Home Finalmente sappiamo come funzioneranno effettivamente le nuove regole di verifica delle app di Android

Finalmente sappiamo come funzioneranno effettivamente le nuove regole di verifica delle app di Android

TL;DR

  • A partire dal prossimo anno, Android bloccherà l’installazione di app da sviluppatori non verificati, una politica che riguarda sia il Play Store che le app trasferite localmente.
  • Il nuovo sistema richiede che Android controlli se uno sviluppatore è verificato, il che in alcuni casi richiederà una connessione Internet attiva durante l'installazione.
  • Gli sviluppatori hobbisti possono ottenere un account gratuito ma dovranno affrontare rigidi limiti di distribuzione, richiedendo loro di autorizzare manualmente ciascun dispositivo che installa la loro app.

Ad agosto Google ha fatto un annuncio che ha scioccato gli appassionati di Android e i difensori della privacy: a partire dal prossimo anno, Android bloccherà l’installazione di app di sviluppatori non verificati. Ciò vale non solo per le app sul Play Store ma anche per le app distribuite al di fuori di esso, suscitando la preoccupazione che Google voglia eliminare il sideloading. Dopo alcune settimane di silenzio, Google ha finalmente affrontato queste preoccupazioni, insistendo sul fatto che il sideloading è destinato a durare. La società ha inoltre condiviso nuovi dettagli su come verranno applicati i requisiti di verifica degli sviluppatori, incluso il fatto che, in alcuni casi, Android richiederà una connessione di rete attiva per caricare le app.

Il mese scorso abbiamo riscontrato prove nell'SDK di Android che suggerivano che la verifica dello sviluppatore potrebbe fallire quando una connessione di rete non è disponibile. Al momento non abbiamo potuto confermare questo comportamento, poiché i requisiti di verifica degli sviluppatori di Android non erano ancora entrati in vigore. Questa settimana, tuttavia, Google ha confermato che sarà così. Oltre al post sul blog in cui dichiara che “il sideloading è fondamentale per Android”, Google ha anche pubblicato un video in cui spiega il ragionamento alla base dei requisiti di verifica e come verrà implementato l’anno prossimo. Ho analizzato attentamente il video per imparare il più possibile su questi cambiamenti imminenti, così non dovrai farlo tu.

Non vuoi perderti il ​​meglio di Android Authority?

Come Android verificherà le app

Quando provi a installare un'app Android, il sistema operativo esegue già una serie di controlli prima di consentire il completamento dell'installazione. Questi controlli garantiscono che un'app con lo stesso ID applicazione (ovvero il nome del pacchetto) non sia già installata, che non sia creata per una versione estremamente vecchia del sistema operativo e, soprattutto, che non sia stata contrassegnata come malware da Google Play Protect.

Google sta ora intraprendendo un ulteriore passo avanti in questo processo. L'azienda ha integrato un hook nel flusso di installazione, richiedendo che qualsiasi app installata per la prima volta venga sottoposta a verifica. Al momento dell'installazione, Android comunicherà con una "entità attendibile" sul dispositivo denominata Android Developer Verifier. Questo nuovo servizio di sistema precaricato determina se lo sviluppatore dell'app è stato verificato, se sono stati riscontrati problemi durante la verifica e, infine, quale criterio di installazione applicare.

Mishaal Rahman / Autorità Android

Per determinare se lo sviluppatore di un'app è stato verificato, il servizio Android Developer Verifier deve verificare che il pacchetto e la chiave utilizzata per firmarlo siano stati inviati a Google. È impossibile mantenere un database completo sul dispositivo di tali pacchetti e combinazioni di tasti, soprattutto perché ogni settimana compaiono così tante nuove app Android. Questo è il motivo per cui Google afferma che il tuo telefono avrà bisogno di una connessione di rete per verificare le app, anche se solo nello “scenario peggiore”. La società prevede che il servizio Developer Verifier mantenga una cache delle app più popolari che ha già verificato in modo che possano essere installate senza una connessione di rete.

Inoltre, Google afferma che sta lavorando a una soluzione per consentire agli app store di bypassare ulteriori chiamate di rete. Gli app store possono trasmettere quello che viene chiamato "token pre-autenticazione", un "blob crittograficamente verificabile" associato al pacchetto che desiderano installare. Ciò consente di verificare lo sviluppatore di un'app senza ulteriori chiamate di rete al backend di Google.

Altre letture:I marchi potrebbero raffreddarsi sulle funzionalità satellitari e questa è una brutta notizia per gli Android più economici

La seconda versione trimestrale di Android 16, vale a dire. Android 16 QPR2, sarà la prima versione di Android a supportare nativamente queste modifiche. Tuttavia, le politiche di verifica non verranno applicate quando l’aggiornamento verrà lanciato a dicembre, poiché Google sta ancora lavorando alla sua implementazione e alla raccolta di metriche. Le modifiche verranno trasferite alle versioni precedenti di Android tramite Google Play Protect, anche se Google afferma che potrebbero esserci alcune lievi differenze perché questo metodo sfrutta un'app esistente anziché il nuovo servizio di verifica nativo integrato nel sistema operativo.

Aamir Siddiqui / Autorità Android

In che modo i requisiti di verifica di Android influenzeranno studenti e hobbisti

Quando Google ha annunciato per la prima volta i suoi nuovi requisiti di verifica per gli sviluppatori, ha affermato che avrebbe creato un “tipo separato di account della Console per gli sviluppatori Android” per sviluppatori hobbisti e studenti, che avrebbe “meno requisiti di verifica” e un’esenzione per la quota di registrazione di $ 25 USD. A prima vista, sembra che risolverebbe le esigenze degli sviluppatori indipendenti che distribuiscono le loro app gratuitamente su luoghi come GitHub o F-Droid, ma c'è un grosso problema.

Gli sviluppatori che si registrano su Google come studenti o hobbisti dovranno affrontare severe restrizioni sulla distribuzione delle app, ovvero un limite al numero di dispositivi che possono installare le loro app. Per applicare ciò, qualsiasi utente che desideri installare software da questi sviluppatori deve prima recuperare un identificatore univoco dal proprio dispositivo. Lo sviluppatore deve quindi inserire questo identificatore nella Console per gli sviluppatori Android per autorizzare l'installazione di quel dispositivo specifico.

Questa stretta di mano bidirezionale tra utenti e sviluppatori è stata intenzionalmente progettata per limitare la distribuzione. Google afferma che gli account studente/hobbista sono solo per gli sviluppatori che desiderano condividere un APK con un insieme limitato di persone conosciute, non per coloro che desiderano distribuire ampiamente le proprie app. Gli sviluppatori che si iscrivono come studenti o hobbisti ma in seguito decidono di desiderare un pubblico più ampio avranno la possibilità di convertire il proprio account, in modo da non rimanere per sempre bloccati con una distribuzione limitata.

Queste restrizioni hanno senso nel contesto degli obiettivi generali di Google. Consentire la distribuzione illimitata per gli account di studenti/hobbisti creerebbe una scappatoia da sfruttare per i malintenzionati, quindi limitando la loro portata, Google scoraggia gli sviluppatori malintenzionati dall'utilizzare in modo improprio questo tipo di account.

In che modo Google impedirà ai malintenzionati di eludere la verifica

Parlando di cattivi attori, Google afferma di aver progettato il suo sistema per catturarli e impedire loro di superare la verifica. Per cominciare, gli sviluppatori non potranno semplicemente rivendicare la proprietà su qualsiasi pacchetto esistente. Per dimostrare la proprietà, devono dimostrare di poter firmare le app utilizzando la stessa chiave dell'app che rivendicano. Ciò non richiede la condivisione di chiavi private con Google, quindi la società stessa non otterrà alcun diritto di firma. Google afferma che il suo unico obiettivo è impedire ai malintenzionati di distribuire app dannose, come malware. Pertanto, non imporrà altre restrizioni politiche agli sviluppatori, come limitare i nomi e le icone che possono utilizzare per le loro app.

Uno screenshot della Console per gli sviluppatori Android

Agli sviluppatori sorpresi a distribuire malware verranno imposte restrizioni sui propri account. Per un periodo non specificato, a tutte le app di proprietà di questi sviluppatori verrà bloccata l'installazione sui dispositivi degli utenti. Ciò vale per qualsiasi sviluppatore il cui account sia associato alla distribuzione di malware, anche se tale sviluppatore non è l'autore del malware. Gli autori di malware spesso tentano di acquistare account sviluppatore esistenti per sfruttarli per la distribuzione; Google afferma che, in ultima analisi, gli sviluppatori sono responsabili di qualsiasi cosa pubblicata sotto il loro account, giustificando qualsiasi azione intrapresa contro di loro.

Un'altra tecnica utilizzata dagli autori di malware per aggirare la verifica è la frode d'identità. Google afferma di avere una “salsa segreta”: tecniche che gli consentono di identificare quando gli sviluppatori mentono sulla loro identità. L'azienda dispone di team che eseguono la verifica e sono addestrati a identificare i falsi invii, anche quelli generati utilizzando strumenti di intelligenza artificiale. Inoltre, la necessità di ottenere un numero DUNS dissuaderà molti malintenzionati dal richiedere un account aziendale.

Che dire della privacy, di F-Droid e dei casi d'uso aziendali?

Nel suo video, Google ha affrontato diverse preoccupazioni sollevate dagli utenti in seguito all'annuncio. Per quanto riguarda la privacy, Google ha riconosciuto che esistono ragioni legittime per l’anonimato degli sviluppatori, come quando si distribuiscono app per i dissidenti. Ecco perché la società ha dichiarato che non condividerà pubblicamente le informazioni sugli sviluppatori (anche se, in particolare, non si è impegnata a nascondere tali informazioni ai governi). Indipendentemente da ciò, Google insiste che lo status quo deve cambiare, sostenendo che l’anonimato degli sviluppatori comporta rischi per gli utenti che non può più trascurare.

Sebbene Google non abbia affrontato direttamente le preoccupazioni che le sue politiche uccideranno gli app store indipendenti come F-Droid, ha menzionato un piccolo lato positivo. La società ha affermato che in rari scenari consentirà la duplicazione del nome del pacchetto. Ad esempio, se un'app sul Play Store condivide il nome di un pacchetto con un'app di un'altra fonte ma ha meno installazioni, Google collaborerà con gli sviluppatori su una soluzione che potrebbe richiedere allo sviluppatore del Play Store di modificare il nome del pacchetto dell'app.

Sfortunatamente, è improbabile che questa esclusione aiuti molti sviluppatori su F-Droid. Il problema deriva dal modo in cui F-Droid distribuisce le app: il suo team compila il codice sorgente fornito dagli sviluppatori e poi firma le app stesse. Questa pratica spesso crea due versioni in conflitto di un'app, una di F-Droid e una dello sviluppatore originale, che utilizzano entrambe lo stesso nome di pacchetto.

Per evitare che più sviluppatori rivendichino la proprietà dello stesso pacchetto, Google darà la preferenza allo sviluppatore la cui versione ha la maggior parte delle installazioni conosciute. Per molte app su F-Droid, ciò significa che il suo team ne diventerebbe effettivamente il proprietario, anche se non sono gli sviluppatori originali. I creatori originali sarebbero quindi costretti a cambiare il nome del pacchetto per distribuire la loro app altrove. Questo risultato è indesiderabile e viola la filosofia fondamentale di F-Droid, spiegando la sua forte opposizione alle nuove politiche di Google.

Infine, Google farà alcune eccezioni per le imprese. Un'app installata tramite strumenti di gestione aziendale su un dispositivo gestito sarà installabile anche se il suo sviluppatore non è registrato. Questa esclusione esiste perché i dispositivi gestiti hanno una terza parte responsabile, un amministratore IT, responsabile della sicurezza. Sfortunatamente, Google afferma che le entità che distribuiscono app su dispositivi offline dovranno determinare da sole come gestire le richieste di verifica, ad esempio collegandosi periodicamente al Web.

Rimangono ancora molte domande sui nuovi requisiti di verifica degli sviluppatori di Android, inclusi i metodi che li aggireranno. Sappiamo già che l'installazione di ADB funziona, ma non è chiaro se ciò si estenderà a soluzioni come Shizuku, che consente di eseguire comandi ADB utilizzando i privilegi della shell. C’è ancora molto tempo prima che Google applichi le sue nuove politiche, quindi i dettagli potrebbero cambiare e potrebbero emergere nuove informazioni. Se impareremo qualcosa di nuovo, te lo faremo sapere, quindi seguici per rimanere aggiornato!

Grazie per essere parte della nostra comunità. Leggi la nostra Politica sui commenti prima di pubblicare.

Related Posts

OnePlus 15 vs Galaxy S25 Ultra: confronto tra foto di esempio

OnePlus 15 vs Galaxy S25 Ultra: confronto tra foto di esempio

2025-11-13
Dimentica il design liquido, abbiamo bisogno di questa funzione super utile nel prossimo iPhone

Dimentica il design liquido, abbiamo bisogno di questa funzione super utile nel prossimo iPhone

2025-08-13
Dolby Vision 2: che cos'è, caratteristiche chiave, livelli e televisori supportati

Dolby Vision 2: che cos'è, caratteristiche chiave, livelli e televisori supportati

2025-09-02
L'UI 8 beta è uscita per la tua galassia S23, ma potrebbe non piacere che manca una funzione di Galaxy AI chiave

L'UI 8 beta è uscita per la tua galassia S23, ma potrebbe non piacere che manca una funzione di Galaxy AI chiave

2025-09-02
Come bloccare le foto su iPhone

Come bloccare le foto su iPhone

2025-08-12
Articoli dell'Help Desk

Articoli dell'Help Desk

2024-12-14
Come spostare la posizione della barra delle applicazioni in cima a Windows 11

Come spostare la posizione della barra delle applicazioni in cima a Windows 11

2023-10-19
Come correggere lo sfondo desktop a schermo nero in Windows

Come correggere lo sfondo desktop a schermo nero in Windows

2023-12-24
Come sbloccare i siti Web e accedere ai contenuti limitati

Come sbloccare i siti Web e accedere ai contenuti limitati

2025-08-06
Go vs Python per Web rashing: The Ultimate Showdown

Go vs Python per Web rashing: The Ultimate Showdown

2025-10-14
7 soluzioni per riparare lo schermo bianco della morte su iPhone 16/16 Pro/16 Pro Max

7 soluzioni per riparare lo schermo bianco della morte su iPhone 16/16 Pro/16 Pro Max

2024-09-24
Windows Security vs. Microsoft Defender su Windows 11: cosa li distingue?

Windows Security vs. Microsoft Defender su Windows 11: cosa li distingue?

2025-04-22
5 migliori lettori di audiolibri per Windows

5 migliori lettori di audiolibri per Windows

2024-12-13
Si è verificato un errore durante il tentativo di leggere il file degli host locali

Si è verificato un errore durante il tentativo di leggere il file degli host locali

2024-11-22
[Aggiornamento del software] CCLeaner 6.32.11432 rilasciato, ecco cosa è nuovo e fisso

[Aggiornamento del software] CCLeaner 6.32.11432 rilasciato, ecco cosa è nuovo e fisso

2025-01-23