Nel corso degli anni Google Play Protect si è affermato come una delle soluzioni più efficaci per proteggere i dispositivi Android da app malevole e tentativi di phishing, tuttavia, l’evoluzione del web e l’adozione crescente delle Progressive Web App (PWA) hanno aperto nuovi scenari, non sempre esenti da rischi.
Nelle ultime ore, l’analisi del codice della versione v46.9.20-31 del Google Play Store ha rivelato indizi interessanti su una possibile novità, destinata a rafforzare ulteriormente la sicurezza degli utenti Android.
Segui Google Italia su Telegram, ricevi news e offerte per primo
Le PWA sotto la lente di ingrandimento di Google Play Protect
Come molti di voi sapranno, le Progressive Web App sono applicazioni web che possono essere installate sul dispositivo mobile direttamente dal browser, attraverso il classico pulsante Aggiungi alla schermata Home; in alcuni casi, soprattutto utilizzando Chrome, l’installazione genera un WebAPK, cioè un pacchetto che integra la PWA in modo più profondo all’interno di Android, rendendola quasi indistinguibile da un’app nativa.
Secondo quanto emerso dall’analisi del codice della versione già menzionata del Play Store, Google sarebbe al lavoro su una funzione specifica per scansionare le PWA e i WebAPK durante l’installazione, alla ricerca di eventuali comportamenti sospetti o dannosi; nel dettaglio è stato individuato il seguente flag:
PlayProtect__enable_gpp_install_verification_for_pwa
Una dicitura piuttosto esplicita, che lascerebbe pochi dubbi sulle intenzioni del’azienda di estendere la protezione di Play Protect anche alle applicazioni web.
La ragione di questa scelta potrebbe risiedere nella crescente diffusione di tentativi di phishing e furto di dati messi in atto proprio tramite PWA e WebAPK, si tratta di un vettore di attacco che fino a oggi è rimasto in gran parte escluso dai controlli sistematici di Play Protect, dal momento che le PWA non passano attraverso la tradizionale pubblicazione sul Play Store. In altre parole, chiunque può realizzare una PWA e farla installare agli utenti senza particolari barriere di sicurezza.
Google non ha ancora chiarito quali modalità adotterebbe per verificare l’affidabilità delle PWA, è noto che Play Protect utilizza un ampio database per confrontare le app Android e rilevare manomissioni, malware o altre minacce, ma costruire un archivio altrettanto dettagliato per l’universo PWA appare, al momento, un’operazione decisamente più complessa.
Sebbene il codice identificato faccia pensare a un’implementazione ormai in fase avanzata di sviluppo, la funzionalità non è ancora attiva e potrebbe anche non essere rilasciata pubblicamente; restano infatti numerosi aspetti da chiarire, come verrà gestito il processo di scansione delle PWA? Quali criteri verranno utilizzati per stabilire la pericolosità di un WebAPK? Come sarà garantito il bilanciamento tra sicurezza e libertà di installazione delle applicazioni web?
D’altra parte, l’interesse crescente di Google verso questo tema lascia intendere che l’azienda stia lavorando per colmare una lacuna sempre più evidente nella strategia di protezione degli utenti Android.
Al momento non ci sono comunicazioni ufficiali né tempistiche certe sull’arrivo di questa novità, tuttavia se la funzione dovesse vedere la luce potrebbe rappresentare un passo decisivo per rendere Android ancora più sicuro contro le minacce che si nascondono dietro le PWA e i WebAPK.
- Google mostra l’efficacia di Play Protect e annuncia nuove misure contro le app dannose
- IconAds ha infettato oltre 350 app nel Google Play Store che dovreste cancellare
- Sul Play Store arrivano il “nuovo” selettore dell’account e le notifiche di avanzamento
- Per acquistare un’app sul Google Play Store ora basta un semplice swipe