Il sideloading su Android, l’installazione di applicazioni da fonti esterne a Google Play Store, è uno degli aspetti più delicati del sistema operativo di Google. Da anni se ne discute con il timore che Google possa eliminare la possibilità di installare app da store indipendenti, privando Android di uno dei suoi aspetti distintivi. Le ultime indiscrezioni in materia raccontavano di un approccio “ibrido”, con Google che vorrebbe mantenere la possibilità di installare app da fonti esterne, ma provando a dissuadere gli utenti dal farlo. Ora sappiamo nel dettaglio come funzionerà questo nuovo sistema.
Indice:
Segui TuttoAndroid su Google Discover
Offerte Amazon Prime Day, scopri quando!
Iscrivi ad Amazon Prime per poter approfittare delle offerte Prime Day, i primi 30 giorni sono gratis!
Il nuovo flusso di installazione
Google ha finalmente svelato come cambierà in concreto il processo di sideloading per le app provenienti da sviluppatori non verificati. Il nuovo “flusso avanzato” è pensato espressamente per gli utenti esperti, ma è stato progettato per essere lento e difficile da saltare. La novità principale è che è prevista un’attesa obbligatoria di 24 ore prima di poter procedere con l’installazione.
Il percorso si articola in sei passaggi. Prima di tutto occorre attivare manualmente le opzioni per sviluppatori, una scelta che richiede un’azione intenzionale da parte dell’utente. Android chiederà poi esplicitamente se qualcuno sta guidando l’utente nella disattivazione delle protezioni del dispositivo, una misura pensata come risposta diretta alle tecniche di truffa basate sulla manipolazione psicologica.
A quel punto il sistema richiede di riavviare il telefono, così da interrompere eventuali chiamate attive, connessioni remote o sessioni di condivisione dello schermo che i truffatori sfruttano per prendere il controllo del dispositivo. Solo dopo questi tre passaggi scatta l’attesa obbligatoria di un giorno, che Google definisce “periodo di attesa protettivo”.
Trascorse le 24 ore, sarà richiesta un’autenticazione biometrica o tramite PIN per confermare che sia davvero l’utente a voler procedere. Solo a questo punto sarà possibile installare l’app, con la possibilità di abilitare il sideloading per sette giorni o a tempo indeterminato. Nel primo caso, una volta avviato il flusso, si potranno installare tutte le app che si desidera da qualsiasi sviluppatore non verificato. Anche al termine del processo Android mostrerà comunque un avviso che segnala la provenienza da uno sviluppatore non verificato.
Perché Google sta facendo questa scelta
La motivazione dichiarata da Google è la sicurezza degli utenti. Android non è più la piattaforma di nicchia per appassionati che era un tempo. Nel corso degli anni è diventato il sistema operativo degli smartphone di miliardi di persone. Come ha dichiarato Sameer Samat, presidente della divisione Android Ecosystem di Google, la piattaforma deve restare aperta ma anche sicura. Il problema non è che gli avvisi adottati in precedenza non funzionassero, ma che in situazioni potenzialmente critiche (come durante una telefonata di truffa che simula un’emergenza), gli utenti tendono a ignorarli. L’attesa di 24 ore è pensata proprio per spezzare questo meccanismo, eliminando l’urgenza su cui fanno leva le truffe. Il riavvio obbligatorio del telefono interrompe invece l’eventuale sessione di controllo remoto del dispositivo.
Google ha anche riconosciuto che il periodo di attesa non serve solo a bloccare le truffe, ma tiene conto anche di ciò che gli utenti sono disposti a tollerare. La tempistica è stata scelta per risultare scomoda senza essere definitivamente scoraggiante.
Sicurezza o pretesto per un maggiore controllo?
Il nuovo flusso si inserisce nel più ampio progetto di Google di richiedere la verifica dell’identità a tutti gli sviluppatori che distribuiscono app su Android, sia attraverso Play Store sia tramite store di terze parti o sideloading. Il passaggio a questa nuova politica avverrà in modo graduale. A marzo il processo di verifica sarà esteso a tutti gli sviluppatori, mentre l’obbligo entrerà in vigore a settembre in Brasile, Indonesia, Singapore e Thailandia. La misura sarà poi applicata a livello globale dal 2027.
È prevista un’eccezione per i progetti a distribuzione limitata, come quelli studenteschi o amatoriali, che potranno essere condivisi con un massimo di 20 dispositivi senza dover completare il processo di verifica completo.
La vera questione riguarda però chi controllerà le identità degli sviluppatori e le chiavi di firma, con il rischio che Google finisca per diventare l’autorità centrale della distribuzione su Android anche al di fuori del Play Store, minando di fatto il modello degli store indipendenti.
Se l’attenzione alla sicurezza degli utenti è legittima, doverosa e auspicabile, resta l’incognita di quanto le soluzioni adottate per contrastare un problema finiscano per ridurre le libertà degli utenti e in questo caso uno dei tratti caratteristici e distintivi di Android.