Android готується до нових правил встановлення додатків — деталі

Понад місяць після першого анонсу Google розкрила деталі обов'язкової верифікації розробників у Android. Політика подається як крок до безпеки, але на практиці може істотно ускладнити встановлення програм поза Play Store і поставити під загрозу незалежні крамниці додатків.

Про це пише TechSpot.

Що змінюється і чому це важливо

У серпні Google оголосила про масштабну зміну підходу до взаємодії з розробниками, а тепер конкретизувала вимоги щодо підтвердження особи. Компанія пояснює нові правила необхідністю боротися зі шкідливим ПЗ: майже всі розробники мають пройти ідентифікацію, аби зловмисників можна було швидше виявляти та видаляти.

Під час інсталяції будь-якого нового застосунку система перевірятиме ID розробника через новий "довірений" компонент на пристрої — Android Developer Verifier (ADV). Дані про популярні програми кешуватимуться локально, а для менш відомих ADV, імовірно, звертатиметься до інтернету. Для сторонніх магазинів Google тестує локальну альтернативу — "pre-auth token", прив'язаний до пакета, що встановлюється.

Водночас зміни не торкнуться ентузіастів на ранніх етапах роботи: офіційне IDE (Android Studio) та ADB залишаються придатними для розробки й тестування без додаткових бар'єрів — щонайменше до моменту публічного релізу застосунку.

Попри жорсткі нововведення, Google наполягає, що сайдлоадинг лишається "фундаментальною" частиною екосистеми Android, а верифікація — це лише додатковий запобіжник. Критики ж нагадують, що резонансні випадки заражень траплялися й у самому Play Store чи серед попередньо встановлених додатків, тож проблема має системний характер і не зводиться лише до сторонніх джерел.

F-Droid вже зазначили, що нова схема перевірок може фактично знищити проєкт, адже він спирається на власне аудіювання зовнішніх APK і повторне підписування їх своїми ключами.

Google визнає, що частина розробників може прагнути анонімності — наприклад, через ризики переслідувань у недружніх юрисдикціях. Компанія обіцяє не розкривати дані публічно, однак скептики вказують: це вимагає високого рівня довіри до корпоративної етики Big Tech.

Запуск процесу верифікації запланований на 2026 рік і до того часу компанія заявляє про готовність зважати на зворотний зв'язок від спільноти, аби точно налаштувати правила перед глобальним розгортанням.