Den Anlass für die Ausweitung liefert nach Googles Darstellung eine Reihe von binären Supply-Chain-Angriffen. Dabei schleusen Angreifer Schadcode über manipulierte Update-Kanäle ein, während die digitalen Signaturen der Software intakt bleiben. Als jüngstes Beispiel nennt Google die Kompromittierung der Windows-Installer von DAEMON Tools, die eine schlanke Backdoor ausliefern. Diese dient anschließend als Einfallstor für einen Schädling, der als QUIC RAT bezeichnet wird. Verschärfend kommt hinzu, dass die Installer über die legitime Website von DAEMON Tools verbreitet und mit digitalen Zertifikaten der DAEMON-Tools-Entwickler signiert sind.
Daraus leitet Google die Grenzen des bisherigen Vertrauensmodells ab. Sich allein auf die Signatur einer Binärdatei zu verlassen, werde zunehmend unzureichend, da eine Signatur nicht garantieren könne, dass genau diese Datei vom Urheber für die Veröffentlichung vorgesehen war. Digitale Signaturen seien ein Herkunftsnachweis, Binary Transparency dagegen ein Nachweis der Absicht.
Konkret erhalten produktive Google-Anwendungen, die nach dem 1. Mai 2026 erscheinen, einen kryptografischen Eintrag, der ihre Authentizität belegt. Erfasst werden derzeit produktive Google-Apps – sowohl die Google Play Services als auch eigenständige Google-Anwendungen – sowie Mainline-Module, die zum Betriebssystem gehören und außerhalb des üblichen Release-Zyklus dynamisch aktualisiert werden können.
Das Register bildet damit eine öffentlich einsehbare „Quelle der Wahrheit", über die sich nach Angaben des Unternehmens überprüfen lässt, ob die Google-Software auf einem Android-Gerät eine von Google autorisierte, produktive Version ist und nicht von einem Angreifer verändert wurde. Steht eine Software nicht im Register, hat Google sie nicht als produktive Software freigegeben; jeder Versuch, eine speziell angefertigte Einzelversion auszuspielen, sei dadurch erkennbar.
Ergänzend stellt Google Werkzeuge bereit, mit denen Nutzer und Sicherheitsforscher den Transparenzstatus der unterstützten Softwaretypen prüfen können. Das Unternehmen begründet den Schritt damit, dass sich dadurch das grundlegende Machtverhältnis bei Software-Updates verschiebe und eine zusätzliche Schutzschicht für die Integrität der Software entstehe, die unautorisierte Veröffentlichungen von Binärdateien abschrecke.
Hintergrund der Initiative ist laut Google eine Häufung von Supply-Chain-Angriffen, die in den vergangenen Monaten Entwickler und nachgelagerte Nutzer verbreiteter Software ins Visier genommen haben. Angreifer übernehmen demnach zunehmend die Konten von Entwicklern und missbrauchen diesen Zugang, um Malware zu verteilen und so mehrere Nutzer auf einmal zu treffen.