Google implementează un sistem de verificare criptografică pentru aplicațiile Android, numit Binary Transparency, care va fi obligatoriu pentru toate versiunile lansate după 1 mai 2026. Acest registru public va permite verificarea autenticității fiecărei versiuni acceptate de Google, contracarând riscurile atacurilor asupra lanțului de aprovizionare.

Ce reprezintă sistemul Binary Transparency

Binary Transparency este un registru public criptografic, menit să certifice originea și integritatea aplicațiilor Android distribuite de Google. În cazul versiilor acceptate, va exista o intrare verificabilă, care confirmă că aplicația a fost lansată oficial de Google. Aplicațiile care nu apar în registru nu vor fi considerate oficiale și nu vor putea fi instalate sau actualizate automat pe dispozitivele Android.

Impactul asupra securității software-ului Android

Sistemul vizează reducerea riscului de compromitere a software-ului, care de multe ori durează să atace dispozitivele prin actualizări sau aplicații frauduloase. Prin verificarea publică, orice modificare neautorizată sau versiune necertificată poate fi detectată rapid, prevenind introducerea de malware și atacuri asupra lanțului de aprovizionare.

Exemple și nevoie de verificare suplimentară

Un caz recent de compromitere a fost cel al installerelor Windows pentru DAEMON Tools, distribuite de pe site-ul oficial și semnate cu certificate digitale ale dezvoltatorilor. Acest scenariu evidențiază necesitatea verificărilor suplimentare, dincolo de semnătura digitală, pentru a asigura autenticitatea software-ului distribuit.

Ce aplicații Android sunt incluse în noul sistem

Infrastructura extinsă acoperă aplicațiile Google de producție pentru Android, inclusiv Google Play Services, aplicațiile Google independente și modulele Mainline care fac parte din sistemul de operare și pot fi actualizate dinamic. Dispozitivele Pixel, începând cu 2021, au utilizat deja sistemul Pixel Binary Transparency pentru verificarea integrității imaginilor oficiale de sistem.

Rolul sursei publice în verificare

Infrastructura permite cercetătorilor, utilizatorilor avansați și altor părți interesate să verifice dacă aplicațiile de pe dispozitivele Android corespund versiunilor oficiale autorizate. Astfel, orice versiune modificată sau experimentală devine mai ușor de detectat și blocat înainte de a ajunge la utilizatori.

Google afirmă că această inițiativă consolidează securitatea și transparența software-ului distribuit prin intermediul platformei Android, reducând posibilitatea de infiltrare a malware-ului prin aplicații compromise.