A Google megszünteti az F-Droid-hoz hasonló rendszerekből való alkalmazás telepítést Android-ra

F-Droid seeks solution to Google decree against open source apps

https://distrowatch.com/dwres.php?resource=showheadline&story=20066

( persicsb | 2025. 09. 30., k – 12:37 )

Majd megnézzük, mit szól hozzá az EU.

This change will start in a few select countries specifically impacted by these forms of fraudulent app scams, often from repeat perpetrators.

Most bezzeg jó, hogy van :D

 

Jó lenne Droid-ra valami community mód, hogy lemondunk a gugli szolgáltatásokról önként, de onnantól meg azt telepítünk, amit akarunk. Tudom, van erre külön ROM...

Színes vászon, színes vászon, fúj!

Kérem a Fiátot..

Ez ami itt le van írva, nem igaz. Mindenkinek regisztrálnia kell magát a Google-nél, különben a sideload nem fog működni, a runtime csak megfelelően a Google által digitálisan aláírt appot fog engedni telepíteni, semmi mást. Az aláírást megadják a náluk regisztrált fejlesztőknek és ennyi.

Ez a lényeg:

To make this process as streamlined as possible, we are building a new Android Developer Console just for developers who only distribute outside of Google Play, so they can easily complete their verification; get an early look at how it works.

A részletekre kattintva:

In August 2025, Google announced a new mandatory requirement for all Android developers who publish apps on certified Android devices to:

  • Verify their identity
  • Register their package names

Azaz ha te csak hobbista vagy, akkor is regisztrálnod kell a Google-nél, azonosítani kell magad náluk, regisztrálni a csomagneveidet, majd ezután készíthetsz olyan APK-kat, amiket a Google aláírása után sideload-dal telepíthetsz.
Nincs meg a "same freedom", ez baromság.

es ez mitol lesz openszo'sz-ellenes? :) regisztralt devektol annyi openszo'szt rakhatsz a production telo'dra, amennyit akarsz, olyan appszto'rbol, amibol csak szeretned.
minden masra ott a development platform.

aki meg tolja a malware-t production telokra, annak csak visszavonjak a kulcsat a 3.14-csaba es kesz.
persze, tudom en, hogy egyesek telibe se ... a securityt. :)

Ez azért nagyon rossz ötlet, mert az egyszeri felhasználó véletlenül törli az appot, akkor nincs mód visszarakni.

Plusz, neked valójával nem a Play Store mint appal van bajod, hanem a Play Services-sel. A Play Store csak egy interfész, ha azt letörlöd, még nem "függetlenedsz" teljesen a Google ökoszisztémától, mert pl a GMail, a Google Calendar, ezek működnek tovább. A Play Services azonban rendszerszintű csomag, eltávolítása nem javasolt, mert a fent sorolt alkalmazásokat eltöri, függőségkezelés viszont nincs az alkalmazás eltávolító eszközben megoldva.

Fejlesztőként, meg IT emberként értem az igényt, de nem ti vagytok a célcsoport, hanem a Pista bácsi, aki véletlenül berakja a My Computer ikont a kukába.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Elvileg a Google sok-sok éve vállalta azt, hogy a GAPPS - ugyan le nem törölhető, de- letiltható a "normálisabb gyártók" telefonjain (a nem normális gyártók a gagyi saját rendszerükben tapsztalatom alapján ezt is el tudják baszni). A Samun pl. simán, a Play services is. (Mondjuk tapasztom alapján ez kb. 98%-ban működik, nyilván a kötelezően beépített hátsó kapuk miatt nem 100%, de ez ugye nem lehetséges, hiszen az csúnya dolog lenne!!4!.

nem ti vagytok a célcsoport, hanem a Pista bácsi, aki véletlenül berakja a My Computer ikont a kukába

Csak meg lehetne oldani, hogy Pista bácsi ne bénázhasson kedve szerint, nem? A fejlesztői mód sincs alaphelyzetben engedélyezve, Pista bácsi magától nem is tud ilyenről, szóval lehetne olyan módszert kitalálni, ami tizenhatszor figyelmeztet, mielőtt olyat csinálsz, amiről nem tudod, hogy jó-e az neked. Szerintem sokakat bosszant, hogy vesz az ember egy telefont, és gyereknek nézik, nem konfigurálhatja kedvére, mert ez is tilos, az is tilos. 

pont ezt oldjak meg. te meg majd rootolod a kinai SoC-odat ahogy akarod. ezt hivjuk development rendszernek.
securityben olyan nincs, hogy igen is meg nem is. ha egy klikkel megkerulheto (a 16 X 1 is 1, csak sokszor kell iteralni... az, hogy innentol a dev mod 8X ranyomas helyett 10, az ebbol a szempontbol nem elorelepes), akkor azt a rootkit is meg fogja kerulni...

azt kene felfogni, hogy mara egy android mobil szemelyi igazolvany, bankkartya, csaladi fotoalbum... ilyen rendszeren jobb, hogy pistaba veletlen sem tud randomspyware-t az anonymous devtol kapni.
minden masra ott az adb install *.apk.

A random samsung teló certified lesz, tehát nem engedi az adb install-t, nem? Ha vesz egy random Samsung telót, unlockolja, esetleg akkor tudja telepíteni a saját maga apk-ját ha jól értem.

Az F-Droid pedig maga buildeli az appokat forráskódból ahogy egy Linux disztrónál szokás, azért probléma ez nekik. Nyilván nem zárja ki az opensource appokat, de az F-Droid modelljét ellehetetleníti.

miert ne engedne? az adb egy development tool, nem terjesztesz vele semmit.
unlockolja > nem kell unlock az adb-hez.
Az F-Droid pedig maga buildeli az appokat forráskódból > akkor be kell regelni es buildkor majd szepen alairja az appot. onnantol pedig o felel erte, hogy ne terjesszen malware-t. ennyi.

This creates crucial accountability, making it much harder for malicious actors to quickly distribute another harmful app after we take the first one down.

a fejlesztonek is kell tudnia tesztelni az apk-t, tehat telepiteni is kell tudja.

Ha az .apk nem a hozzá tartozó registered developer kulcsával van aláírva, akkor nem engedi az adb install-t egy certified device, nem?

Az F-droid kb 5000 appot build-del, ez kezelhetetlen így,  hogy a Google-nél egyesével be kell regisztrálni mindet. Valszeg nem is engedi a Google hogy ennyi appot regisztráljon be egy entitás.

A fejlesztő is csak sandboxba tudja tesztelni nulladik körben, legalábbis amíg nem regisztrálta be az appját.

nem latom a problemat. ha appot buildelsz es terjesztesz, ird ala. job's done. hogy ezt az f-driod hazon belul kivanja megoldani (es egyben ellenorizni az osszes appot amit alair) vagy ratestalja a fejlesztore... o dolga.
ez kezelhetetlen így > miert is? masok is megoldjak.
 

$ apt list|wc -l

76574

a fenti valtozas nem a fejlesztok fejlesztesenek ellehetetleniteserol szol, hanem a terjeszteskori beazonosithatosagrol. ha malware-t gyartasz, felelj erte.

Be kell regisztrálnod az appot a Google-nél, lesz hozzá egy kulcsod, majd azzal kell alárni az adott appot. És minden egyes appot külön be kell regisztrálnod, nem úgy van, hogy lesz egy kulcsod ami azonosít és azzal bármit aláírsz onnanstól. Az F-Droid eddig is aláírta a terjesztett appokat saját kulcsával, épp ez az, ami nem lesz elég a jövőben.

Az persze működne, hogy a fejlesztő buildeli a regisztrált appját majd felteszi F-Droidra. Egész addig, amíg a Google szemét nem szúrja valamiért az adott app.

nem latok olyat, hogy egy dev ne tudna akarhany appot regelni, de majd megmutatod hol van ilyen :)

Think of it like an ID check at the airport, which confirms a traveler's identity but is separate from the security screening of their bags; we will be confirming who the developer is, not reviewing the content of their app or where it came from.

Ahogy az sincs benne, hogy nincs korlát a regisztrálható appok számát tekintve, mivel ez csak rövid tájékoztató, nem egy szerződés. De egyébként az F-Droid modellje aláássa ezt az egész a Google törekvést, hiszen ha saját nevükben írnak alá, akkor épp azt rejtik el, hogy ki az igazi fejlesztője a kódnak és csak az látszana hogy honnan van – nyilvánvaló, hogy ezt nem fogja hagyni a Google, joggal tartanak tőle. A fenti példánál maradva, kb mintha a reptéri becsekkolásnál az irataid helyett egy meghatalmazást mutatnál fel miszerint valaki más nevében repülsz, az mindegy is, hogy te ki vagy.

Eltekintve ettől, eleve gond az F-Droidnak, hogy mi legyen az app ID-k sorsa:

... we [The F-Droid project] cannot “take over” the application identifiers for the open-source apps we distribute, as that would effectively seize exclusive distribution rights to those applications.

Ha nem változtatja meg az app identifiereket, akkor nem fogja tudni terjeszteni azt, amennyiben az igazi fejlesztő regisztrálja a csomagját mert pl Play-ben is terjeszti.

semmi. a szoftvert viszont andoidra telepitik. :) ahhoz meg eleg sok. user oldalrol ezzel 0 dolog van. ezt a szoftver keszitoje meg az f-droid kell megoldja.
amelyik fingo-app fejleszto nem tudja/akarja/whatever ezt megugrani, az majd kiesik a platformrol. ennyi. 

nem latom a problemat. ha appot buildelsz es terjesztesz, ird ala.

Nem ez a probléma. Hanem az, hogy csak és kizárólag a Google akarja megmondani az, hogy ki a megbízható, mindenkinek nála kell regisztrálnia, ráadásul minden appot egyesével. Pont az ilyenért büntették meg az Apple-t. Amúgy is, miért kéne tudnia az összes appról a Google-nek? Az Android egy nyílt platform, miért ne lehetne, hogy az Amazon felel mondjuk érte, ha Amazon Fire eszközt veszel? Vagy épp a Samsung felel érte stb. Miért kéne tudnia a Google-nek egy company-internal appról, amit MDM-mel telepítek az eszközökre? Ez meg fog szűnni.

szavatolhatja toluk az f-droid is, de akkor tegye ra a toket, hogy nem terjeszt malware-t... :) pont errol szol a valtoztatas.
Még a saját Play Store platformján sem tudja szűrni megfelelően

Think of it like an ID check at the airport, which confirms a traveler's identity but is separate from the security screening of their bags; we will be confirming who the developer is, not reviewing the content of their app or where it came from.

lasd ^ 

De miért kéne ehhez a Google-nél beregisztrálnia a fejlesztőknek? Miért nem elég az F-Droidnál? A jelenleg Google regisztrált fejlesztők is tolnak fel malware-t a Play Store-ba, havi többszáz megy át a nagyonszigorú és biztonságos Google ellenőrzésen most is. A Google jelenleg a saját Play Store-jában nem tudja jól szűrni a malware-t, miért gondoljuk azt, hogy ezt jobban fogja csinálni a jövőben?

mert valakinek meg kell tegye: o csinalja a platformot. szerinted hova kellene kiszerveznie a dolgot? :)
igy tudja kibaszni a malware-okado anonim developereket. (akik nem play sotre terjesztes eseten 50X annyi malware-t tudnak kiokadni...)
valassz mas platformot, akkor ott meg mas lesz a gore :)

Minden alkalmazásbolt a saját dolgaiért kell, hogy feleljen, a Googlenek semmi köze ahhoz, hogy a Tencent Appstore, a Galaxy Store, az F-Droid stb. kit engednek be. Viszont ebbe is bele akar pofázni a Google.

 

igy tudja kibaszni a malware-okado anonim developereket.

Jelenleg a saját store-jából sem tudja ezt megtenni megbízhatóan.

https://www.forbes.com/sites/alexvakulov/2025/02/02/google-plays-securi…

partners like the Developer’s Alliance have called this a “critical step” for ensuring “trust, accountability, and security” across the entire ecosystem.

ertem en, hogy nekik kene, de nem csinaljak - lasd 50X malware arany non-playsore iranybol, ahol meg mar most is ellenorizve van :)
az nem security, hogy kicsit engedem is meg nem is. :)

... mutasd mi nem igaz belole. a picsogasrol pedig ennyit:

for student and hobbyist developers: we know your needs are different from commercial developers, so we’re creating a separate type of Android Developer Console account for you.

mint mondtam google-nek nem erdeke a fejlesztok ellen menni. :) nekik az az erdekuk, hogy minel tobben fejlesszenek egy secure platformra. :) 

A platform nem lesz ettől biztonságosabb, a Play Store is tele van most is malware-rel, pedig ott aztán a Google kontrollál mindent.

Amíg a Google nem tudja a saját platformjáról azt mondani, hogy márpedig ott aztán minden ki van jól szűrve, addig ne akarjon hatóságot játszani, mert nem megy neki.

Alkalomadtán azért nézz utána az Android appok körüli security kérdéseknek, például mondjuk egy DexProtectorral védett alkalmazásról hogy mondod meg te (vagy a Google), hogy az malware-e, miközben már édesanyád lábméretét is hazaküldte, persze csak a te biztonságod érdekében.

De amúgy tök jól hangzik, hogy ötvenszer jobban szűr. Ennyi erővel a Githubot ne tiltsák be?

nincs betiltva a github.
visszakerdeznek: a nagyonhatalmas openszo'sz kernelfaba ugye barki barmikor ellenorzes nelkul kuldhet be kommitot? :) vagy azert ott is meg kell ugrani par lepest mire odaengednek? :)

hint: az open source nem egyenlo a barki barmit barmikorral... 

egy ertelmesebb selinux disztron se futtatsz akarmit. nem, meg roottal sem... :) (foleg nem roottal)

vagy mehetunk tovabb is: egy szekurbutos PC-n(/szerveren) hiaba make-eled az openszo'sz kerneled/es/vagy/drivered, nem fog elindulni, ha nincs alairva... :)

egy ilyen lepesnek egy normalisabb fejleszto csak orul, mert pl. igy nem lehet anonim modon teleszorni a droid telefonokat az ovehez megszolalasig hasonlito malware appokkal.

Hurrá, akkor tapsoljunk annak, hogy a google mindent is a maga felügyelete alá von, miközben hirdeti, hogy ő milyen open source barát. Mintha Google Playen még sose terjesztettek volna malwaret. Vagy hol az a hú de biztonságos Android, ahol úgyse látják egymást az appok? Egy multi kontrollmániájáról szól ez az egész.

Milyen fröcsögés? A szuper Android annyira secure, hogy a google csak az ő általa felügyelt platformról hajlandó megengedni, hogy bármit felrakjanak rá. Ez nem úgy tűnik, hogy nagyon bíznak a platform biztonságában. És az nem is lehet, hogy nem a biztonság miatt akarnak ilyen szintű kontrollt, hanem pl. azért, hogy az ilyen SmartTube és hasonló programokat lehetetlenítsék el?

Végül is tényleg lehet, hogy a biztonság miatt aggódnak - a saját végtelen anyagi biztonságuk miatt.

Szerk.: csak keress rá, hány malware volt elérhető GPlayen, és hány F-Droidon.

Szerk2.: 

https://www.bitdefender.com/en-us/blog/labs/malicious-google-play-apps-…

Researchers have discovered a large ad fraud campaign on Google Play Store.

The Satori Threat Intelligence and Research team found 224 malicious apps which were downloaded over 38 million times and generated up to 2.3 billion ad requests per day. They named the campaign “SlopAds.”

Ismételgesd: csak a google play ad erőt és mindent lebíró akaratot

( htmm v | 2025. 10. 01., sze – 10:04 )

Vegul is az EU az Applet is kotelezte, hogy engedelyezzek a sideloadingot. Biztos vagyok benne, hogy ha ezzel a Google megprobalkozik Europaban jelentos (es jogos) birsagot fog kapni elobb-utobb.

( EspOS | 2025. 10. 03., p – 18:00 )

Most akkor mivan? Letöltök netről egy apk-t, egy fájlkezekőből fel tudom tenni ha az ismeretlen forrás be van kapcsolva, vagy nem?

https://www.esp8266.org/