4 octubre 2024

Las aplicaciones de Android están bloqueando la instalación de fuentes externas y forzando el uso de versiones de Google Play

3 min read

Podrías instalar manualmente una aplicación de Android, o su paquete APK, si estás utilizando una versión personalizada de Android que no incluye la tienda de Google Play. Alternativamente, la aplicación podría estar en fase experimental, en desarrollo, o quizás ya no se mantenga ni se ofrezca por parte de su desarrollador. Hasta ahora, la existencia de APKs listos para instalar desde fuentes externas en la web parecía ser tolerada, aunque con advertencias, por Google.

Esta situación de aparente tolerancia está cambiando debido a una nueva función en la API de integridad de Google Play. Según ha informado Android Authority, las herramientas para desarrolladores que permiten mostrar diálogos de “remediación” durante la instalación desde fuentes externas, presentadas en la conferencia de Google I/O en mayo, han comenzado a aparecer en los teléfonos de los usuarios. Los usuarios que instalan aplicaciones fuera de Google Play, como las de la tienda británica Tesco, la aplicación de fans BeyBlade X o ChatGPT, han reportado la aparición de mensajes del tipo “Obtén esta aplicación desde Google Play”, los cuales no pueden ser eludidos. Un usuario de una consola de juegos con Android también encontró un mensaje similar al intentar instalar Diablo Immortal en su dispositivo hace tres meses.

La API de integridad de Google Play ha sido el método utilizado por las aplicaciones para bloquear el acceso cuando se cargan en teléfonos que han sido modificados de alguna manera respecto al sistema operativo original con todas las integraciones de Google Play intactas. Recientemente, una aplicación popular de autenticación de dos factores bloqueó el acceso en teléfonos con root, incluyendo el sistema operativo orientado a la seguridad, GrapheneOS. Las aplicaciones pueden hacer uso de la API de integridad de Google Play para recibir un “veredicto de integridad”, informando si el teléfono tiene un entorno de software “de confianza”, si Google Play Protect está habilitado y si pasa otros controles de software.

Graphene ha cuestionado la veracidad de la API de integridad de Google y del sistema SafetyNet Attestation, recomendando en su lugar el uso de la atestación estándar del hardware de Android. Rahman señala que las aplicaciones no tienen que adoptar un enfoque de todo o nada en la verificación de integridad. En lugar de bloquear la instalación por completo, las aplicaciones podrían utilizar la API solo durante acciones sensibles, emitiendo una advertencia en ese momento. Sin embargo, no tener una conexión con Google Play también puede privar a los desarrolladores de métricas, permitir la instalación en dispositivos incompatibles (y recibir reseñas negativas como resultado) y, por supuesto, abrir la puerta a la piratería de aplicaciones de pago.

En un vídeo de Google para desarrolladores sobre la “protección automática de la integridad” (en el minuto 12:24 en YouTube), se menciona que ciertas aplicaciones tienen acceso a esta protección automática. Esto añade una herramienta de verificación automática a tu aplicación y la versión “más fuerte de la protección contra alteraciones de Google Play”. “Si los usuarios obtienen tu aplicación protegida desde un canal de distribución no autorizado”, se lee en una diapositiva de la presentación, “se les pedirá que la obtengan desde Google Play”, disponible solo para “selectos socios de Google Play”.

El año pasado, Google introdujo el escaneo de malware para aplicaciones instaladas desde fuentes externas en el momento de la instalación. Tanto Google como Apple se han manifestado en contra de la legislación que ampliaría los derechos de instalación de fuentes externas para los propietarios de smartphones, citando preocupaciones sobre la seguridad y la fiabilidad. Los reguladores europeos obligaron a Apple a principios de este año a permitir la instalación de aplicaciones desde fuentes externas y tiendas de aplicaciones, aunque con tarifas y restricciones geográficas.