Комментарии 100
Хммм, это привязано к версии самого Android, или они обновят на стороне разработчика? Если первое, то получается, текущая версия Android - последняя юзабельная.
Еще мне кто-то будет говорить, что я могу установить, а что нет. Я что, айфон купил?
хоть бы суд заставил продать андроид
Не ставьте приложения от психов разработчиков, которые вызывают Play Integrity API.
Это нужно разработчикам приложений, где само приложение не представляет ценности, а нужно только для доступа к тому, что представляет: Spotify, Instagram, Twitter\X и прочие. Например, без рекламы.
Да и хрен с ними.
Главное, чтобы какие-нибудь разрабы Мозиллы не додумались. А они ведь могут. Вчера прилетел апдейт, где неотключаемая кнопка Translate скушала 10% address-bar'а.
Даже через about:config не удалось в мобильной версии пункт меню отключить.
Это в какой версии? У меня нет, тьфу-тьфу.
Интересно. Такая же версия, но кнопки перевода нет.
Если поймёте, в чём разница — дайте, пожалуйста, знать.
Когда они добавили кнопку Home, я молчал — в конце концов, я тоже открывал домашнюю страницу.
Когда они добавили кнопку Reader View, я молчал — я думал, что иногда мне тоже пригодится режим чтения.
Когда они добавили кнопку Translate, я хотел написать жалобу, но уже не смог найти, куда вводить URL.
Ну, кнопкой Reader я, например часто пользуюсь. Если пойму в чём дело, напишу. У Вас русифицированный андроид?
Ну пропатчат этот Play Integrity API в самом приложении, чего тут.
Это что-то типа app attestation от Apple, которая вырубается на раз, ибо не во всех айфонах secure enclave действительно secure. Но когда все модели станут с чипами без багов и современными iOS версиями, тогда уже будем думать
Это для установки apk и с пиратских маркетов.
Гугл постепенно превращает свою ос в IOS. Это замечаю уже несколько обновлений подряд, они старательно, поэтапно закручивают гайки.
А если я не хочу ставить из play? А если у меня нет play сервисов и вообще аккаунта google так как не хочу кормить их данными? А не катиться ли разработчикам с их официальными каналами установки в известном направлении? Я что, айфон купил или что?
Я свалил с айфона дабы на это все положить. Ну видимо в скором прийдётся устанавиливать на телефон обычные дистры linux.
А не катиться ли разработчикам
Но зачем с таким отношением к разработчику (и его отношением к вам) вы всё равно хотите установить его приложение?
Разработчик буквально мочится на пользователя, а тот всё равно ловит эту божью росу? Пусть катится. Не пользуйтесь его приложением.
Вы новость внимательно прочитайте. Гуглы лично не чего не запрещают, а дают возможность запретить разработчику приложения - запретить ставить его приложение с неизвестных источников.
Самая главная причина это наверное пиратство приложений. Хотите использовать бесплатную версию приложения - смотрите рекламу или покупайте полную версию. А вот скачать мод без рекламы с 4pda уж не прокатит и это будет решать не Гугл, а разработчик приложения. Даже если приложение не показывает рекламу, то потом создатели продают данные пользователей и монетизируют свой труд.
На Хабре то каждый свой труд за хорошую цену продать хочет, а как что так разработчиков в известном направлении посылает, а все хочет на шару с торент.ру скачать. Не нравится такой способ распространения приложения - не ставьте его, скачайте аналог с любого удобного для вас места. Запрета на установку со сторонних источников нет.
upd По сути это борьба с пиратством по просьбе трудящихся. Все хотят за свой труд икорку на хлеб мазать.
Интересно. А если уж выкладывается версия, настолько крякнутая, чтобы вырезать рекламу, что мешает точно также выкинуть из неё обращения к play integrity api?
Ну Integrity Api будет на системном уровне и тут спасут только сторонние прошивки и рутованые смарты, а условное приложение может через этот апи генерить какой то сессионный токен и валидировать его на каждый запрос на стороне сервера.
Примерно так сейчас работают банковские аппы, не прошедшее валидацию приложение просто не будет работать (если разработчики захотят и потратят на это время).
Судя по тому что написано это скорее про возможность серверу проверить что приложение валидное. Это для онлайн игр и приложений важно. Все что офлайн и крякнутое может работать как раньше
Все что офлайн и крякнутое может работать как раньше
Далеко не факт.
Гугля давно пытается анально огородить ведроид от возможности установки софта не из гуглплея. Пока ещё результат не очень, но попытки не прекращаются с каждой новой версией ведроида (может даже с каждым новым апдейтом приложения гуглплея и системы безопасности).
Возможно станет вопрос ребром: либо юзаешь сервисы гуглплея и завязаный на них софт, либо крутись как хочешь (типа хуавея со своими сервисами, заменяющими гугловскими).
Проверка подписи приложения на стороне сервера. С играми раньше всякие starforce, denuvo прикручивали, а теперь привязывают к онлайну. Также и тут могут поступить.
А если Гугл будет принимать запросы на удаления от разработчиков, то и офлайн приложения могут удалять. Например разработчик находит крякнутую версию приложение на 4pda, подает жалобу в playstore и Гуглы дают команду на удаление (или не запуск) приложения с устройства. Это конечно вообще дикий вариант, но возможно и такое. Как по мне правовая база для такого маневра уже есть, можно всегда на DMCA сослаться.
Удаление чужих файлов на чужих устройствах по воле гугла может квалифицироваться как порча информации. Кажется совсем незаконно
Так на вскидку со стороны пользователя это может казаться чем угодно, но если захотят применить DCMA, то будут правы во во всем. Там настолько недружелюбный акт к пользователям(просто пиз**ец), можно сказать что правообладатели занесли на все деньги, что бы пролоббировать этот ужас.
А на самом деле все идет к тому что халява заканчивается и счет выставляют на все. Пободаться конечно нужно с этими бизнесменами, но в конечном итоге многое что мы привыкли за бесплатно получать - канет в небытие. Если рассматриваться ситуацию в этой стране, то еще на торрентах поживем сколько там времени, но потом задавят свои же.
А в чем проблема? Приложения, которые раздают на 4пда и так обычно крякнутые, просто будут вырезать это апи.
Проблема в сервере, который откажется выполнять запросы от неподписанного приложения.
На самом деле, есть и «мирное» применение. Например, разным банкам хочется быть уверенными, что пользователи подключаются с оригинальных, а не взломанных приложений, чтобы потом банально меньше было проблем с украденными со счёта деньгами. И тут сервер банка вполне может проверить, что, во-первых, девайс не рутованный, а во-вторых, что приложение доверенное.
Подозреваю, что дело не только в "просьбе трудящихся"
Думаю, что Google тоже хотела сделать свой Play Market монопольным для Android (ну или как минимум вернуть долю рынка, т.к. на многих телефонах - привет китайцам - очень часто стоит сразу 2 магазина приложений: плей и ещё какой-нибудь от производителя). Но тут прошла новость, что Apple натянули в Евросоюзе за монополию заставили разрешить сторонние магазины и т.д. Да и сам Google, но уже в Америке, уже давно проверяют на вшивость.
И вот подозреваю, что Google прикинули писю к носу и решили, что вместо запрета сторонних магазинов, они сделают так, чтобы разработчики самих приложений внедряли такие ограничения.
Таким образом подавляющее большинство полезных приложений (которые обычно и качаются из Play Market большинством обычных пользователей) просто станет недоступна в других магазинах. А для всех остальных это будет под красивую песню о "конфиденциальности, борьбе с пиратством и демократии"
сделать свой Play Market монопольным для Android
Да только дебил бы не захотел бы такого, любая компания так хочет.
Я думал о такой возможности и пришел примерно к вашим выводам, чужими руками все легче, чем самим потом с еврокомиссией разгребать например.
Но все же на данном этапе пользователю это ни как не вредит и натянуть за намерения пока нельзя и это хорошо. Иначе мы бы уж сидели бы все за изнасилование, прибор то имеется.
Надо смотреть как они дальше идею реализовывать будут, в любом случае пока есть ЕС со своими бюрократами, тут им шибко не разгуляться. Погулять конечно могут на десяток другой миллиардов, но парни в комиссии могут и оборотный штраф влепить, для профилактики скажем так.
Беда в том, что такой закон даже не придумать (по крайней мере у меня не получается): "Запрещается позволять сторонним приложениям не разрешать себя устанавливать из неофициальных магазинов":
- конфиденциальность не нарушена (просто сказано - официальный магазин или нет)
- безопасность не нарушена (наоборот - всё официально, значит безопасно)
- монополизации нет (ты не заставляешь никого делать именно тебя официальным магазином, это они сами выбрали)
- привлечь разработчика тоже сложно (он принял решение публиковаться в конкретном магазине - его право)
Думаю именно в этом Google и нашли "лазейку".
подавляющее большинство полезных приложений (которые обычно и качаются из Play Market большинством обычных пользователей) просто станет недоступна в других магазинах
Разве в прочих магазинах вроде рустора или корейско-китайских приложения ворованные? Сами разрабы туда и добавляют. Значит, проверка из них вырезана будет. Значит, оттуда и поставим.
И вопрос, каким образом Гугл будет идентифицировать, что именно эту версию этого приложения надо проверять? Вот в этом месте, возможно, и слабое место - идентификатор можно будет подменить, например.
И вопрос, каким образом Гугл будет идентифицировать, что именно эту версию этого приложения надо проверять?
Приложения более ранних версий просто станут не поддерживаемыми.
Наверное, у меня своя специфика. Приложений, требующих постоянный доступ в сеть, ровно два (помимо банков и магазинов, которые ставятся из апсторов), и оба не очень нужны. Ещё два проверяют версию в момент загрузки. Всё остальное отлично работает офлайн старыми версиями.
Оффлайн приложения не получат особой выгоды от нового API. Он нужен для морд к сайтам, типа клиента для Reddit или Instagram, потому что они страдают от модификаций с расширенным функционалом и\или вырезанной рекламой. Используя API, такие приложения смогут ничего не отдавать левым клиентам. Только за этот год WhatsApp уже дважды выбивал мне заглушку "у вас устаревшее приложение, обновите".
/e/OS есть. В удобствах придется поужаться, но 99% потребностей покроет.
видимо в скором прийдётся устанавиливать на телефон обычные дистры linux.
Всё к этому идёт.
Если для разработчика приложения это единственный способ убедить пользователя скачать свое детище, значит он где-то свернул не туда.
Они видимо таким образом хотят бороться с установкой модифицированных приложений с различными "хаками"
Так, а как это поможет, лол? Google предоставляет api, позволяющее проверить приложению канал установки. А решение блокировать запуск или нет, на уровне приложения. Считай - DRM, проверающее установку. Абсолютно очевидно, что модам это не помешает, моддеры просто вырежут функционал проверки и все. Это как раз таки ограничит распространение официальных play store apk на сторонних ресурсах, каких не мало в сети.
На Reddit было обсуждение. Говорят, поможет:
If you hack the app, it can no longer send the integrity token because your package signature is bad, server rejects your requests and doesn't send back the requested information at all. It's not just "Are you allowed, Y/N" it's "The info you need to operate? If you're not legit I'm not providing you anything"
If you MITM the server, you can't forge the response to look legitimate, because it's signed. The MITM agent (ideally) can't fabricate the information needed, and it can't alter the outgoing request to appear to be something else
Also it's virtually impossible to forge because Integrity doesn't come from just an OS/library. It relies on a cryptoprocessor that interrogates the OS itself and ensures that the OS is the expected OS, then the OS in turn interrogates the app to ensure it's real. It's very very difficult to extract the keys from the cryptoprocessor, and if you could you wouldn't be hacking apps that use Play Integrity.
Решать будут, наверное, парсерами в обход API. Ну то есть брать полную "десктопную" страницу, выдирать из нее нужные данные и переоформлять в "мобильный" вид. Как какой-нибудь Grayjay.
А адепты теорий заговора говорили, что бесконечные криптопроцессоры и DRM в железе до добра не доведут. You don't need a conspiracy when interests converge.
По сути, это касается только веб приложений, которые без онлайна не работают и могут проверять целостность. Только вот в чем прикол, так то проверка целостности по цифровой подписи существует уже черт знает сколько лет, и это не мешает например существованию того же YouTube Revanced, поскольку Revanced это не мод на ориг приложение, а отдельное приложение использующее API YouTube, а для логина вообще используют открытую реализацию их Play Services. И вот ну че ты им сделаешь? Тут разве купить, как разраба оригинального Vanced, но это приведет ровно к тем же последствиям - появятся ещё 150 форков.
Я сам "адепт" подобных "теорий заговоров" поскольку сам категорически против настроен различных DRM, тем более аппаратных. Все эти крипто процессоры нужны далеко не для защиты пользователей. Вот крипто процессоры существует, защищённые области памяти тоже, хранилища ключей шифрования, но это как то не мешает властям одной страны (не буду говорить, сами догадаетесь) с помощью некого оборудования прозванного в узких кругах "фениксом" сливать абсолютно всю флеш память практически любых телефонов (и яблоки тоже, там только вроде некоторые модели самсунга нельзя). Дешифрованную уже. Вот и думайте, для кого эти "защиты")
а отдельное приложение использующее API YouTube
Закрыть доступ к API для мобильных приложений, как это (фактически) сделал Reddit или Twitter.
Судя потому, что они до сих пор не закрыли, это не так просто сделать и что-то очень сильно сломается.
Им просто не очень нужно, пока. Reddit и Twitter ограничили свои API одним днем, побухтели конечно, но никто никуда с подводной лодки не делся. Едва ли сервисы Google используют базовый API для общения друг с другом.
Никто никуда не делся говорите? Статистика fediverse говорит об обратном:
https://lemmy.fediverse.observer/stats&months=24
https://mastodon.fediverse.observer/stats&months=24
Хотя конечно ушли не все, но тот же Lemmy уже начинают на крупных ресурсах кпоминать.
Кстати двойной пример! Реддит запретил альт-клиенты, разработчики пошли следом и сделали подписку. А в итоге, спустя год, просто скачиваю старую версию альт-клиента без подписок и прекрасно работает Reddit.
Вот пожалуйста, без альт источника приложения, пришлось бы грызть кактус
А почему не будете говорить какой страны?
Тогда тот, кто делал хак, выпилит заодно из приложения и реакцию на установку не из маркета.
Или сделают патч, который будет делать так, как будто приложение ставилось из гуглплея (хотя вроде это и сейчас можно делать, правда только с рутом).
Да не, и без рута можно. Недавно пытался телефон скрестить с андроид авто. И выяснил попутно, что эта хрень работает только с софтом, который установлен из гуглплея. Тот же софт с ф-дроид уже не видит принципиально. Лечилось какой-то хитрой софтиной, которая при установке арк-а делает вид, что это он из плея.
Ну это больше для приложений которые авторы за деньги продают. А так какая разница откуда пользователь твое приложение поставил? Да не какой. Да и если в гугл плей проблем с приложением нет, то с него и будут его устанавливать.
Ну техники думаю проблему эту решат на раз два три.
Ну это больше для приложений которые авторы за деньги продают. А так какая разница откуда пользователь твое приложение поставил?
Если ты ставил приложение не из Google Play, чтобы в нем не было рекламы, то принципиальная.
Ну техники думаю проблему эту решат на раз два три.
Они сейчас решают схожую проблему с root только потому, что Google разрешает проходить упрощенную проверку, вместо строгой. Google нужно один флаг поменять, чтобы все это разом прикрыть.
Пока телефоны с бэйскик сейфити нет существует, работают. Но как только это все станет хламом без поддержки, а это будет скоро так как все устройства с android 9+ обязаны иметь аппаратный сейфитинет, да, работать перестанет. И самое главное, что способа обойти пока нет, может как прикроют, энтузиасты зашевелятся, но вряд-ли решение будет быстро и оно будет простым. Скорее всего там понадобится использовать что-то на подобии эмуляции для запуска зависимых от сейфити нет приложений в некой среде со всеми нужными условиями.
Если реклама встроена в приложение, то она хоть откуда его ставь будет. Некто не будет бесплатное приложение ковырять, чтобы оттуда рекламу убрать.
Я через Lucky всем бесплатным апам поставленным из маркета вырубаю рекламные активити, хотя благодаря adaway который патчит hosts, рекламы все равно нету, но с отрубленными активити ещё лучше
На 4pda зайдите посмотрите, чуть ли не на каждое бесплатное приложение есть мод без рекламы.
Давно существуют даже скрипты, которые отрубают или выковыривают рекламу из расакованого приложения в автоматическом режиме.
Плюс при наличии рута можно поубивать в уже установленом приложении с помощью специальных программ все мусорные активити, службы, ресиверы и провайдеры.
Никто не будет бесплатное приложение ковырять, чтобы оттуда рекламу убрать.
Так много лет ковыряют же.
Ясно, ну тогда у меня Волей Божьей нет рекламы в VK, Instagram, Twitter, Telegram и YouTube.
Пора делать нашу собственную ОС русскую
BolgenOS?
Так уже начали вроде.
Ну не считая Авроры (у неё поддерживаемы устройства по пальцам пересчитать можно): https://ru.wikipedia.org/wiki/Аврора_(операционная_система)
Вообще основная проблема - это закрытые дрова на железо у всех производителей, потому под ось и своё железо нужно будет. Ну или с китайскими производителями договариваться на счёт дров.
Аврора, имхо, не выйдет в паблик. Это ОС спецназначения - терминалы делать, кассы, тонкие клиенты, планшеты для руководства (где обрезано всё, кроме почты и браузера, но зато максимум безопасность), и так далее. Там в основе плюсы и qt - порог входа настолько высок, что собрать вменяемое сообщество под такое дело нереально. Ситуация как с ubuntu touch - красиво, кошерно, но магазин пуст - а юзать десктопные приложения на таче выглядит как изврат.
Это всё прекрасно, но даже помимо наших российских велосипедов, есть же ещё сторы от Huawei, Amazon, Samsung. Если разработчик хочет с помощью подобного механизма защититься - либо все они должны реализовать подобный механизм, либо разработчик вынужден будет отказаться от размещения во всех альтернативных сторах.
А в сторонних маркетах свои версии приложений кстати, не знаю у всех ли, но те, что юзал - у них свои пакеты. Да и установка через сторонний стор, это же тоже session based, и такая апа имеет больше возможностей в ведре, чем установленная из apk, даже через sai поставь - тел будет думать, что оно из какого-то стора. Т.е. правильный вариант - это включить все легальные маркеты в список валидных
разработчик который будет поддерживать данное апи будет уверен что его приложение доступно только в Гугл плее . Если кто-то увидит данное предупреждение, значит сборку нечестным способ туда загрузили , вот и всё
Если разработчик поддерживает данное апи , значит он обязан не выкладывать сборки в другие магазины
Гугл плеем мир не сошелся. У меня еще от самсунга родной магазин, что то с амазоновского, ну и конечно хуавей. С ними то как? или они тоже будут как будто "сторонние"? Про 4 пэдэа молчу, уверен для этой площадки эта проблема - вовсе и не проблема. Вырежут за компанию и рекламу и добавят средство от жадности.
Про 4 пэдэа молчу, уверен для этой площадки эта проблема - вовсе и не проблема. Вырежут за компанию и рекламу и добавят средство от жадности.
Буквально на днях на разных смартах перестал работать мод Huawei Health (который позволяет ставить циферблаты из файла, а не из хуавеевского магазина) и пока не совсем понятно, что стало причиной. смарты совершенно разные от разных вендоров. Может обновление гугловских сервисов или гуглплея, может ещё что.
А прикол мода в том, что в эту модификацию встроен модуль Xposed, который и патчит само приложение (apk которого остаётся без изменения, как я понял, и просто вместе с модулем запаковываются в ещё один apk).
Делается эта упаковка с помощью LSPatch (ну или одного из его форков): https://github.com/LSPosed/LSPatch
И система агрится либо на сам патч, либо на модуль. Хз. Приложение просто падает при попытке его запустить.
Свежий апдейт гугл плея ломает старый lsposed, возможно та же причина. Для lsposed уже есть патчи в форках (оригинальный автор забил).
Осталось дождаться апдейта LSPatch в таком случае (сам я его не соберу: не на чем, как минимум).
Хотя мне проще: у меня гугплей давно выключен на смарте и обновляться не сможет, пока я не разрешу (а я не разрешу).
Нашёл рабочий LSPatch вчера: https://github.com/JingMatrix/LSPatch/ .
Правда билд нужно самому собирать. Хорошо хоть main.yml рабочий в репозитории хранится.
Integrity API дает уверенность в том, что запросы на ваш бекенд отправляет именно ваше оригинальное приложение, а не какой-нибудь сторонний эмулятор или модифицированная версия.
Думаю основные сценарии это security, биометрия, финансы. Ну и игры - куда без них. Привязка к конкретному источнику установки и обновления это лишь один из элементов, необходимый в цепочке проверок.
Классический пример это система видео наблюдения. Вам на бекенде, куда приходит видеопоток, нужно быть уверенным в том, что данные действительно идут от конкретной камеры, а не допустим записи из заранее подготовленного файла, которую вам подсунули умельцы, разобравшись в нюансах протокола.
Ну да конечно, отсосамбу сделаете сами себе. Поставить кастом и все проблемы сразу решаться))
Количество смартфонов на которые можно поставить кастом сокращается ежегодно.
Если вендор позволяет анлокнуть бутлоадер и при этом смарт поддерживает Project Treble, то и выбор кастомов у него не слишком маленький будет (помимо всяких кастомов на основе дефолтных прошивок).
Project Treble поддерживается начиная где-то с появления устройств изначально на А8. Не помню точно, но уже лет 6 минимум. При этом на устройство может быть А9 последней официальной, а GSI-прошивку можно с А15 прошить при желании (вопрос её работоспособности - это отдельный вопрос)
Вот тема по таким прошивкам: https://4pda.to/forum/index.php?showtopic=892755
А вот страница на гитхабе с ссылками на такие прошивки: https://github.com/phhusson/treble_experimentations/wiki/Generic-System-Image-(GSI)-list
Я в прошлом году как раз попробовал свой Poco попрошивать такими прошивками (ну и решил, что прошивки основанные на AOSP и Lineage - не моё, когда есть кастомы на основе MIUI). Штук 5 - 6 точно попробовал разных.
Если вендор позволяет анлокнуть бутлоадер
Я вот себе купил ASUS, а оказалось, что кастомных прошивок на него кот наплакал. Так они еще и перестали разблокировать загрузчик до того, как я сподобился это сделать. Утилита для разблокировки стоит, а сервер разблокировать уже отказывается. Тю-тю.
(вопрос её работоспособности - это отдельный вопрос)
Да я бы не сказал. Зачем вообще брать в расчет неработоспособные прошивки?
требование скачать его из Google Play
А если приложения уберут из "вашего региона"? А если нет GP априори?
Как способ обхода, на ум приходит установка оригинального приложения и клона-модификации. Либо раздельно, либо вместе в одном файле. Запросы-ответы между модом и сервером проксируются через оригинал. Но это всё теория.
Лавры IPhone не дают покоя. Купил давно приложение для карт Oruxmaps в Google play, чтоб где нибудь в глуши ориентироваться. Так после того как Google запретил устанавливать даже ранее купленные приложения с Google play, установил сохранённую версию apk на этот же аккаунт, так при запуске приложения уже 2022 году показало предупреждение о том, что установлено не из Google play и только закрыть. Интернет был чтобы проверить привязку к аккаунту. Решил больше не пользоваться этим приложением так как где нибудь в глуши запустишь , а верификацию покупки или ещё чего не пройдёшь.
показало предупреждение о том, что установлено не из Google play и только закрыть.
Защита Google Play включена на смарте, что ли?
Не защита Google play, а само приложение Oruxmaps показало уведомление, что оно установлено не с Google play.
Тогда нужно ставить через приложения, которые имитируют установку из гугплея (подменяют сессию).
Ну или искать вылеченную версию.
На 4pda можно майскую 10.6.3 найти: https://4pda.to/forum/index.php?showtopic=158321
Это всё понятно, только как можно теперь доверять этому приложению если оно вдруг начнёт проверять лицензию или ещё что нибудь и откажется запускаться.
Не должно вылеченое проверять лицензию, пока гуглплей приложение не обновит (а он не обновит, потому что подписи у apk не совпадают).
Ну и по какой причине оно должно начать отказываться запускаться? Разве что гуглсервисы заблочат запуск приложений у которых подпись не совпадает с той, что в гуглплее.
Разработчики смогут блокировать Android-приложения, установленные из сторонних магазинов