Google continua la sua “crociata” contro il sideloading delle app su Android, e lo fa con la nuova funzionalità dell’API Play Integrity. Introdotta per scoraggiare gli utenti dal bypassare il Play Store, questa funzione cambierà il modo in cui le app vengono scaricate e installate su dispositivi Android. E non in meglio.
Su Android arriva la nuova funzionalità dell’API Play Integrity
Fino ad ora, scaricare file APK direttamente dal web (appunto sideloading), pur non essendo esplicitamente raccomandato, era una pratica relativamente tollerata da Google. Anche perché Big G non poteva opporsi.
Assieme a Apple Big G ha provato a opporsi a quest’apertura al sideloading, citando preoccupazioni relative alla sicurezza e all’affidabilità. Tuttavia, la pressione da parte dei regolatori europei ha costretto Google e (soprattutto) Apple ad accettare il sideloading, sebbene con restrizioni geografiche e costi aggiuntivi.
Tuttavia, questo equilibrio si sta interrompendo con l’introduzione di una nuova funzione nell’API di Play Integrity.
Già presentata al Google I/O, secondo il sito specialistico Android Authority, questa funzione permetterà agli sviluppatori di inserire messaggi di remediation durante il processo di sideloading, invitando gli utenti a scaricare l’app direttamente dal Play Store, senza la possibilità di aggirare il messaggio. Sempre secondo il sito, questo avviso è apparso su app come quella di Tesco nel Regno Unito, BeyBlade X, e persino su ChatGPT.
Parliamo però di un API che (sembra) sia già stata utilizzata in passato per limitare l’accesso alle app su dispositivi Android modificati, privi di alcune integrazioni di Google Play. Il sito di informazione Ars Technica riferisce che una popolare app di autenticazione a due fattori ha impedito l’uso su dispositivi con permessi di root, inclusi quelli con il sistema orientato alla sicurezza GrapheneOS.
La nuova funzionalità sembra al momento riservata a “partner selezionati” del Play Store, ma potrebbe in futuro estendersi a un numero maggiore di sviluppatori.
Google e sideloading, tra sicurezza e libertà
C’è da dire, però, che l’utilizzo di questo API è comunque utile in termini di sicurezza digitale. Grazie all’API gli sviluppatori possono infatti determinare se il dispositivo su cui si sta eseguendo l’app abbia un ambiente software sicuro e se Google Play Protect sia attivo. In pratica fornisce una sorta di “verifica di integrità”, molto utile in un periodo come questo, purtroppo ricco di campagne malware Android.
O almeno così si spera. A mettere in dubbio tutto ciò è la stessa GrapheneOS, che stando a Ars Technica ha criticato sia l’API di Play Integrity sia il sistema di attestazione SafetyNet di Google, suggerendo come loro alternativa l’uso di un’attestazione hardware standard di Android.
Nonostante ciò, i vantaggi per gli sviluppatori sono evidenti, soprattutto in termini di protezione dalla pirateria e raccolta di dati analitici. Anche se, riferisce Ars Technica, alcuni sviluppatori potrebbero preferire un approccio meno drastico, limitando il controllo di integrità solo a determinate azioni sensibili piuttosto che bloccare completamente l’installazione dell’app.
