Foto di Denny Müller.

Google ha recentemente chiarito le proprie intenzioni riguardo alle politiche di installazione delle applicazioni su Android, rispondendo ai dubbi (e alle non poche proteste) espressi dalla comunità degli sviluppatori in seguito a un annuncio iniziale che sembrava restringere drasticamente il sideload.

Stando ai chiarimenti, ora il blocco resta per gli APK scaricati direttamente da internet da sviluppatori non verificati; resta però possibile installare quelle stesse applicazioni tramite l'Android Debug Bridge (ADB), sia via cavo USB che in modalità wireless, da un computer collegato. Il sistema operativo bloccherà quindi soltanto le installazioni dirette sul dispositivo, tipicamente effettuate da utenti meno esperti, mentre preserverà la flessibilità per operazioni deliberate, come il testing di app durante lo sviluppo.

Google ha motivato la decisione con dati interni: secondo un'analisi citata in vari articoli, le app caricate tramite sideloading da fonti internet contengono oltre 50 volte più malware rispetto a quelle provenienti dal Play Store. L'obiettivo è limitare frodi finanziarie, app pirata modificate (come versioni crackate di servizi premium) e minacce come quelle legate a IPTV illegali o a un "pezzotto" software. È bene ricordare che la verifica dello sviluppatore non implica un controllo sul contenuto delle app - Google non esaminerà il codice per censurarlo - ma solo sull'identità del creatore, paragonata a un «controllo documenti in aeroporto», come descritto in comunicazioni ufficiali.

La raccolta dei dati necessari per registrarsi presso Google - nome legale, indirizzo, email e numero di telefono verificato via OTP (one-time password) - sia che si utilizzi il Play Store sia che si preferisce distribuire le proprie app tramite circuiti alternativi è ciò che ha scatenato delle proteste da parte degli sviluppatori: se il sideloading è completamente bloccato, essi non possono più mantenere l'anonimato. Il ripristino di un sideloading "limitato", via ADB, consente a chi lo desidera di restare sconosciuto.

Proposte di lettura:

Google, stop all'obbligo di usare Gmail per gli account Android

Google introduce l'obbligo di verifica per gli sviluppatori. E' la fine ...

Allarme privacy: decine di app VPN inviano dati in Cina. Tutte su store ufficial...

Android sempre più esigente: ora servono almeno 32 Gbyte

La verifica dello sviluppatore peraltro non sarà affidata a Google Play Protect, che gli utenti possono disattivare nelle Impostazioni, ma a un nuovo componente di sistema chiamato Android Developer Verifier. Questa app, che opera a livello kernel, è sempre attiva e non disabilitabile dall'utente, per garantire che solo APK firmati da sviluppatori verificati vengano installati direttamente. È questo il controllo che le installazioni via ADB possono aggirare.

Usare l'ADB - parte del kit di sviluppo Android (Android SDK), che permette comandi come "adb install nome.apk" da un terminale su PC, senza verifica sull'identità - richiede l'attivazione delle opzioni sviluppatore sul dispositivo e l'abilitazione del debug USB: questi passaggi rendono l'opzione accessibile principalmente a utenti tecnici, i quali - almeno in teoria - dovrebbero sapere quanto stanno facendo. Per quanto riguarda la compatibilità della verifica dell'identità con norme europee come il DMA, in vigore dal 2024, bisogna sottolineare che proprio il DMA obliga Google a consentire store di terze parti e sideload in Europa ma allo stesso tempo non vieta misure di sicurezza come la verifica dell'identità, in maniera simile a quanto Apple ha implementato per iOS in UE in base al Digital Services Act (DSA).

Sullo stesso tema:

Amazon chiude l'Appstore per Android

Mozilla Thunderbird per Android è in beta

Temu è un'app pericolosa?

UE, in vigore la legge che obbliga l'apertura alle app di terze parti