O Google implementará um sistema “análogo ao blockchain” para verificar a autenticidade de aplicativos e módulos do Android.

Considerando a quantidade de informações pessoais que as pessoas modernas confiam a seus smartphones, um esforço considerável deve ser feito para garantir a segurança desses dados. Uma das melhores maneiras de fazer isso é instalar aplicativos apenas de fontes confiáveis, e o Google decidiu contar com o apoio da tecnologia blockchain para atingir esse objetivo.

Fonte da imagem: blog.google

Tradicionalmente, as tecnologias de assinatura digital têm sido usadas para verificar a autenticidade de softwares — elas são projetadas para garantir que os aplicativos se originem de uma fonte legítima. No entanto, isso não garante proteção completa: um invasor com acesso às chaves de assinatura ainda poderia, teoricamente, causar danos. Portanto, o Google decidiu usar a Transparência Binária, uma tecnologia de registro público semelhante ao blockchain.

A Transparência Binária estreou há alguns anos e tinha como objetivo confirmar a autenticidade das imagens de firmware para smartphones Google Pixel. A ideia é criar registros publicamente acessíveis das versões oficiais de firmware do Pixel, seguindo o modelo do blockchain. Ao inicializar, o smartphone verifica a assinatura digital do firmware e, com essa tecnologia, o usuário comum pode verificar por si mesmo se está usando a versão que o próprio Google certificou como oficial e não uma versão hackeada com uma porta dos fundos criada por um desenvolvedor malicioso.

Essa solução continuará sendo implementada e o Google decidiu adicionar dois componentes: Transparência Binária para os próprios aplicativos do Google e para módulos na versão principal do Android. Elas são atualizadas com mais frequência do que todo o firmware, e é igualmente importante que os usuários confiem nesses aplicativos. Como antes, existe um registro público baseado em blockchain onde o Google registra todas as atualizações oficiais de aplicativos e componentes do sistema. Uma vez que uma entrada é feita nesse registro, ela não pode ser desfeita, garantindo um histórico consistente de versões aprovadas pelo Google.

Somente as versões oficiais serão incluídas no registro. Isso é importante porque:Por exemplo, uma versão alfa de um aplicativo destinado ao uso interno pode ter assinatura digital como sendo desenvolvida pelo Google, mas conter vulnerabilidades exploráveis. Um invasor poderia tentar enganar um usuário desavisado para que instalasse esse aplicativo — mas agora é possível verificar se a versão foi aprovada e, portanto, não deve ser executada. O sistema atualizado entrou em operação em maio e, daqui para frente, o Google monitorará todos os aplicativos e componentes de sistema publicados oficialmente.