Negli ultimi mesi, molti utenti si sono chiesti perché VLC per Android non ricevesse più aggiornamenti attraverso il Google Play Store. La risposta alla domanda è più complessa di quanto possa sembrare.
Uno dei principali motivi di questa situazione è legato alle politiche di distribuzione aggiornate da Google per quanto riguarda il suo Play Store. Da quando è stata introdotta la firma digitale delle applicazioni Android, è diventato fondamentale garantire che ogni aggiornamento di un’app fosse autentico e sicuro. Tuttavia, con l’introduzione del formato App Bundle da parte di Google, il processo di distribuzione è cambiato radicalmente.
L’azienda di Mountain View ha presentato gli App Bundle come una soluzione per ottimizzare lo spazio di archiviazione e migliorare l’esperienza di installazione delle app sui dispositivi Android. Tuttavia, questa novità ha introdotto nuove sfide per gli sviluppatori, specialmente per quanto riguarda la gestione delle chiavi di firma.
Il processo di firma dei file APK
Fin dalle prime versioni di Android, ogni app deve essere firmata digitalmente per garantire la sua autenticità e integrità. Il processo richiede l’utilizzo di una chiave privata, con la quale è firmato digitalmente il file APK (Android Package) contenente l’applicazione. La chiave privata è strettamente legata allo sviluppatore e garantisce che l’APK non sia alterato o manomesso dopo l’apposizione della firma.
Al rilascio di un aggiornamento per un’applicazione Android, è essenziale che la nuova versione sia firmata con la stessa chiave privata utilizzata per la versione precedente. Questo assicura che l’aggiornamento possa essere installato correttamente sui dispositivi in cui è già presente la versione precedente dell’app. Se la firma della nuova versione non corrisponde a quella della versione installata, Android rifiuterà l’aggiornamento.
L’introduzione del formato App Bundle
Prima dell’introduzione del formato App Bundle, gli sviluppatori potevano controllare direttamente il processo di firma delle loro applicazioni.
L’App Bundle è un file compresso che contiene tutto ciò che serve per il funzionamento dell’app, ma che non può essere installato così com’è. Per installarlo, deve essere convertito in APK.
L’obiettivo è riuscire a generare file APK diversi a seconda delle funzionalità specifiche del dispositivo, a partire dallo stesso App Bundle. L’installazione utilizza quindi meno spazio di archiviazione rispetto a prima poiché il file APK finale ospita solo le parti effettivamente necessarie.
Tuttavia, con l’adozione degli App Bundle, Google ha assunto il compito di firmare le app per conto degli sviluppatori. Gli autori di VLC sottolineano di non gradire la condivisione delle chiavi di firma con Google perché a loro avviso dovrebbero restare sempre e comunque nelle mani degli sviluppatori.
Inoltre, Google ha reso obbligatorio l’utilizzo degli App Bundle per tutte le nuove app e per le app compatibili con Android TV. La decisione ha avuto un impatto significativo su VLC per Android, poiché il software include funzionalità specifiche per Android TV.
VLC per Android non è più aggiornato sul Play Store: la posizione ufficiale
Gli sviluppatori di VLC hanno cercato diverse alternative per affrontare la situazione. Tra le varie opzioni messe al vaglio, la rimozione del supporto per Android TV o la distribuzione esclusiva attraverso gli App Bundle.
Come spiegato in quest’analisi, gli sviluppatori di VLC hanno concluso che attualmente non esiste una soluzione soddisfacente per mantenere il supporto per Android TV su tutte le versioni di Android. Di conseguenza, il software non è stato aggiornato per diversi mesi.
“Inviare a Google la nostra chiave di firma privata è un’operazione vietata. Questa è la prima regola di sicurezza: la chiave privata deve rimanere… privata“, osservano gli sviluppatori di VLC. “Il Play Store non è l’unico ecosistema che utilizza gli APK. Forniamo VLC per Android anche tramite altri mezzi (il nostro sito Web, Amazon AppStore, Huawei App Gallery): fornire la nostra chiave a Google comprometterebbe l’intero flusso di lavoro di rilascio“.
Credit immagine in apertura: immagine di Tom Bigelajzen tratta da VideoLAN Goodies.