Проект F-Droid, развивающий каталог открытых приложений для Android, заявил, что не сможет существовать в прежнем виде в случае введения обязательной регистрации в Google разработчиков и приложений. Представители F-Droid призвали сообщество, надзорные структуры и антимонопольные органы недопустить введение ограничений на установку Android-программ, и тем самым поддержать существование альтернативных каталогов приложений и защитить разработчиков, которые не могут или не хотят предоставлять Google свои персональные данные. Кроме того, вводимые ограничения нарушают ключевой элемент свободы пользователей – возможность устанавливать на своих устройствах любые программы на своё усмотрение.
В конце августа компания Google анонсировала переход на использование на сертифицированных Android-устройствах только зарегистрированных приложений от верифицированных разработчиков. Установка приложений из сторонних каталогов будет возможна только, если разработчики зарегистрируют свои пакеты в Google и подтвердят свои персональные данные.
Отличием F-Droid от коммерческих каталогов приложений является то, что он работает в интересах пользователей, а не в интересах распространителей приложений. F‑Droid выполняет проверку, что размещаемое приложение является полностью открытым и не содержит недокументированных антифункций, таких как показ рекламы или отслеживание установок.
Введение регистрации Android-приложений не позволит F-Droid продолжить свою работу так как каталог сам собирает пакеты из исходного кода и не может регистрировать их от имени разработчиков. Собирая пакеты самостоятельно F-Droid выступает гарантом, что пакет собран из кода, предложенного в официальном репозитории. Исключение предоставляется лишь для проектов, поддерживающих воспроизводимую сборку – в этом случае F-Droid может разместить предоставляемый разработчиками пакет, проверив воспроизводимость его сборки.
В случае самостоятельной сборки пакет заверяется цифровой подписью F-Droid, а при поставке воспроизводимого пакета – подписью разработчика приложения. После введения обязательной регистрации поставка программ, упаковываемых силами F-Droid, станет невозможной – F-Droid не может регистрировать сторонние приложения от своего имени, так как это обозначало бы захват идентификаторов и присвоение исключительных прав на распространение чужих программ. Для пакетов, поддерживающих воспроизводимые сборки, поставка через F-Droid может быть продолжена, если разработчик зарегистрирует себя и приложение в Google. При этом F‑Droid не может обязать разработчиков производить подобную регистрацию.
Компания Google оправдывает введение ограничений желанием усложнить распространение вредоносных приложений с использованием мошеннических схем, предлагающих загрузить и установить apk-пакет в обход каталога Google Play Store. Подобное решение не является панацеей и регулярное выявление в Google Play вредоносного ПО показывает, что корпоративная проверка не гарантирует защиту пользователей. Кроме того, на всех сертифицированных Android‑устройствах с каталогом Google Play уже поставляется сервис Play Protect, который проверяет и блокирует вредоносные приложения, независимо от того, как они были установлены. По мнению представителей F‑Droid, регистрация разработчиков в Google мотивирована не заботой о безопасности, а желанием консолидировать власть и ужесточить контроль над экосистемой.
F‑Droid продвигает модель безопасности, основанную на обеспечении прозрачности процессов – каждое размещаемое приложение поставляется с открытым исходным кодом, аудит которого может быть проведён любым желающим; сборочные логи и процессы публично доступны; воспроизводимые сборки гарантируют, что публикуемые результаты полностью соответствуют исходному коду. Подобная модель формирует более прочную основу для доверия, чем закрытые платформы, предоставляя при этом свободу выбора для пользователя.