Google Play Protect: co naprawdę oznacza nowy „certyfikat bezpieczeństwa”?
Bezpieczeństwo stało się modne. Nigdy nie było mniej lub bardziej ważne, ale dziś – nie bez związku z tegorocznymi dużymi atakami ransomware – zostało dostrzeżone jako argument sprzedażowy. Tropem tym poszło Google. Bez większego rozgłosu, a w zasadzie po cichu, korporacja poinformowała o wprowadzeniu nowego certyfikatu: na pudełkach urządzeń pojawi się zielona tarcza Google Play Protect. Poinformowano o tym, nie bez powodu, na blogu indyjskiego oddziału. Dlaczego właśnie tam i dlaczego zdaje się to być decyzja nieprzypadkowa?
28.08.2017 | aktual.: 28.08.2017 23:19
Magiczna pieczęć
Konsumenci i użytkownicy uwielbiają certyfikaty. Niewielka naklejka, grafika w kształcie odznaki czy pieczęć może niejednokrotnie przesądzić o kupnie tego urządzenia lub innego. Wypada sobie uświadomić, skąd bierze się taka potęga. Od początku XX wieku zdają sobie z niej sprawę semiolodzy, niewiele krócej sprzedawcy. Dzięki zastosowaniu np. wspomnianej pieczęci można przenieść konsumenta do ściśle nakreślonej wcześniej przez firmę treści. Znak to nie symbol, znak ma ściśle określone znaczenie, a w tym przypadku ze znaczeniem jest zaznajomiona spora część populacji. Google to wyszukiwarka, Google to Gmail, Google to Mapy, Google to Dysk Google, Google to reklamy AdWords. Wszystko to, dzięki potędze znaku, można zamknąć w prostej grafice podpisanej jednym lub dwoma słowami.
Play Protect nie jest pierwszym certyfikatem, jaki pojawi się na urządzeniach z Androidem. Jeszcze kilka lat temu, gdy dominacja Androida nad BlackBerry OS-em czy Symbianem nie była jeszcze tak oczywista, popularne było umieszczanie na obudowach krótkiej informacji, pozornie tekstu: with Google. Tak naprawdę był to jednak znak, który wywoływał konkretne asocjacje: działać tu będzie moje konto Gmail, będę mieć dostęp do danych przechowywanych na Dysku Google, etc. Smartfon posiadał na obudowie znak odnoszący się do dostępności klientów najpopularniejszych w Sieci usług. Tak duże znaczenie niosło ze sobą zwykłe with Google i poniekąd dzięki odpowiedniej sygnalizacji już na obudowie, Android zawdzięcza swoją dzisiejszą miażdżącą (według NetMarketShare, drugi kwartał zamknięty z 87,7% udziałów) dominację.
Google Play Protect, czyli co?
Podobnie ma być zapewne z Google Play Protect. Mimo że wpis o nowym certyfikacie nie ukazał się na głównym blogu korporacji, przygotowano na potrzeby jego promocji nową podstronę w domenie android.com. Ustalmy zatem na początku, co certyfikat bezpieczeństwa z zieloną tarczą oznacza według jego wystawcy:
Dalej mamy wymienione konkretne korzyści. Najważniejszą z nich ma być przetestowane bezpieczeństwo. Przez logo Google Play Protect mamy rozumieć (a zatem znów klasyczna relacja znak-znaczenie) testy bezpieczeństwa przeprowadzone przez Google (metodologii brak), przykładnie zaimplementowany system uprawnień, dostępność łatek bezpieczeństwa (aktualnych w momencie premiery, choć to tylko moja hipoteza), brak preinstalowanego malware oraz same mechanizmy Google Play Protect, czyli między innymi skanowanie sklepu Play w poszukiwaniu szkodliwego oprogramowania. Kolejne argumenty to dostępność aplikacji Google (a zatem odpowiednik with Google) oraz kompatybilność z oprogramowaniem dostępnym w Google Play.
Nie zabrakło nielichego straszaka. W dziale najczęściej zadawanych pytań znaleźć można bowiem odpowiedź na pytanie Co powinienem zrobić, jeśli moje urządzenie nie jest certyfikowane?. Okazuje się, że brak znaku również ma znaczenie i to nie mniej ważne niż sam znak. Brak certyfikatu jest jednoznaczny z tym, że aplikacje Google oraz aplikacje ze sklepu Play nie będą działać tak, jak powinny. Ewentualny nabywca powinien także pamiętać, że urządzenie może nie być bezpieczne i może działać nieprawidłowo.
Co naprawdę oznacza logo Google Play Protect?
Okazuje się jednak, że brak rzeczonego logo wcale nie oznacza niedostępności dobrodziejstw, jakie płyną z samego Google Play Protect. Mam tu na myśli nie certyfikat, ale oprogramowanie, jakie ma zabezpieczyć użytkowników smartfonów z Androidem. Ogólniki o sposobie jego działania znajdziemy dziale pomocy Google. Dowiedzieć można się tam, że GPP dokonuje skanowania aplikacji przed ich pobraniem z Play i instalacją, skanuje także aplikacje pochodzące z nieznanych źródeł, czyli pliki APK i zapewne generowany przez nie ruch sieciowy. W końcu, gdy zidentyfikowane zostanie zagrożenie, zadaniem GPP jest informowanie o takim stanie rzeczy użytkownika i automatyczne usuwanie szkodników.
Rzecz w tym, że dostępność Google Play Protect nie jest determinowana decyzjami producenta sprzed pojawienia się smartfonu na sklepowych półkach, zaś korzystać z nowych mechanizmów zabezpieczających mogą także użytkownicy, którzy nie znajdą na pudełku zakupionego kilka miesięcy smartfonu zielonej tarczy. Google Play Protect, czy użytkownik tego chce, czy nie, jest dostępne i domyślnie włączone na każdym urządzeniu z Usługami Google w wersji 11 i nowszej oraz Androidem 7.0 i nowszym.
Skoro zatem ustaliliśmy, że cieszyć się z dodatkowej ochrony można także bez certyfikatu na pudełku, a jedynie z odpowiednio świeżym oprogramowaniem, pozostaje pytanie o cel takiej certyfikacji. Ten zdają się wyjaśniać argumenty na rzecz certyfikacje przytoczone przez samo Google. Po bezpieczeństwie była wszak mowa o dostępności aplikacji Google wraz z gwarancją pełnej kompatybilności. Wielu z Czytelników zapewne nie raz instalowało androidowe aplikacje z plików APK po wyrażeniu zgody na instalację z nieznanych źródeł w ustawieniach systemu. Zdają sobie oni zapewne sprawę, że dziś nie ma już nawet problemu z wariantami programów różniącymi się DPI, a to za sprawą skutecznego skalowania interfejsów. To, wraz ze wsteczną kompatybilnością API do Androida 4.4, wypada jako argument mocniej niż brak gwarancji całkowitej kompatybilności.
Co ma do tego Komisja Europejska?
Jest bezpieczeństwo, bo jest nowy Android i Usługi w wersji 11. I jest kompatybilność, co podyktował sam rozwój systemu. Klaruje się przekonanie, że certyfikat bezpieczeństwa Google ma znaczenie prestiżowe i ma wywoływać u konsumenta ściśle określone skojarzenia. Tarcza to bezpieczeństwo, Google to kompatybilność i dostępność usług. Po połączeniu otrzymujemy zieloną tarczę Google Play Protect, czyli nic innego jak odpowiednik with Google sprzed 5-6 lat. I tutaj, niestety, Google może samo sobie zaszkodzić. I to całkiem poważnie.
Pod koniec czerwca Komisja Europejska nałożyła na Google karę w wysokości 2,5 mld euro grzywny. Wówczas stało się jasne, że komisarz Vestager nie macha jedynie szabelką, a wcześniejsze zastrzeżenia wobec praktyk Google mogą poskutkować równie zaciętą potyczką, jaką Komisja Europejska stoczyła niegdyś z Microsoftem. Rzecz w tym, że rzeczone 2,5 mld euro to kara jedynie za pozycjonowanie wyników w wyszukiwarce, a zatem nałożone w związku z jednym z trzech zarzutów wystosowanych przez KE. Kolejny z nich dotyczył korzyści finansowych, jakie otrzymują producenci za wyłączną dostępność wyszukiwarki Google. Jest jednak jeszcze jeden zarzut, i to on jest w kontekście certyfikatu Google Play Protect szczególnie interesujący:
Pod koniec czerwca poprosiłem przedstawicieli Google Polska o ustosunkowanie się do zarzutów Komisji Europejskiej, jednak otrzymałem odpowiedź, że stanowisko opublikowane na blogu Google stanowi całość, i że nie mają oni nic do dodania. Jest całkowicie zrozumiałe: nietrudno sobie wyobrazić, że wpis na oficjalnym blogu Google wymagała licznych konsultacji z działem prawnym, zaś lokalne działy zwyczajnie nie mają autoryzacji do zajmowania głosu w tej sprawie. Jak zatem Google odpowiedziało na zarzut dotyczący prób monopolizacji rynku przez warunkowanie licencji?
Każdy producent może, żaden producent nie jest zobligowany. Ale czy jeśli skorzysta ze swoich przywilejów, to może liczyć na zieloną odznakę dzielnego zucha, dzięki którym konkurencja napędzi sprzedaż w oparciu o budowaną relację znaku bezpieczeństwa? Na to raczej nie należy liczyć, a uruchamianie nowej certyfikacji, właśnie teraz, zaledwie dwa miesiące po zasądzeniu przez KE solidnej kary, może się okazać dla Google strzałem do własnej bramki – korporacja pozwala na wszystko, a jednocześnie uruchamia mechanizmy, które finalnie poskutkują dewaluacją marki producentów, którzy na wszystko się decydują.