در مقایسه با میلیاردها کاربر عادی اندروید، تعداد افرادی که دستگاه‌های خود را روت (Root) می‌کنند یا از رام‌های سفارشی (Custom ROMs) استفاده می‌نمایند، ناچیز است. هرچند نمی‌توان گفت گوگل نسبت به این کاربران حرفه‌ای رفتار خصمانه‌ای دارد، اما تلاش‌های این شرکت برای افزایش امنیت اپلیکیشن‌های اندروید، اثر جانبی ناخوشایندی بر تجربه کاربری این گروه گذاشته است. به عنوان مثال، آخرین به‌روزرسانی گوگل برای Play Integrity API اگرچه محافظت از اپلیکیشن‌ها در برابر کاربران سوءاستفاده‌گر را برای توسعه‌دهندگان آسان‌تر کرده، اما همزمان استفاده برخی کاربران قانونی و حرفه‌ای از برنامه‌های خاص را به شدت دشوار ساخته است.

API یکپارچگی گوگل پلی (Play Integrity API) ابزاری است که توسعه‌دهندگان می‌توانند از آن برای تأیید این موضوع استفاده کنند که تعاملات ورودی و درخواست‌های سرور از طریق نسخه دستکاری‌نشده اپلیکیشن آنها که بر روی یک دستگاه اندروید معتبر در حال اجراست، ارسال می‌شوند. بسیاری از توسعه‌دهندگان از این API برای کاهش سوءاستفاده از اپلیکیشن که می‌تواند منجر به از دست دادن درآمد یا داده شود، استفاده می‌کنند.

دردسرهای کاربران حرفه‌ای اندروید با بروزرسانی جدید گوگل پلی - دیجینوی

مشکل کاربران حرفه‌ای که دستگاه‌های خود را روت می‌کنند یا از رام‌های سفارشی استفاده می‌نمایند، در تعریف گوگل از یک «دستگاه اندرویدی معتبر» نهفته است. از نظر گوگل، دستگاه معتبر دستگاهی است که از نسخه تأییدشده اندروید با گوگل پلی استفاده کند. این تعریف به طور ذاتی تقریباً همه رام‌های سفارشی را حذف می‌کند، که باعث شده بسیاری از کاربران رام‌های سفارشی به روش‌های غیررسمی متوسل شوند تا نسخه‌های تأییدشده را جعل کنند. هرچند بسیاری از افرادی که دستگاه‌های خود را روت می‌کنند، لزوماً از رام سفارشی استفاده نمی‌کنند، اما در فرآیند روت کردن، بوت‌لودر (Bootloader) دستگاه را باز می‌کنند. همین مرحله باعث می‌شود دستگاه‌های آن‌ها در بررسی‌های سخت‌گیرانه‌تر Play Integrity رد شوند و دسترسی به بسیاری از اپلیکیشن‌های مهم را از دست بدهند، از جمله: برنامه‌های رستوران‌یابی و غذاخوری، اپلیکیشن‌های پزشکی و سلامت، بازی‌های آنلاین، برنامه‌های بانکی و پرداخت. چرا که این دسته از اپلیکیشن‌ها معمولاً از ارزیابی‌های سخت‌گیرانه‌تر این API استفاده می‌کنند.

در گذشته، API Play Integrity و نسخه قبلی آن یعنی API اعتبارسنجی (SafetyNet)، نگرانی چندانی برای کاربران حرفه‌ای ایجاد نمی‌کردند، چرا که این کاربران معمولاً می‌توانستند راه‌حل‌های ساده‌ای برای دور زدن آنها پیدا کنند. اما گوگل به تدریج به سمت اجرای سیگنال‌های امنیتی مبتنی بر سخت‌افزار حرکت کرده است. این مکانیزم جدید به مراتب سخت‌تر قابل دور زدن است، زیرا برخلاف روش‌های ساده‌تر گذشته، مستقیماً در سخت‌افزار دستگاه ریشه دارد. اگرچه این بررسی‌های سخت‌افزاری امنیت بسیار قوی‌تری ارائه می‌دهند، کاربران حرفه‌ای تاکنون با این اطمینان خاطر زندگی می‌کردند که گوگل اجرای سخت‌گیرانه‌ترین تنظیمات این سیستم را به صورت جهانی اجباری نکرده بود.

علاوه بر این، قبلاً این اختیار با توسعه‌دهندگان اپلیکیشن‌ها بود که تصمیم بگیرند آیا می‌خواهند سیگنال‌های امنیتی سخت‌افزاری را اعمال کنند یا خیر. این رویکرد به توسعه‌دهندگان انعطاف‌پذیری می‌داد تا استفاده از اپلیکیشن‌های خود را بر اساس نیازهایشان محدود کنند. به عنوان مثال، اپلیکیشن‌های بانکی و پرداختی معمولاً تلاش بیشتری می‌کردند تا مطمئن شوند دستگاه‌ها سیگنال‌های سخت‌افزاری را پاس می‌کنند. اما اکنون، این سیگنال‌ها به بخشی از خط‌مشی پایه Play Integrity برای تمامی توسعه‌دهندگان استفاده‌کننده از این API تبدیل شده‌اند.

در دسامبر سال گذشته (آذر ماه)، گوگل یک به‌روزرسانی عمده برای Play Integrity API اعلام کرد که ارزیابی‌های «پایه»، «دستگاه» و «قوی» را در دستگاه‌های دارای اندروید ۱۳ یا جدیدتر تقویت می‌کند. ارزیابی قوی (Strong Integrity): سخت‌گیرانه‌ترین سطح بررسی است و برای برنامه‌های حساس مانند بانکی و پرداخت است. ارزیابی دستگاه (Device Integrity): سطح متوسط بررسی است و تعادل بین امنیت و انعطاف‌پذیری را برقرار می‌کند. ارزیابی پایه (Basic Integrity): ساده‌ترین سطح بررسی است و کمتر مورد استفاده توسعه‌دهندگان برنامه‌های امنیتی قرار می‌گیرد.

دردسرهای کاربران حرفه‌ای اندروید با بروزرسانی جدید گوگل پلی - دیجینوی

در گذشته، تنها ارزیابی سطح قوی (Strong Integrity) از سیگنال‌های امنیتی مبتنی بر سخت‌افزار استفاده می‌کرد. اما از دسامبر (آذر ماه) سال گذشته، گوگل تمام سطوح ارزیابی را سخت‌گیرانه‌تر کرد. تغییرات اصلی شامل:

  1.  ارزیابی سطح دستگاه (Device Integrity) به‌طوری‌که اکنون از سیگنال‌های سخت‌افزاری استفاده می‌کند ولی قبلاً فقط بر اساس بررسی‌های نرم‌افزاری بود.
  1. ارزیابی سطح قوی (Strong Integrity) علاوه بر سیگنال‌های سخت‌افزاری، نیازمند به‌روزرسانی امنیتی کمتر از یک سال است.
  2. ارزیابی سطح پایه  (Basic Integrity)اگرچه از سیگنال‌های سخت‌افزاری استفاده می‌کند اما به دلیل استانداردهای ساده‌تر، حتی روی دستگاه‌های روت شده یا با بوت‌لودر باز نیز قابل قبول است.

گـوگل اعلام کرده که این به‌روزرسانی‌ها با چنین اهدافی انجام شده است: افزایش سرعت Play Integrity API، بالا بردن قابلیت اطمینان و حفظ حریم خصوصی بهتر کاربران با کاهش سیگنال‌های مورد نیاز برای جمع‌آوری. این تغییرات مزایای امنیتی به‌مانند: سخت‌تر شدن دور زدن سیستم برای مهاجمان و هزینه بالاتر برای حملات سایبری را به‌همراه خواهد داشت. این شرکت اعلام کرد که در زمان اعلام، یعنی دسامبر ۲۰۲۴ (آذر ماه ۱۴۰۳)، این تغییرات بلافاصله اجرایی نشد و به توسعه‌دهندگان اجازه انتخاب داوطلبانه داد. اما تأکید کرد که تا مه ۲۰۲۵ (خرداد) تمامی یکپارچه‌سازی‌های API به صورت خودکار به سیستم جدید منتقل خواهند شد.


خب، حالا در ماه مه (خرداد) هستیم و گوگل دارد به وعده خود عمل می‌کند. در کنفرانس Google I/O 2025، این شرکت اعلام کرد که تغییرات را اعمال کرده و تمامی ارزیابی‌های یکپارچگی را به‌صورت پیش‌فرض تقویت کرده است در بخش «تازه‌های گوگل پلی»، آقای Raghavendra Hareesh، مدیر بخش توسعه‌دهندگان و کسب درآمد گوگل پلی، تأکید کرد: «ما در حال اجرای ارزیابی‌های قوی‌تر برای تمامی توسعه‌دهندگان هستیم بدون نیاز به کار اضافه از سوی توسعه‌دهندگان.»

آقای Raghavendra Hareesh، رئیس بخش توسعه‌دهندگان و کسب درآمد گوگل پلی گفت:

یکپارچگی Play Integrity API ابزاری حیاتی در هر استراتژی امنیتی جامع محسوب می‌شود. این API به شما کمک می‌کند تا از تمام تجربه کاربری اپلیکیشن خود محافظت کنید. این فناوری در پیشگیری از سوءاستفاده‌هایی که می‌توانند منجر به کاهش درآمد و آسیب به کاربران شوند، نقشی کلیدی ایفا می‌کند. توسعه‌دهندگانی که از این API استفاده می‌کنند، کاهش بیش از ۸۰٪ در استفاده غیرمجاز نسبت به سایر اپلیکیشن‌ها را گزارش داده‌اند. این به معنای تقلب کمتر، کلاهبرداری کمتر و سرقت داده‌های کمتر است.

ما به تکامل این API ادامه می‌دهیم تا همواره از تهدیدات احتمالی پیشی بگیریم. امروز، ما در حال راه‌اندازی ارزیابی‌های قوی‌تر برای تمام توسعه‌دهندگان هستیم؛ بدون نیاز به هیچ کار اضافه‌ای از سوی آن‌ها. این تغییرات، فرآیند بررسی اعتبار دستگاه‌ها را سریع‌تر، قابل اعتمادتر و بیشتر علاقه‌مند به حریم خصوصی‌ می‌سازد. همچنین توسعه‌دهندگان اکنون می‌توانند بررسی کنند که آیا دستگاه به‌روزرسانی امنیتی اخیر را نصب کرده است یا خیر؛ امری که برای اپلیکیشن‌های حفاظت‌کننده از اقدامات حساس بسیار مهم است.»

این بدان معناست که کاربران حرفه‌ای که دستگاه‌های خود را روت می‌کنند یا از رام‌های سفارشی استفاده می‌نمایند، ممکن است به طور ناگهانی با عدم کارکرد برخی اپلیکیشن‌ها مواجه شوند، به ویژه در دستگاه‌های دارای اندروید ۱۳ یا جدیدتر. حتی کاربران با دستگاه‌های تغییر نیافته‌ی اندروید ۱۳ به بالا نیز در صورت عدم دریافت به‌روزرسانی نرم‌افزاری در مدت زمان طولانی، ممکن است با مشکلاتی روبرو شوند. دلیل این موضوع، این است که اپلیکیشن‌هایی که از ارزیابی سطح قوی (Strong Integrity) استفاده می‌کنند، نیازمند سطح پچ امنیتی جدید هستند تا بتوانند به درستی عمل کنند.

پیاده‌سازی کامل سیگنال‌های امنیتی سخت‌افزاری توسط گوگل، مدت‌های زیادی است که انتظار می‌رفت. هرچند کاربران حرفه‌ای قبلاً راه‌های ساده‌ای برای دور زدن اقدامات امنیتی قبلی پیدا می‌کردند؛ که معمولاً با فریب دادن API یکپارچگی پلی برای اتکا به بررسی‌های نرم‌افزاری که جعل آنها آسان‌تر بود، انجام می‌شد. اما این روش‌ها هرگز راهکارهای دائمی نبودند. بنابراین فقط مسئله زمان بود که این کاربران با اپلیکیشن‌های از کار افتاده مواجه شوند.

به زودی، راه‌حل‌های آسان برای دور زدن محدودیت‌ها ناپدید خواهند شد و کاربران تنها دو گزینه پیش رو خواهند داشت: متوسل شدن به روش‌های غیرقانونی و ناامن مانند نشت keyboxها، یا بازگرداندن دستگاه به حالت استاندارد و بدون تغییر. در حالی که هدف اصلی گوگل از این تغییرات، بهبود امنیت اپلیکیشن‌ها برای همه کاربران است، اما این تحولات به قیمت تجربه کاربری نامطلوب برای کاربران حرفه‌ای تمام می‌شود.