приложение.
Выбор срока действия разрешения — после подтверждения рисков пользователь может разрешить установку от непроверенных разработчиков бессрочно или на ограниченный срок (7 дней).
Важно отметить, что описанный процесс не распространяется на установку через Android Debug Bridge (ADB) — инструмент, предназначенный для разработчиков и отладки приложений. Это сохраняет гибкость для технически подкованных пользователей и профессиональных разработчиков.
В качестве жеста доброй воли Google также анонсировала бесплатные «аккаунты ограниченного распространения» (limited distribution accounts). Они позволят разработчикам-любителям и студентам делиться приложениями с 20 устройствами без необходимости предоставлять удостоверение личности или платить регистрационный сбор. Это решение призвано снизить барьеры для тех, кто только начинает свой путь в разработке под Android.
Новые механизмы — аккаунты ограниченного распространения для студентов и энтузиастов, а также расширенный поток для пользователей — станут доступны в августе 2026 года. Внедрение предшествует вступлению в силу новых требований по верификации разработчиков, запланированному на сентябрь 2026 года.
Анонс новых мер безопасности совпал с волной активности Android-зловредов. Среди недавно обнаруженных угроз выделяется Perseus — вредоносная программа, нацеленная на пользователей в Турции и Италии. Её цель — полный захват устройства (device takeover) и проведение финансовых махинаций.
Всего за последние четыре месяца исследователи зафиксировали не менее 17 новых семейств Android-вредоносного ПО:
FvncBot — бот с поддержкой удалённого управления;
SeedSnatcher — похититель сид-фраз криптокошельков;
ClayRat — многофункциональный RAT-троян;
Wonderland — вредонос с расширенными возможностями слежения;
Cellik — зловред, ориентированный на кражу учётных данных;
Frogblight — программа для скрытого внедрения рекламы;
NexusRoute — вредонос для перехвата SMS и 2FA-кодов;
ZeroDayRAT — инструмент удалённого администрирования;
Arsink и SURXRAT — улучшенная версия предыдущего зловреда;
deVixor, Phantom, Massiv — семейства с широким спектром вредоносных функций;
PixRevolution — вредонос, маскирующийся под фоторедактор;
TaxiSpy RAT — шпионское ПО, нацеленное на пользователей такси-сервисов;
BeatBanker — банковский троян;
Mirax — зловред для кражи данных криптокошельков;
Oblivion RAT — инструмент для полного контроля над устройством.
Позиция Google: баланс интересов
«Мы понимаем, что универсальный подход не работает в нашей разнообразной экосистеме, — отметили в компании. — Наша цель — гарантировать, что верификация личности не становится барьером для входа. Поэтому мы предлагаем разные пути, чтобы соответствовать различным потребностям».
Новый подход отражает стремление Google сохранить открытость Android, одновременно закрывая каналы, которыми пользуются злоумышленники. 24-часовое окно ожидания даёт пользователям время на осознание возможных рисков и позволяет прервать цепочку атаки до того, как вредонос получит контроль над устройством.
Чтобы комментировать, зарегистрируйтесь или авторизуйтесь
Популярный сканер уязвимостей с открытым исходным кодом Trivy, развиваемый компанией Aqua Security, подвергся повторному взлому. Всего за месяц это уже второй инцидент, в ходе которого злоумышленники внедрили вредоносное программное обеспечение, нацеленное на кражу конфиденциальных секретов из CI/CD-окружений.
Стратегическое партнёрство для развития искусственного интеллекта. Технологические гиганты OpenAI и Oracle объявили о масштабном расширении сети дата-центров за пределами Соединённых Штатов Америки. Данное сотрудничество направлено не только на ускорение развития инфраструктуры искусственного интеллекта, но и на преодоление существующих экспортных ограничений на поставку передовых чипов.
Руководитель Центра квантовых технологий Московского университета, физик Сергей Кулик развеял опасения общественности относительно угрозы взлома финансовых аккаунтов посредством новейших квантовых разработок. Учёный подчеркнул, что современные достижения науки не позволяют осуществить такую операцию из-за недостаточного количества необходимых вычислительных элементов — кубитов.