Sideload APK: cos'è e perché Google vuole combatterlo su Android

Android, diversamente rispetto alla “concorrenza”, è sempre stato un sistema operativo per i dispositivi mobili piuttosto aperto. Il progetto AOSP (Android Open Source Project), che funge da base per le personalizzazioni di tanti produttori e di un numero incalcolabile di ROM di terze parti, ne è la conferma. Da qualche tempo a questa parte, tuttavia, qualcosa comincia a scricchiolare. Un’ulteriore conferma sembra arrivare dalla decisione di bloccare il sideload APK, ossia la possibilità di installare app Android anche da fonti non ufficiali.

Cos’è il sideload su Android e a cosa serve

Il sideloading su Android si riferisce al processo di installazione di applicazioni non provenienti dal Google Play Store. Il metodo consente agli utenti di installare app che potrebbero non essere disponibili nel marketplace ufficiale, consentendo maggiore libertà e accesso a software alternativi.

Il pacchetto APK (Android Package Kit) è il formato di file abitualmente utilizzato per distribuire e installare applicazioni sui dispositivi Android. Contiene tutti i componenti necessari per eseguire un’applicazione. Con il sideload, il caricamento e l’installazione di un’app avvengono direttamente dall’APK, previo download del file da siti Web o da altre sorgenti.

Prima di procedere con il sideloading, è necessario abilitare l’opzione “Origini sconosciute” nelle impostazioni di sicurezza del dispositivo. In questo modo è possibile l’installazione di app da fonti diverse dal Play Store.

Ovviamente, la procedura di sideloading avviene sotto la totale responsabilità dell’utente. Installare APK da fonti non verificate può esporre il dispositivo a malware e virus, soprattutto se non si effettua un’analisi puntuale del contenuto dell’APK.

In molti casi, però, questa pratica risulta particolarmente apprezzabile perché consente di accedere ad applicazioni indisponibili sul Play Store oppure non installabili nella regione geografica in cui si trova o sul dispositivo che si possiede. È possibile ricorrere al sideloading anche su Google TV, non soltanto su smartphone e tablet Android.

Schermata di blocco per il sideloading su Android: ecco perché

Google ha storicamente tollerato il sideloading, anche perché è sempre stato uno dei capisaldi di Android. Una delle bandiere poste per sottolineare l’apertura della piattaforma e le libertà delle quali può godere, se vuole, ciascun utente.

Le ultime versioni delle Google Play Integrity API, tuttavia, stanno portando sui terminali degli utenti un’importante novità. Che non sarà certamente apprezzata da tutti.

Gli sviluppatori partner di Google possono disporre la visualizzazione di una schermata di blocco nel momento in cui un utente provasse ad aprire un’applicazione caricata sul suo terminale con la tecnica del sideloading.

“Per continuare a usare [nome applicazioni] scaricala da Google Play“: è questa l’esortazione che apparirà al tentativo di eseguire molte app precedentemente sottoposte a sideload. In pratica, su istanza dello sviluppatore, il sistema operativo blocca l’utente e lo esorta al download dell’app tramite Google Play Store. La schermata di blocco non può essere in alcun modo scavalcata.

Google, insomma, sembra voler corteggiare gli sviluppatori (specie quelli di grandi dimensioni) fornendo loro strumenti pratici per combattere utilizzi ritenuti non ammissibili delle loro app Android.

Le critiche di Graphene

Precedentemente conosciuta come SafetyNet (ne abbiamo parlato nell’articolo su AOSP citato in precedenza), Play Integrity API permette anche di stabilire se un dispositivo Android sia stato sottoposto a rooting. Così, proprio attingendo alle verifiche svolte dall’API Google integrata a basso livello in Android, molte app possono rifiutare di avviarsi sui dispositivi “rootati”: app bancarie, Google Wallet, giochi online, Snapchat e alcune piattaforme di streaming come Netflix.

Gli sforzi incentrati su Play Integrity API ricordano anche quelli su Web Integrity API, una sorta di DRM per il Web sul quale l’azienda di Mountain View starebbe lavorando.

Graphene è un progetto open source che si concentra sullo sviluppo di versioni personalizzate del sistema operativo Android, con un forte focus sulla privacy, sicurezza e prestazioni. È noto principalmente per il sistema operativo GrapheneOS, una variante di Android progettata per fornire un ambiente più sicuro per gli utenti.

Critiche feroci per le scelte fatte su Android arrivano proprio dalla comunità di Graphene. Secondo il punto di vista della ROM Android alternativa, le restrizioni in fase di implementazioni sarebbero troppo invasive: non serve un approccio “tutto o niente“. Piuttosto che bloccare completamente un’installazione, si potrebbe far ricorso all’API soltanto durante lo svolgimento di attività critiche.

Scansione delle app Android e store alternativi

Lo scorso anno Google ha introdotto la scansione antimalware con Play Protect per tutte le app Android sottoposte a sideload, al momento dell’installazione.

Quanto all’installazione di applicazioni Android da store non ufficiali, anche in questo caso Google ha sempre tollerato la cosa. In questo caso non si può parlare di sideloading ma il concetto è simile in quanto è comunque necessario abilitare le “Origini sconosciute“.

Tutte le app provenienti dagli store alternativi o da siti “mirror” (ad esempio Amazon Appstore, F-Droid, APKMirror, Aptoide,…) sono sottoposte a scansione.

Le Autorità europee hanno recentemente prescritto ai vari vendor, prima tra tutti Apple che non permetteva questa pratica, di consentire il sideloading.

Credit immagine in apertura: Microsoft Copilot Designer