Google ha anunciado en su blog para desarrolladores una importante novedad. A partir de ahora, las aplicaciones podrán tener un «certificado de autenticidad» que nos de la garantía de que la aplicación que hemos descargado proviene de Google Play, y no de fuentes desconocidas.

Los metadatos y su importancia para la autenticidad

Cuando hablamos de seguridad en Android, una de las recomendaciones que más solemos hacer es la de descargar aplicaciones de fuentes en las que confiemos. Google Play es uno de esos lugares donde podemos verificar que las aplicaciones cumplan con un mínimo de fiabilidad al tratarse de la tienda oficial de Google. Precisamente en la gran G lo saben, y darán herramientas a los desarrolladores con una especie de «certificado de autenticidad»

Tal y como cuenta Google en su blog para desarrolladores, existen aún lugares donde Google Play no suele ser la principal fuente de aplicaciones. Precisamente hablan de países donde las conexiones a Internet no son lo suficientemente buenas y donde los usuarios instalan aplicaciones compartidas a través de archivos APKs.

Esto es en cierta medida peligroso, ya que alguien podría estar enviándote una aplicación que no sea original y que incluya malware, esa es la versión que nos da Google. Para evitar problemas, Google ha implementado una serie de medidas para certificar que una aplicación ha sido descargada en Google Play.

La medida principal es que a partir de ahora, las aplicaciones incluirán en su interior metadatos, los cuales funcionarán como una especie de firma digital, certificando que una aplicación que hemos descargado provenga de Google Play.

Por si te preguntas que es un metadato, se trata de información cuyo único propósito es identificar a un archivo. El ejemplo más sencillo está en los archivos de fotografía, donde gracias a los metadatos podemos saber la fecha, hora, o incluso ubicación donde ha sido tomada dicha imagen. Bajo esa misma premisa, pues los metadatos que añadirá Google servirán para certificar que el archivo APK que hemos descargado sea realmente de Google Play.

Los metadatos actuarían como una especie de firma digital

Lo mejor de esta característica es que no requiere que los desarrolladores tengan que implementar ninguna medida de seguridad. Al firmar el APK para su distribución estos metadatos serán añadidos a la aplicación.

Aún falta lo más importante, que volvamos a confiar en Google Play

Todas estas medidas están geniales, ya que a todos nos importa que nuestro móvil Android sea lo más seguro posible. Garantizar que una aplicación proviene de Google Play es una buena idea, pero aún falta trabajo por hacer, y es que para que esta medida tenga valor significa que debemos volver a confiar en Google Play.

En los últimos años la imagen de Google Play como lugar para obtener aplicaciones ha quedado en entredicho en innumerables ocasiones, por aplicaciones con malware que se encontraban dentro de la propia tienda de Google.

La reacción de Google llegó con Google Play Protect, un mecanismo de seguridad que verifica nuestro sistema de forma continua en búsqueda de aplicaciones maliciosas. Google presume de Inteligencia Artificial en la búsqueda de malware, pero aún queda mucho por hacer.