Google attiva l'utilizzo della firma digitale per le app Android

Google ha comunicato che a breve il Play Store verificherà automaticamente la presenza della firma digitale corretta nelle intestazioni di qualche pacchetto APK.
Si tratta di un cambiamento importante perché di fatto Google facilita la distribuzione delle app Android anche attraverso canali non ufficiali.
Gli utenti, grazie al controllo della presenza della firma digitale, potranno essere sempre certi di installare un’applicazione ufficiale, non modificata in alcun modo da parte di terzi.

James Bender, product manager di Google Play, ha confermato le finalità della scelta spiegando che in futuro i dispositivi Android potranno accertare l’autenticità degli APK installati anche in modalità offline, quindi senza una connessione Internet attiva.

La buona notizia è che gli sviluppatori di app Android non devono fare nulla: Google si occuperà dell’aggiornamento automatico dei pacchetti d’installazione in formato APK.
Di contro, alcuni ricercatori che si occupano di sicurezza hanno osservato che qualche app contenente funzionalità malevole, pubblicata per un po’ di tempo sul Play Store, potrebbe approfittare della novità. Una volta rimossa dallo store di Google, infatti, potrebbe continuare a essere distribuita come app a sé stante, provvista di una firma digitale assolutamente autentica.
Penserà comunque Google Play Protect, abilitato di default, a rilevare eventuali tentativi di installare app potenzialmente pericolose rimosse dallo store: Google Play Protect lanciato ufficialmente: rileva e neutralizza app dannose.