لقد خرجت جوجل لتوضيح الشكوك: التحميل الجانبي لا يختفي من الاندرويدالآن، سيخضع تثبيت التطبيقات خارج متجر التطبيقات الرسمي لمرشح هوية مطور جديد، وهي خطوة إضافية تهدف إلى الحد من الاحتيال والبرامج الضارة دون إغلاق الباب أمام التحميل الجانبي.
وتصر الشركة على أن هدفها هو سلامة المؤلفين وإمكانية تتبعهم، لا تحد من الخيارات من المستخدمين أو التوزيع عبر قنوات بديلة. مع ذلك، يُثير هذا التغيير قلق بعض الجهات في هذا المجال، وخاصةً مشاريع مثل F-Droid، وأولئك الذين يُقدّرون النشر المجهول لأسباب مشروعة.
ما الذي يتغير عند تثبيت التطبيقات خارج متجر Play؟
سيضيف أندرويد خطوة للتحقق من الهوية قبل تثبيت الحزم. سيستفسر النظام عن خدمة أصلية تُسمى مُتحقق مُطوّري Android، مثبتًا مسبقًا على الجهاز، والذي سيراجع الحزمة ومفتاح التوقيع، وعندما يكون ذلك ضروريًا، سيتصل بخوادم Google للتحقق من صحة المؤلف.
سيتعايش هذا المُتحقق مع Google Play Protect، والتي ستواصل تحليل المخاطر والسلوكيات الضارة. في سيناريوهات محددة، اتصال إنترنت لإكمال عملية الفحص، على الرغم من أن النظام سيحتفظ بذاكرة تخزين مؤقتة محلية للتطبيقات الشائعة التي تم التحقق من صحتها بالفعل لتقليل التبعيات.
إذا لم يتم تأكيد المطور، فسيتم حظر التثبيت؛ ومع ذلك، يجب توقيع التطبيقات بشكل صحيح بواسطة مؤلف شرعي لا يزال من الممكن تثبيتها عن طريق التحميل الجانبي أو من خلال متاجر بديلة. يُركّز التحكم في الهوية على المُنشئ، وليس على القناة.
بالنسبة لمتاجر الطرف الثالث، ستقوم Google بتمكين ملف يمكن التحقق منه تشفيريًا يسمى رمز ما قبل المصادقةبواسطته، يمكن لمتجر خارجي التحقق من صحة المطور دون الحاجة إلى استعلامات إضافية أثناء التثبيت، مما يؤدي إلى تبسيط العملية وتجنب ارتفاع مكالمات الخادم.
التقويم والإصدارات المدعومة
يأتي دعم التحقق الأصلي مع أندرويد 16 QPR2على الرغم من أن المكون سيكون مدمجًا، فقد أشارت Google إلى أنه سيتم تنفيذ تطبيق صارم لحظر المؤلفين غير الموثوقين تدريجيًا بعد جمع المقاييس وضبط التجربة.
ستتلقى الأجهزة ذات الإصدارات الأقدم أيضًا تعزيزًا من خلال Play Protect، والذي سيعمل كطبقة مكافئة لتطبيق النظام بدلًا من الخدمة الأصلية. بهذه الطريقة، سيصل نموذج التحقق إلى الكثير من حديقة أندرويد دون الحاجة إلى التحديث إلى الإصدار الأحدث.
فيما يتعلق بالتوقيت، أتاحت جوجل الوصول المبكر للتحقق، وتخطط لإتاحته للمطورين في الأشهر المقبلة. سيبدأ التحقق الإلزامي في أسواق محددة ابتداءً من 2026 وسوف ينتشر إلى بقية العالم في 2027، في عملية نشر تدريجية تهدف إلى تقليل الاحتكاك.
حتى ذلك الحين، سيتم إعطاء الأولوية لجمع البيانات، تحسين التحقق والتنسيق مع المتاجر الخارجية لاعتماد رمز التفويض المسبق. والهدف هو الوصول إلى المرحلة الإلزامية بإجراءات واضحة ومُجرّبة.
المتاجر البديلة، وF-Droid وأسماء الحزم
النقطة الأكثر إثارة للجدل هي العواقب على النظام البيئي المفتوح. F-Droid، أحد المتاجر المرجعية في المصدر المفتوححذرت شركة جوجل من أن الإطار الجديد يعرض نموذجها للخطر، لأنه لا يستطيع أن يطلب من كل مشروع التسجيل لدى جوجل أو معرفات الحزم الخاصة بجهات خارجية مناسبة.
تدرس جوجل حالات استثنائية تكرار اسم الحزمةولكنه سيعطي الأولوية للمطور صاحب أكبر عدد من التثبيتات المسجلة. قد يدفع هذا المطورين الأصليين إلى تغيير المعرفات في بعض الحالات، مما يتعارض مع فلسفة التوزيع القابلة للتكرار التي يروج لها F-Droid.
كنوع من التوازن، تسمح الشركة للمتاجر باستخدام رمز المصادقة المسبقة لـ تغليف التحققومع ذلك، يخشى مديرو مستودعات المجتمع من أن تصبح السلطة النهائية على الهويات مركزية للغاية، مما يضعف استقلال الفهارس المجانية.
إن المناقشة ليست حول ما إذا كان من الممكن تثبيت APK فضفاضًا، ولكن من التحقق من الهوية لكل مؤلف، وكيفية حل تضاربات التوقيع والملكية في النظم البيئية اللامركزية. وهنا تبرز أهمية النقاش.
الهوية والخصوصية ومكافحة البرامج الضارة
تبرر جوجل التحول في بيانات المخاطر: خارج متجر Play، هناك وجود البرمجيات الخبيثة متفوقة بكثير —تتحدث الشركة عن أسعار أعلى بعشرات المرات—ويهدف التحقق من المؤلف إلى القضاء على انتحال الشخصية والتوزيع الضار.
إذا كان الحساب مرتبطًا بـ البرمجيات الخبيثةقد تُقيّد جميع التطبيقات ذات الصلة وتُسحب الثقة. بالإضافة إلى ذلك، لإثبات الملكية الشرعية للحزمة، سيطلب منك أندرويد التوقيع مع المفاتيح الأصلية دون مشاركتها مع Google.
إلى جانب ذلك، سوف يستخدم المحقق طرق الكشف المتقدمة - "المكونات السرية" الشهيرة - لتحديد هويات مزيفةحتى عند توليدها باستخدام الذكاء الاصطناعي. الهدف هو حماية المستخدمين والمطورين على حد سواء من الانتحال وانتحال الهوية.
فيما يتعلق بالخصوصية، تؤكد جوجل أن لن ينشر بيانات شخصية للمؤلفين. ما لم يُحدد هو الحالات التي يجوز فيها مشاركة المعلومات مع السلطات أو أطراف ثالثة أخرى، وهو سؤال حساس للعاملين في بيئات عالية الخطورة أو الساعين إلى الحفاظ على سرية هويتهم.
المبدعون والشركات الصغيرة: الاستثناءات والحدود
لكي لا نغلق الباب أمام التجارب، تم تقديم فئة في وحدة تحكم المطور لـ الطلاب والمشجعينبدون رسوم إعداد قدرها ٢٥ دولارًا أمريكيًا، وبمتطلبات أخف. في المقابل، يقتصر التوزيع على عدد محدود من الأجهزة.
في هذا المخطط، سوف يقوم كل مستخدم بإنشاء معرف الجهاز من جهازهم المحمول، والذي يجب على المُنشئ تسجيله يدويًا قبل السماح بالتثبيت. إنه حل وسط: يسمح بمشاركة النماذج الأولية والمشاريع الصغيرة، ولكنه يمنع هذه الحسابات من أن تصبح مصادر للإساءة.
في بيئات الشركات، يتم نشر التطبيقات باستخدام الحلول إدارة بيانات الأجهزة المحمولة يمكن تثبيتها دون التحقق من المُصنِّع، شريطة أن يكون الجهاز تحت إشراف تكنولوجيا المعلومات. في حال عدم اتصال الأسطول بالإنترنت، يجب على المؤسسة تفعيل التحقق الذاتي أو السماح باتصالات دورية.
من خلال هذا، تحاول جوجل إيجاد حل وسط بين الأمن والمرونة الأعمال التجارية، دون كسر سير العمل، مع حماية المستخدم النهائي من التطورات ذات المنشأ المشكوك فيه.
ماذا يعني ذلك للمستخدمين المتقدمين والمطورين
بالنسبة للمستخدم العادي، فإن التغيير يعني المزيد من الضوابط عند تثبيت ملفات APK: في بعض الأحيان قد يكون ذلك مطلوبًا اتصال نشط للتحقق من هوية المؤلف، وستكون التحذيرات أكثر وضوحًا إذا لم تتمكن من تأكيد الهوية.
بالنسبة لأولئك الذين يقومون بالبناء والاختبار محليًا، Android Studio وأدوات مثل اعلان سيستمرون في السماح بإنشاء إصدارات تطويرية وتصحيح أخطائها وتثبيتها دون الحاجة إلى التحقق العام. هذا مخصص للاختبار وبيئات العمل، وليس للتوزيع العام.
الرسالة الرسمية لا تزال كما هي: التحميل الجانبي لا يزال جزءًا من الحمض النووي لنظام Androidما يتغير هو أنه للوصول إلى عدد أكبر من المستخدمين من خلال القنوات الخارجية، سيتعين على المؤلفين التحقق من هويتهم أو الاعتماد على المتاجر التي تعتمد الإطار الجديد.
ما ينشأ هو نظام أندرويد أكثر حماية ضد إساءة الاستخدام، مع نظام يعتمد على الهويات القابلة للتتبع ولكن هذه التغييرات سوف تجبر أيضًا المجتمع المفتوح والمتاجر البديلة والمطورين المستقلين على تعديل العمليات والممارسات.
