Google anunció el jueves un nuevo «flujo avanzado» para la descarga de Android que requiere un período de espera de 24 horas para instalar aplicaciones de desarrolladores no verificados en un esfuerzo por equilibrar la apertura y la seguridad.
Los nuevos cambios se producen tras el mandato de verificación de desarrolladores que el gigante tecnológico anunció el año pasado, que requiere que todas las aplicaciones de Android sean registradas por un desarrollador verificado e instaladas en un dispositivo Android certificado. Agregó que la medida se tomó para identificar rápidamente a los actores maliciosos y evitar que distribuyan malware.
Esto también incluye un escenario potencial en el que los ciberdelincuentes podrían engañar a los usuarios desprevenidos que descargan dichas aplicaciones para que les otorguen privilegios elevados que les permitirían desactivar Play Protect, la función antimalware integrada en todos los dispositivos Android certificados por Google.
Sin embargo, los requisitos de registro obligatorios incluyen F-Droid, Brave, The Electronic Frontier Foundation, Proton, The Tor. Las críticas provienen de más de 50 desarrolladores de aplicaciones y mercados, incluidos Project y Vivaldi, quienes dicen que la falta de claridad sobre qué información personal deben proporcionar los desarrolladores, cómo se almacenarán, protegerán y utilizarán estos datos, y si pueden estar sujetos a solicitudes gubernamentales o procesos legales corren el riesgo de crear fricciones y barreras de entrada, y plantean preocupaciones sobre la privacidad y la vigilancia.
Como una forma de solucionar algunos de estos problemas espinosos, Google destacó un flujo avanzado recientemente desarrollado que permite a los usuarios avanzados mantener la capacidad de descargar aplicaciones de desarrolladores no verificados en un proceso único que les exige seguir los pasos a continuación.
Habilite el modo desarrollador en la configuración del sistema. Asegúrese de que estén haciendo este paso por su propia cuenta y que no estén siendo entrenados. Reinicie su teléfono y vuelva a autenticarse para que los estafadores no puedan monitorear sus acciones. Espere 24 horas y verifique que este cambio realmente se haya producido mediante datos biométricos o PIN del dispositivo. Una vez que los usuarios comprendan los riesgos, instalarán aplicaciones de desarrolladores no verificados de forma indefinida o durante 7 días.
«Durante ese período de 24 horas, creemos que será mucho más difícil para los atacantes continuar con sus ataques», dijo a Ars Technica Sameer Samat, presidente del ecosistema Android. «Para entonces, probablemente sabrás que tu ser querido no está realmente en la cárcel y que tu cuenta bancaria no está siendo atacada».
Google también dijo que planea ofrecer «cuentas de distribución limitada» gratuitas que permitan a los desarrolladores y estudiantes aficionados compartir aplicaciones en hasta 20 dispositivos sin «proporcionar una identificación emitida por el gobierno ni pagar una tarifa de registro».
Tenga en cuenta que el proceso anterior no se aplica a las instalaciones a través de Android Debug Bridge (ADB). Las cuentas de distribución limitadas para estudiantes y aficionados y los flujos avanzados para usuarios estarán disponibles en agosto de 2026 antes de que los nuevos requisitos de verificación de desarrolladores entren en vigor el próximo mes.
«Sabemos que un enfoque de ‘talla única’ no funciona para nuestro ecosistema diverso», dijo Google en un comunicado. «Queremos asegurarnos de que la verificación de identidad no sea una barrera de entrada, por lo que ofrecemos una variedad de caminos para satisfacer las necesidades específicas de cada cliente».
Este desarrollo coincide con la aparición de un nuevo malware para Android llamado Perseus que se dirige activamente a usuarios en Turquía e Italia para la apropiación de dispositivos (DTO) y el fraude financiero.
Se detectaron al menos 17 familias de malware para Android en libertad durante un período de cuatro meses. Estos incluyen FvncBot, SeedSnatcher, ClayRat, Wonderland, Cellik, Frogblight, NexusRoute, ZeroDayRAT, Arsink (y su versión mejorada SUXRAT), deVixor, Phantom, Massiv, PixRevolution, TaxiSpy RAT, BeatBanker, Mirax y Oblivion RAT.
Source link
