Google implementează un registru criptografic public pentru verificarea aplicațiilor Android și actualizărilor software, începând cu data de 1 mai 2026. Noua măsură asigură verificarea autenticității fiecărei versiuni acceptate, în contextul creșterii atacurilor asupra lanțului de aprovizionare software.
Explicații despre sistemul nou de verificare
Registrul public criptografic va înregistra fiecare versiune de aplicație Android sau actualizare aprobată de Google. Dacă o versiune nu este prezentă în registru, ea nu va fi considerată oficială și nu va fi acceptată ca software de producție de către sistemul de operare Android.
Rolul și importanța verificării suplimentare
Acțiunea vine ca răspuns la cazurile în care compromiterea aplicațiilor legitime a permis răspândirea de malware, precum cele cu installer-e pentru Windows distribuite prin canale legitime. În astfel de scenarii, malware-ul ajunge la utilizatori prin actualizări sau aplicații semnate digital, dar compromise.
Aplicațiile vizate de noul sistem
Noul sistem extinde verificarea pentru aplicațiile de producție ale Google pentru Android, incluzând Google Play Services, aplicațiile Google independente și modulele Mainline. Aceste module pot fi actualizate dinamic, fără a fi nevoie de un upgrade complet al Android.
Beneficiile pentru utilizatori și cercetători
Infrastructura permite verificarea dacă aplicațiile instalate pe dispozitive sunt versiuni autorizate de Google. În cazul în care aplicațiile sunt modificate sau folosite în mod fraudulos, diferențele urmează să fie detectabile.
Originea măsurii
Initiativa se bazează pe experiența anterioară cu Pixel Binary Transparency, introdusă în 2021 pentru verificarea integrității sistemului de operare pe dispozitivele Pixel. Aceasta folosește un jurnal public criptografic pentru înregistrarea metadatelor despre versiunile oficiale de sistem.
Consiliul Google pentru verificarea software-ului se extinde astfel, într-un efort de a reduce vulnerabilitățile cauzate de atacurile asupra lanțului de aprovizionare.