Google продолжает совершенствовать механизмы защиты приложений на платформе Android, представив обновление для Google Play Integrity API . Этот интерфейс позволяет разработчикам “проверять, что взаимодействия и запросы к серверу исходят от их подлинного двоичного файла приложения, работающего на подлинном устройстве Android”.
Google Play Integrity API ищет доказательства того, что приложение не было изменено, работает в “надежной” программной среде, и что на устройстве включен Google Play Protect. Фактически, Play Integrity является преемником SafetyNet Attestation, но с расширенным набором функций для разработчиков.
Разработчики могут вызывать Play Integrity API в любой момент работы своего приложения, получать так называемый “вердикт целостности” и принимать решения на его основе. Некоторые приложения проверяют целостность при запуске и могут полностью блокировать доступ в зависимости от результата, в то время как другие делают это только перед выполнением важных действий, чтобы предупредить пользователя о потенциальных рисках.
Последнее обновление API предоставляет разработчикам новый инструмент для борьбы с сайдлоадингом – установкой приложений в обход официального магазина Google Play. Теперь приложения могут легко определить, является ли пользователь, установивший их, “подлинным”, то есть приобрел ли он приложение официально.
Когда API обнаруживает, что приложение было установлено не через Play Store, оно может вызвать диалоговое окно GET_LICENSED. Пользователю предлагается “получить это приложение из Play” для продолжения использования. При согласии происходит переход на страницу приложения в магазине, где вместо обычной кнопки “Установить” отображается “Установить из Play”. После подтверждения неофициальная версия удаляется вместе со всеми данными, а новая добавляется в библиотеку пользователя с возможностью получения будущих обновлений.
Внедрение этой функции имеет как положительные, так и отрицательные стороны. Она повышает безопасность для обычных пользователей, защищая их от потенциально опасных действий. Однако это также усложняет жизнь продвинутым пользователям, предпочитающим более глубокий контроль над своими устройствами.
Уже сейчас Play Integrity API используется многими популярными приложениями, включая Stripe, Uber и TikTok. Некоторые игры, такие как Tesco и BeyBlade X, уже внедрили функцию проверки легальности установки. Ожидается, что все больше приложений начнут использовать новые возможности API.
Стоит отметить, что разработчики и раньше имели способы обнаружения сайдлоадинга, но новое обновление API значительно упрощает реализацию такой проверки. В перспективе это может привести к тому, что пользователям станет сложнее устанавливать приложения в обход официального магазина Google Play Store.
По мере того, как Google продолжает укреплять механизмы обнаружения Play Integrity и добавлять новые функции, продвинутым пользователям становится все труднее оправдывать рутирование Android. В то же время обычные пользователи будут лучше защищены от потенциально рискованных и мошеннических действий.
Компания Google продолжает развивать Play Integrity API как часть общей стратегии по повышению безопасности экосистемы Android и защите интересов разработчиков приложений. Ожидается, что в будущем все больше приложений будут внедрять эту технологию для обеспечения безопасности и защиты своих пользователей.