Androidアプリがサイドローディングをブロックし、Google Play版への強制切り替えが進行中

• Google Playストアが含まれていないカスタム版Androidを使用している場合、Androidアプリをサイドロードしたり、APKパッケージを手動でインストールしたりできる
• 2024年5月のGoogle I/Oカンファレンスで、サイドローディング中に「Remediation」ダイアログを表示する開発者向けツールが公開された
• Tesco、BeyBlade X、ChatGPTなどのアプリをサイドロードすると、「Get this app from Play」というプロンプトが表示され、回避できない
• Androidゲーム用ハンドヘルド端末でも、Diablo Immortalで同様のプロンプトが表示される

Play Integrity APIによってブロックされるアプリ

• Google PlayのIntegrity APIは、標準OSから変更されたスマートフォンでアプリが読み込まれた際にアクセスを遮断する仕組み
  • 最近では人気のMFAアプリAuthyが、GrapheneOSなど改変ファームウェアを搭載したスマートフォンでアクセスを遮断している
  • アプリはPlay Integrity APIを呼び出して、スマートフォンのソフトウェア環境が「信頼できる」か、Google Play Protectが有効になっているかなどを確認する
• GrapheneはGoogleのIntegrity APIおよびSafetyNet Attestationシステムの信頼性に疑問を呈し、標準Androidのハードウェア証明を推奨している
• アプリは整合性チェックについて必ずしも「All-Or-Nothing」方式を取る必要はなく、機密性の高い操作時にだけAPIを呼び出して警告を表示することもできる
• しかし、Play Storeに接続しない場合、開発者にメトリクスが提供されず、非対応端末にインストールされて低評価レビューを受けたり、有料アプリの海賊版被害にさらされたりする可能性がある

「不明な配布チャネル」がブロックされる

• Googleの「Automatic integrity protection（自動整合性保護）」に関する開発者向け動画によると、「選定された」アプリのみが自動保護機能にアクセスできる
  • これはアプリに自動チェックツールと「Google Playの改ざん防止保護機能の最も強力なバージョン」を追加するもの
• プレゼンテーションのスライドには、「ユーザーが保護されたアプリを不明な配布チャネルから入手した場合、Google Playから取得するよう案内される」と明記されている
• 昨年Googleは、インストール時にサイドロードされたアプリに対するマルウェアスキャンを導入した
• GoogleとAppleは、セキュリティと安定性への懸念を理由に、スマートフォン所有者の「サイドローディングの権利拡大」を目指す法案に反対の立場を示している
• 今年初め、欧州の規制当局はAppleに対し、サイドロードアプリと代替アプリストアの許可を強制したが、手数料と地域制限が適用されている