Android डेवलपर सत्यापन: Early Access शुरू

 (android-developers.googleblog.com)
3 पॉइंट द्वारा GN⁺ 2025-11-14 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Android डेवलपर सत्यापन कार्यक्रम अब औपचारिक रूप से शुरू किया जा रहा है, और Play के बाहर ऐप वितरित करने वाले डेवलपर्स के लिए Early Access program शुरू हो गया है
  • यह कार्यक्रम फ्रॉड और मालवेयर के प्रसार को रोकने के लिए एक अतिरिक्त सुरक्षा परत के रूप में काम करता है, और डेवलपर्स के असल पहचान-आधारित सत्यापन की मांग करता है ताकि हमलावरों की गतिविधि की लागत बढ़े
  • स्टूडेंट और हॉबी डेवलपर्स के लिए अकाउंट टाइप नया जोड़ा गया है, जिससे सीमित संख्या के डिवाइसों पर ऐप वितरित करने के लिए आसान सत्यापन प्रक्रिया मिलेगी
  • एडवांस्ड यूज़र्स के लिए इंस्टॉलेशन फ्लो भी विकसित किया जा रहा है, जिसमें यूज़र जोखिम को समझते हुए गैर-सत्यापित ऐप इंस्टॉल करने का विकल्प खुद चुन सकेंगे
  • Google कम्युनिटी फ़ीडबैक को शामिल करते हुए सत्यापन प्रक्रिया को बेहतर बना रहा है, और Android ecosystem की सुरक्षा और accessibility के बीच संतुलन बनाए रखने की दिशा में काम कर रहा है

Android डेवलपर सत्यापन कार्यक्रम का उद्देश्य

  • नई डेवलपर सत्यापन आवश्यकताएँ Android यूज़र्स की सुरक्षा के लिए एक अतिरिक्त रक्षा परत के रूप में डिज़ाइन की गई हैं
    • Google का लक्ष्य अलग-अलग प्रकार के यूज़र्स को ध्यान में रखते हुए संतुलित सुरक्षा दृष्टिकोण अपनाना है
    • शुरुआती घोषणा के बाद स्टूडेंट्स, हॉबी डेवलपर्स और एडवांस्ड यूज़र्स सहित विभिन्न समूहों से फ़ीडबैक इकट्ठा किया गया
  • फ्रॉड और डिजिटल स्कैम की रोकथाम लंबे समय से Android सुरक्षा का एक मुख्य मुद्दा रहा है
    • यह Google Messages के scam detection, Google Play Protect, और real-time spam call alerts जैसी मौजूदा सुविधाओं से जुड़ा है
  • हाल के समय में ऑनलाइन स्कैम और मालवेयर कैंपेन और अधिक आक्रामक हो गए हैं
    • खासकर उन क्षेत्रों में जहाँ डिजिटलीकरण तेज़ी से बढ़ रहा है, वहाँ इसका असर अधिक गंभीर है

सत्यापन की आवश्यकता और वास्तविक उदाहरण

  • केवल तकनीकी सुरक्षा उपायों से सभी social engineering हमलों को रोकना मुश्किल है
    • हमलावर यूज़र्स को सुरक्षा चेतावनियाँ अनदेखी करने के लिए मजबूर करने वाली उच्च-दबाव social engineering तकनीकों का उपयोग करते हैं
  • दक्षिण-पूर्व एशिया में देखे गए एक मामले में, हमलावर पीड़ित को यह कहकर धोखा देते थे कि उसका बैंक अकाउंट हैक हो गया है
    और उसे ‘verification app’ इंस्टॉल करने के लिए उकसाते थे, जबकि वास्तव में वह 2-step verification codes चुराने वाला मालवेयर होता था
  • अगर सत्यापन प्रक्रिया न हो, तो हमलावर तुरंत नया दुर्भावनापूर्ण ऐप बनाकर वितरित कर सकते हैं
    • डेवलपर की असली पहचान का सत्यापन दुर्भावनापूर्ण तत्वों की गतिविधि की लागत बढ़ाता है और हमलों के फैलाव को कठिन बनाता है
    • Google Play पर यह तरीका पहले ही प्रभावी साबित हो चुका है, और अब इसे पूरे Android ecosystem में विस्तारित किया जा रहा है

स्टूडेंट और हॉबी डेवलपर्स के लिए समर्थन

  • कुछ डेवलपर्स को चिंता थी कि परिवार या दोस्तों जैसे छोटे समूह के लिए ऐप वितरण करते समय प्रवेश बाधाएँ बढ़ जाएँगी
  • इसी को ध्यान में रखते हुए स्टूडेंट और हॉबी डेवलपर्स के लिए विशेष अकाउंट टाइप लाया गया है
    • इस अकाउंट से सीमित संख्या के डिवाइसों पर ऐप वितरित किए जा सकेंगे, और पूरी सत्यापन प्रक्रिया से नहीं गुजरना पड़ेगा

एडवांस्ड यूज़र्स के लिए अधिक नियंत्रण

  • ऐसे अनुभवी यूज़र्स जो सुरक्षा जोखिम स्वीकार करने को तैयार हों, उनके लिए नया इंस्टॉलेशन फ्लो विकसित किया जा रहा है
    • गैर-सत्यापित ऐप इंस्टॉल करते समय यूज़र को जोखिम स्पष्ट रूप से समझाने के लिए warning messages दिखाए जाएँगे
    • इसे दबाव या स्कैम की स्थिति में भी आसानी से बायपास न किया जा सके, इस तरह डिज़ाइन किया जा रहा है
    • अभी इसके डिज़ाइन पर शुरुआती फ़ीडबैक लिया जा रहा है, और आगे चलकर अधिक जानकारी साझा की जाएगी

Early Access program शुरू

  • Play के बाहर ऐप वितरित करने वाले डेवलपर्स के लिए Android Developer Console में डेवलपर सत्यापन Early Access के निमंत्रण भेजे जाने शुरू हो गए हैं
    • Play Console के लिए निमंत्रण बाद में दिए जाएँगे
  • नए console experience का डेमो वीडियो और guide व FAQ documents भी जारी किए गए हैं
  • Google डेवलपर फ़ीडबैक को शामिल करते हुए सत्यापन अनुभव को सरल बनाने और सुरक्षित ecosystem के निर्माण को आगे बढ़ाने पर काम जारी रखे हुए है

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2025-11-14
Hacker News की राय

  • मैं Google की मंज़ूरी के बिना भी F-Droid जैसे वैकल्पिक app store से apps install करना और auto-update पाना चाहता हूँ
    adb से manually install करना allowed होना चाहिए, लेकिन वह काफ़ी नहीं है
    मुझे लगता है कि Google का “user protection” असल में ad revenue control के लिए है। उदाहरण के लिए, SimpleMobileTools घटना में app बिकने के बाद नए मालिक ने users के लिए हानिकारक updates force करके push कर दिए थे
    वहीं F-Droid ने ऐसे versions block किए और open source fork Fossify Apps की सिफारिश की (संबंधित टिप्पणी)

    • आख़िरकार असली मुद्दा control है। platform और access को control करो, तो दुनिया पर राज कर सकते हो
      हमें अगली पीढ़ी को FOSS सिखाना चाहिए। बचपन में सीखी आदतें जीवन भर रहती हैं। developers को स्कूलों में ऐसे विषयों पर talks देने के लिए volunteer करना चाहिए
    • auto-update allow करते हुए साथ ही malicious developer handover को रोकना विरोधाभासी है
      Google हो या F-Droid, दोनों के लिए यह detect करना मुश्किल है कि developer ने account और key किसी और को सौंप दिए हैं या नहीं
    • “users को safe रखना top priority है” — मैं Big Brother से protected नहीं होना चाहता
    • अगर auto-update default रूप से disabled होता, तो SimpleMobileTools जैसी समस्या नहीं होती
      फ़ैसला user को करना चाहिए। मैं सभी apps की internet access default रूप से block करता हूँ।
      आख़िरकार Android खुद एक surveillance business कंपनी द्वारा बनाया गया user-hostile OS है
    • मज़ेदार बात यह है कि macOS पर Google Drive install करने के लिए .pkg file सीधे download करनी पड़ती है
      वह Apple Store में भी नहीं है, तो Android पर इसे क्यों रोका जाता है? क्या यह double standard नहीं है?

  • Google ने यह policy announce करते समय शुरू से ही इशारा किया था कि कुछ देशों में यह सरकार के दबाव की वजह से है
    official blog post के अनुसार यह Brazil, Indonesia, Singapore और Thailand में लागू होगा
    जब सरकारें scam apps की समस्या के लिए Google को ज़िम्मेदार ठहराती हैं, तो non-technical users के लिए “unverified apps” आसानी से install करने का तरीका मौजूद नहीं रह सकता
    लेकिन बहुत से लोगों के लिए यह तरीका बुनियादी रूप से अस्वीकार्य है

    • मुझे सरकार के दबाव वाला दावा विश्वसनीय नहीं लगता। असली समस्या यह संरचना है कि apps private data तक पहुँच सकते हैं
      Google ने privacy-violating business model बनाए रखने के लिए यह जटिल control system बनाया है
      अंततः यह “धीरे-धीरे मेंढक उबालने” की तरह sideloading ban को जायज़ ठहराने की प्रक्रिया है
    • Google YouTube ReVanced जैसे apps को ख़त्म करना चाहता है
      yt-dlp block case से भी यह साफ़ है
    • यह सरकार का दबाव कम और Google की अगुवाई वाली policy ज़्यादा लगती है
      सरकार और कंपनियों का कानूनी प्रक्रिया से बचकर power केंद्रीकृत करना अलोकतांत्रिक व्यवहार है
    • मैंने hardware खरीदा है, इसलिए उसे modify और repair करने का natural right मेरा है
    • “unverified apps” को रोकना tragedy of the commons जैसा है
      scam रोकने के लिए user education और जानकारी देना भी साथ होना चाहिए

  • “sideloading” शब्द ही अपने आप में समस्या है
    system द्वारा supported तरीके से code चलाना बस सामान्य execution है
    ऐसे शब्द लोगों की समझ को विकृत करते हैं

    • शब्द को हटाया नहीं जा सकता, इसलिए उसे redefine करना चाहिए। हम भी अभी Hacker News पर “sideloaded browser” से लिख रहे हैं
    • मैं बस f-droid से apps install करता हूँ, “sideload” नहीं करता
    • मेरे लिए sideloading का मतलब physical तौर पर बगल वाले device से apk लाना था
    • यह term 2006 से इस्तेमाल हो रही है। CNET book link

  • Google की नई policy में “student/hobby developer only account” आएगा, लेकिन असल में यह scale limit लगाने जैसा है
    अगर तर्क यह है कि छोटे apps ज़्यादा risky हैं, तो यह बात मेल नहीं खाती

    • अगले section में “advanced flow for power users” ही असली बात है
      unverified app installation की अनुमति होगी, लेकिन risk user को लेना होगा
    • लेकिन फिर यह क्यों नहीं allow किया जाता कि मैं OS से बस कह दूँ “मैं risk समझता हूँ”?
    • अगर कम installs वाले apps risky हैं, तो small-scale distribution को आसान बनाना विरोधाभासी है

  • Google की policy change के बाद मैंने F-Droid install करके देखा
    security उम्मीद से बेहतर थी। हर app के लिए “allow installing other apps” अलग से enable करना पड़ता है
    NewPipe install करने के बाद system-level sideloading बंद कर देने पर भी वह ठीक काम करता है
    यानी indiscriminate app installation risk बढ़ा-चढ़ाकर बताया गया है
    Play Store में भी बहुत malware है, इसलिए Google की नई policy आख़िरकार सिर्फ़ control को मज़बूत करने जैसी लगती है

  • Google कह रहा है कि वह “power users के लिए advanced flow” बनाएगा,
    तो अच्छा होगा अगर वह एक बार की setting हो। लेकिन डर है कि कहीं Apple के macOS की तरह उसे झंझटभरा न बना दे

    • “sideloading” शब्द का negative nuance है, इसलिए नई terminology चाहिए
    • एक बार enable की जा सकने वाली cooldown period रखने का क्या विचार है?
    • क्या यह flow unsigned binaries भी allow करेगा, यह जानना दिलचस्प होगा
    • असली मुद्दा यह है कि power users को adult की तरह treat किया जाता है या नहीं

  • मौजूदा तरीका दोनों पक्षों के लिए सबसे ख़राब है
    malicious apk अब भी फैल सकते हैं, और scale बढ़ने पर verification चाहिए होगा
    बेहतर होता अगर Google developer verification मांगे, लेकिन F-Droid जैसे third-party stores को allow करे
    इससे users को ख़ुद किसी malicious website से apk download नहीं करना पड़ेगा
    लेकिन ऐसे balanced solution पर चर्चा नहीं हो रही, सिर्फ़ भावनात्मक प्रतिक्रिया दिख रही है

    • वास्तव में दो बदलाव हैं
      1. student/hobby developers के लिए verification
      2. power users के लिए advanced flow
        दूसरा वाला F-Droid को support करने जितना मज़बूत होगा या नहीं, यह अभी साफ़ नहीं है
    • मैं अपने device पर apps बनाते समय internet connection के बिना भी आज़ादी चाहता हूँ
    • जिस phone का मालिक मैं हूँ, उस पर app install करने के लिए मुझे किसी store की ज़रूरत क्यों हो?
    • F-Droid install count tracking से इनकार करता है। क्योंकि वह privacy-invasive है
      अगर Google app store को verify करेगा, तो वह एक और तरह की gatekeeping होगी

  • Google कहता है कि “user protection top priority है”, लेकिन असल में वह account security या notification control जैसी समस्याओं को छोड़ देता है
    अगर malicious app notifications intercept कर सकता है, तो इसका मतलब sandbox कमज़ोर है
    आख़िरकार Google की संरचना central control के ज़रिए बाद में रोकने वाली है
    असली समस्या isolation failure और patch delay है

    • ऐसी बातें उल्टे security architecture की कमज़ोरी दिखाती हैं
      सिर्फ़ उन apps के लिए अलग verification काफ़ी होना चाहिए जिन्हें sensitive permissions चाहिए
    • corporate language हमेशा एक जैसी होती है। मौत, tax, और corporate doublespeak
    • उनकी top priority monetization है
    • असल में मकसद YouTube ReVanced या uBlock Origin जैसे apps को रोकना है
    • बेशक, यह सच है कि Google security पर भारी निवेश करता है। लेकिन ठोस सुधार ज़रूरी हैं

  • “allow” शब्द ही समस्या का केंद्र है
    जिस device के लिए मैंने पैसे दिए, उस पर Google क्या allow करेगा — यह बात ही बेतुकी है
    इसलिए मैं GrapheneOS पर जाने की तैयारी कर रहा हूँ। जैसे ही जनमत शांत होगा, Google फिर से locking policy कड़ी करेगा
    अब de-Googling ज़रूरी लगता है

    • मैं भी Google services कम कर रहा हूँ। Drive और Photos का data migrate कर रहा हूँ
      email भी ख़ुद manage करना चाहता हूँ। Google ने spam filter बिगाड़ दिया है और कीमत भी बढ़ा दी है
      AI features को जबरन bundle करके fee बढ़ाई गई, लेकिन मुझे वह नहीं चाहिए
      मैं postmarketOS या GrapheneOS test करने वाला हूँ
      YouTube की AI dubbing feature भी इतनी असहज लगती है कि मैं alternatives ढूंढ रहा हूँ
    • UbuntuTouch भी विचार करने लायक है। यह Android apk भी चला सकता है

  • Google ने announce किया है कि वह mandatory verification process को नरम कर रहा है
    कहा गया है कि वह ऐसा “advanced flow” बना रहा है जिससे power users risk स्वीकार करके unverified apps install कर सकें

    • लेकिन sideloading प्रक्रिया पहले से ही जटिल है, इसलिए डर है कि कहीं यह और सख़्त न हो जाए
      फिर भी अगर पूरी तरह block नहीं किया गया, तो सतर्क आशावाद रखा जा सकता है
    • अगर सच में safety top priority होती, तो ऐसा flow शुरू से ही बनाया गया होता
      फिर भी यह बदलाव सकारात्मक संकेत लगता है
    • लेकिन यह सिर्फ़ user side की बात है,
      developer को अभी भी third-party store या website पर app distribute करने के लिए verification process से गुज़रना होगा