- Vanaf 2026 vereist Android dat geverifieerde ontwikkelaars apps installeren op gecertificeerde apparaten, zelfs buiten Google Play.
- Voor apps van niet-geverifieerde ontwikkelaars wordt een geavanceerde workflow met een verplichte wachttijd van 24 uur en meerdere stappen geïntroduceerd.
- Google biedt beperkte distributieaccounts aan voor studenten en hobbyisten, en een specifieke registratie voor apps die buiten de Play Store worden gedistribueerd.
- In Europa zouden de wijzigingen in strijd kunnen zijn met de Digital Markets Act, waardoor een nieuw regelgevingsfront ontstaat en er druk vanuit de FOSS-gemeenschap ontstaat.
Android heeft een deel van zijn faam te danken aan een heel simpel idee: De mogelijkheid om applicaties vanaf vrijwel elke locatie te installeren.zonder uitsluitend afhankelijk te zijn van de officiële Google-winkelDie vrijheid verdwijnt niet, maar vanaf de komende maanden zal ze gepaard gaan met veel meer voorwaarden, waarschuwingen en tussenstappen die de manier waarop apps op gecertificeerde Android-telefoons worden geïnstalleerd fundamenteel zullen veranderen.
Google introduceert een nieuw beveiligingsframework dat een combinatie is van verschillende beveiligingsaspecten. Verplichte ontwikkelaarsverificatieSysteemniveau-instellingen en een speciaal proces voor geavanceerde gebruikers die applicaties van externe bronnen willen blijven downloaden. Deze stap is met name relevant voor Europa en Spanje, waar de Wet digitale markten (DMA) houdt nauwlettend toezicht op elke poging om de concurrentie op dominante platforms te beperken.
Nieuwe Google-vereisten voor het installeren van apps op Android
Vanaf September van 2026Android ondergaat een grote verandering: het systeem staat de installatie van applicaties op gecertificeerde apparaten (apparaten met Google Play Services) alleen nog toe als ze afkomstig zijn van gecertificeerde ontwikkelaars. ontwikkelaars wiens identiteit door Google is geverifieerdHet maakt niet uit of de app afkomstig is van Google Play, een alternatieve appwinkel of via een directe APK-download.
De uitrol van dit nieuwe model zal geleidelijk verlopen. Google heeft een eerste lancering in bevestigd. Brazilië, Indonesië, Singapore en Thailandmarkten die bijzonder getroffen worden door financiële fraude en malwarecampagnesVan daaruit is het bedrijf van plan het beleid in de loop van 2027 uit te breiden naar de overige regio's, wat directe gevolgen zal hebben voor gebruikers en ontwikkelaars in Spanje en de rest van Europa.
Tot nu toe gold de verplichting tot identiteitsverificatie in principe alleen voor degenen die berichten plaatsten op de Play StoreDe wijziging houdt in dat deze vereiste wordt uitgebreid naar elke app die op een gecertificeerd Android-apparaat geïnstalleerd wil worden, zelfs als deze via alternatieve kanalen wordt gedistribueerd. Concreet betekent dit dat... Alle installaties vallen onder de registratieplicht van Google..
In de praktijk worden apps van ontwikkelaars die dit proces niet doorlopen, standaard geblokkeerd. Android beschouwt apps van niet-geverifieerde auteurs als software met een hoog risico en onderwerpt ze aan een veel complexer installatieproces of, in de meeste standaardgevallen, blokkeert ze volledig.
Hoe ontwikkelaarsverificatie werkt
Het nieuwe ontwikkelaarsidentiteitssysteem is gestructureerd rondom een Speciale Android-ontwikkelaarsconsole Voor diegenen die apps buiten Google Play distribueren. Dit platform fungeert als een wereldwijd register voor elke applicatie die normaal wil draaien op gecertificeerde Android-mobiele apparaten.
Voor persoonlijke accountsHet is verplicht om een bijdrage te leveren. Juridische gegevens, geldig identiteitsbewijs, postadres, e-mailadres en een verifieerbaar telefoonnummer.In het geval van bedrijven en organisaties zal Google aanvullende informatie vereisen, zoals: website, contactgegevens voor ondersteuning en in sommige gevallen bedrijfsidentificatienummers zoals het D-U-N-S-nummer.
Het proces omvat ook de registratie van handtekeningsleutelOntwikkelaars moeten de openbare sleutelcertificaten die ze gebruiken om hun applicaties te ondertekenen, declareren en deze koppelen aan pakketnamen (bijvoorbeeld com.example.app). Deze koppeling stelt Android in staat om tijdens de installatie te controleren of de app afkomstig is van de geregistreerde ontwikkelaar.
Net als bij de Play Store vereist registratie voor dit verificatiesysteem een... een eenmalige betaling van ongeveer $25 om het account te openen. Google stelt dat deze kosten en het wegvallen van anonimiteit het leven voor cybercriminelen moeilijker maken, omdat elk programma gekoppeld zal zijn aan een verifieerbare en intrekbare identiteit in geval van misbruik.
Aan de minder prettige kant, voor veel projecten van gratis software en nichetools Dit betekent dat anoniem delen van apps niet langer is toegestaan. Ontwikkelaars die eerder experimentele versies, emulators of privacytools hebben gepubliceerd zonder hun persoonlijke gegevens te onthullen, zullen hiertoe gedwongen worden. Identificeer jezelf bij Google als ze willen dat hun applicaties probleemloos op de meeste gangbare Android-telefoons geïnstalleerd kunnen worden.
Controle op systeemniveau: het blokkeren van niet-geverifieerde apps
De wijziging is niet beperkt tot een bureaucratische vereiste. Android zal deze verificatielaag direct in de app integreren. systeem pakketbeheerderDit betekent dat de controle wordt uitgevoerd ongeacht of de app afkomstig is van Google Play, via sideloading is geïnstalleerd of met behulp van tools zoals Android Debug Bridge (ADB).
Onder normale omstandigheden controleert het systeem, wanneer een gebruiker een applicatie probeert te installeren, of... Digitale handtekening van het APK-bestand met de database van geverifieerde ontwikkelaars.Als er een overeenkomst wordt gevonden, wordt de installatie voortgezet met standaardwaarschuwingen; anders wordt een maximale wrijvingsstroom geactiveerd of wordt het proces direct geblokkeerd, afhankelijk van het gebruikerstype en de configuratie.
Dit impliceert dat zelfs methoden die traditioneel door gevorderde gebruikers worden gebruikt om interfacebeperkingen te omzeilen, zoals het commando, nu mogelijk zijn. adb installeer app.apkZe zullen aan dezelfde controles onderworpen worden. Google is van plan dat Er mogen geen gemakkelijke technische achterdeuren zijn. waardoor een app zonder geïdentificeerde auteur in het officiële ecosysteem terecht kan komen.
In bepaalde scenario's zal het mogelijk zijn om een in te schakelen geavanceerde ontwikkelaarsmodus Deze modus is bedoeld voor zeer specifieke installaties, maar is tijdelijk en vereist periodieke verlenging. Het idee is om te voorkomen dat het een permanente achterdeur wordt voor de massale verspreiding van niet-geverifieerde software.
Volgens de officiële documentatie wordt het blokkeren van niet-geverifieerde apps automatisch toegepast, zonder tussenkomst van de gebruiker. Het is niet nodig om het apparaat elke keer opnieuw op te starten of te wachten op identiteitsverificatie wanneer de app afkomstig is van een goedgekeurde ontwikkelaar.
De nieuwe "geavanceerde procedure": zo werkt het installeren van apps van niet-geverifieerde ontwikkelaars.
Naast deze verificatielaag heeft Google een specifiek mechanisme ontwikkeld voor diegenen die, ondanks de risico's, toch applicaties willen blijven installeren. niet-geverifieerde ontwikkelaars. Dit proces staat bekend als "geavanceerde doorstroming" Het is ontworpen voor ervaren gebruikers die behoefte hebben aan die extra flexibiliteit.
Het gestelde doel is tweeledig: de mogelijkheid levend houden van Zijladenmaar om het zo in wrijving te hullen dat het onbruikbaar wordt voor oplichtingspraktijken die daarop gebaseerd zijn social engineeringBij de huidige aanvallen wordt het slachtoffer meestal aan de telefoon gehouden of op afstand verbonden, terwijl hem of haar stap voor stap wordt begeleid bij het uitschakelen van de beveiliging van de telefoon en het downloaden van een schadelijke app.
Om deze dynamiek te doorbreken, introduceert Advanced Flow verschillende gekoppelde stappen. De eerste bestaat uit: Ontwikkelaarsmodus handmatig inschakelen Vanuit de apparaatinstellingen, zonder snelle toegang of snelkoppelingen die een aanvaller met een paar gerichte tikken kan misbruiken.
Zodra de gebruiker deze opties invoert, toont Android het volgende: Specifieke berichten waarin wordt gevraagd of iemand hen heeft opgedragen de beveiliging uit te schakelen.Het idee is om de persoon te dwingen na te denken en te ontdekken of hij of zij onder druk staat of instructies opvolgt van een derde partij die mogelijk probeert hem of haar te misleiden.
Na die bevestiging vereist het systeem het volgende: start de telefoon opnieuw opDoor deze herstart worden alle lopende gesprekken verbroken, evenals de sessies voor toegang op afstand die sommige oplichters gebruiken om het scherm te bekijken en het apparaat te besturen tijdens de oplichting.
De verplichte wachttijd van 24 uur en de daaropvolgende autorisatie.
Het meest opvallende element van de nieuwe stroming is het zogenaamde "beschermende wachtperiode"Zodra de ontwikkelaarsmodus is geactiveerd en het apparaat opnieuw is opgestart, dwingt Android je om te wachten. 24 volle uren voordat de installatie van applicaties van niet-geverifieerde ontwikkelaars wordt toegestaan.
Deze wachtdag is geen technische gril, maar een weloverwogen maatregel om deactiveer het gevoel van urgentie die gebruikmaakt van vele oplichtingspraktijken. Gedurende die tijd verliest de druk van de zogenaamde "technische ondersteuning", nep-advocaat of zogenaamde bankmedewerker aan kracht, en heeft het slachtoffer tijd om de informatie te controleren, om hulp te vragen of simpelweg te beseffen dat er iets niet klopt.
Na die periode vraagt het systeem de gebruiker om hulp. Verifieer uw identiteit op het apparaat nogmaals. via vingerafdruk, gezichtsherkenning of pincode. Pas na het doorlopen van deze sterke authenticatieprocedure wordt de mogelijkheid tot sideloading via deze geavanceerde procedure ontgrendeld.
Van daaruit kan de gebruiker applicaties installeren van niet-geverifieerde ontwikkelaars en Kies of u dit type installatie zeven dagen of onbeperkt wilt toestaan.In elk geval zal Android, wanneer een app van dit type wordt geïnstalleerd, zichtbare waarschuwingen weergeven die aangeven dat de app afkomstig is van een niet-geverifieerde auteur, hoewel het mogelijk blijft om door te gaan met een extra tik.
Google houdt vol dat deze stroom ontworpen als een eenmalig procesHet is niet nodig om dit telkens te herhalen wanneer een externe APK wordt gedownload. Zodra de gevorderde gebruiker duidelijk heeft gemaakt dat hij de risico's begrijpt, blijft de configuratie actief binnen de gekozen limieten (één week of onbeperkt), waardoor de wrijving bij dagelijks gebruik wordt verminderd.
Impact op onafhankelijke ontwikkelaars, studenten en hobbyisten
De grote studio's en bedrijven die hun applicaties al via de Play Store distribueren, hebben al enige vooruitgang geboekt, maar voor onafhankelijke ontwikkelaars, kleine studio's en persoonlijke projecten Het nieuwe model brengt een aantal belangrijke uitdagingen met zich mee.
Degenen die apps publiceren vanuit repositories zoals GitHub of vanaf hun eigen websites, zullen merken dat hun werk niet langer normaal installeert op de meeste gecertificeerde Android-telefoons als ze de verificatieregistratie niet voltooien. De gemiddelde gebruiker, die geen zin heeft om te worstelen met ontwikkelaarsmenu's of 24 uur te wachten, zal geneigd zijn om... Vermijd apps die door het systeem als niet-geverifieerd zijn gemarkeerd..
Om te voorkomen dat de deur voor experimenten volledig wordt gesloten, heeft Google de oprichting aangekondigd van gratis accounts met beperkte distributieDeze accounts, bedoeld voor studenten en hobbyisten, stellen je in staat om apps te delen met een kleine groep van maximaal [aantal gebruikers]. 20-apparaten zonder dat u alle documentatie hoeft aan te leveren of de standaard registratiekosten hoeft te betalen.
Dit model is bedoeld om praktijken zoals de volgende te faciliteren: universitaire projecten, interne proeven of kleine gemeenschappen die tools delen met vrienden en samenwerkers. Toch is het niet ontworpen voor massale verspreiding, dus iedereen die een breed publiek wil bereiken, zal uiteindelijk tegen de verificatieplicht aanlopen.
In de Europese context zijn er veel startups en ontwikkelingsteams Bedrijven die vanuit Spanje of de rest van de EU opereren, moeten de volgende vereisten in hun stappenplan opnemen: juridische documentatie opstellen, hun privacybeleid aanpassen, een minimale ondersteuningswebsite onderhouden en de ondertekeningssleutels van hun APK's correct registreren.
Beveiligingsredenen en de verandering in de identiteit van Android.
Vanuit het perspectief van Google is de stap gebaseerd op data. Het bedrijf beweert dat Malware komt tientallen keren vaker voor. in apps die van willekeurige sites zijn gedownload in vergelijking met apps die via gecontroleerde appwinkels zoals de Play Store zijn verkregen.
In regio's met een hoge incidentie van fraude, zoals Brazilië of IndonesiëEr zijn veelvoorkomende aanvallen waarbij een applicatie de app van de bank overschrijft om inloggegevens te stelen, of waarbij een nep-technische ondersteuning het slachtoffer ertoe aanzet een app voor afstandsbediening te installeren waarmee het apparaat in handen van de aanvaller valt.
De strategie van Google combineert dus twee elementen: enerzijds de verplichte identiteitsverificatie zodat elke kwaadwillende actor kan worden geïdentificeerd en uit het ecosysteem kan worden verwijderd; aan de andere kant een gebruikerservaringontwerp dat daaraan bijdraagt bewuste wrijving Precies daar waar oplichting de meeste schade heeft aangericht.
Deze aanpak vertegenwoordigt echter een ingrijpende verandering in de open filosofie die Android historisch gezien heeft gekenmerktWat voorheen een platform was waar iedereen een app kon bouwen en vrijelijk kon delen, is nu onderworpen aan gecentraliseerde registratie en goedkeuring door een groot technologiebedrijf.
In de praktijk zal Android flexibeler blijven dan andere gesloten mobiele systemen, maar de scheidslijn tussen Android en modellen zoals iOS of meer gecontroleerde ecosystemen wordt met elk nieuw beveiligingsbeleid steeds kleiner.
Reacties vanuit de gemeenschap en verzetsbewegingen
De veranderingen hebben in een groot deel van de regio tot bezorgdheid geleid. FOSS-gemeenschap (gratis en open source software)die dit nieuwe beleid zien als een poging om strenger te controleren welke software gebruikers kan bereiken.
Organisaties en projecten zoals F-Droid, Brave, Nextcloud, AdGuard, microG of Epic Games Ze hebben campagnes en open brieven gelanceerd waarin ze Google vragen om de verplichte registratie af te schaffen of op zijn minst duidelijke manieren te bieden om een werkelijk onafhankelijke distributie te behouden zonder gebruik te hoeven maken van de infrastructuur van Google.
Een van de meest gehoorde angsten is dat alternatieve appwinkels Websites die duizenden open source-projecten hosten, worden voor de eindgebruiker gemarkeerd als "niet-geverifieerde bronnen", wat een groot deel van hun minder technisch onderlegde gebruikersgroep zou kunnen afschrikken.
Gezien dit scenario raden sommige stromingen aan om te kiezen voor alternatieve winkels of zelfs via op Android gebaseerde besturingssystemen die niet gekoppeld zijn aan Google-services, zoals GrapheneOS en andere privacygerichte ROM's, die niet onder deze beperkingen vallen omdat het geen door Google gecertificeerde apparaten zijn.
Deze systemen vormen echter nog steeds een minderheid en zijn complexer om te installeren, waardoor ze geen directe oplossing bieden voor de meerderheid van de gebruikers in Spanje of Europa. Zij zullen immers mobiele telefoons met gecertificeerd Android-besturingssysteem van de grote fabrikanten blijven gebruiken.
Botsing met Europese regelgeving: de DMA doet zijn intrede.
In de context van de Europese Unie worden de nieuwe verificatiemuur en de obstakels voor sideloading niet alleen vanuit een technisch of veiligheidsperspectief geanalyseerd. Ze worden ook bekeken vanuit het perspectief van... Wet digitale markten (DMA), wat grote platforms die als "toegangspoorten" worden beschouwd, verplicht om de concurrentie niet te belemmeren.
Artikel 6(4) van deze verordening bepaalt dat degenen die het besturingssysteem beheren, het volgende moeten toestaan: installatie en effectief gebruik van apps en appwinkels van derdenDe belangrijkste vraag voor toezichthouders zal zijn of de nieuwe stappen, wachttijden en identiteitsvereisten wel gerechtvaardigd zijn. geleverd en noodzakelijk om de gebruiker te beschermen, of juist als ze onnodige belemmeringen creëren die de gebruiker naar de Play Store duwen.
Google stelt dat ontwikkelaarsverificatie, eenmalige betaling en het indienen van officiële documenten strikt noodzakelijke maatregelen om malware en fraude te verminderen.Dit is iets wat de DMA onder bepaalde voorwaarden toestaat. De Europese Commissie zal echter moeten beoordelen of de balans tussen veiligheid en keuzevrijheid wel echt goed is.
Als Brussel concludeert dat deze belemmeringen worden gebruikt om het distributiemonopolie van Google te versterken, zou het bedrijf te maken kunnen krijgen met sancties. boetes tot 10% van hun wereldwijde omzetof zelfs 20% in geval van herhaling, naast mogelijke bevelen om het Android-ontwerp in Europees grondgebied opnieuw aan te passen.
Ondertussen moedigen kritische groeperingen in Europa gebruikers en ontwikkelaars aan om documenteer mogelijke negatieve gevolgen en hun klachten door te sturen naar de mededingingsautoriteiten en de instanties die verantwoordelijk zijn voor de handhaving van de Kaderrichtlijn Water.
Wat er voor Android in het verschiet ligt, is een ingrijpende herstructurering: meer beveiliging en traceerbaarheid, maar ook minder anonimiteit en meer gecentraliseerde controle. Tussen de verplichting om vrijwel elke ontwikkelaar die het grote publiek wil bereiken te verifiëren, de nieuwe geavanceerde workflow met wachttijden van 24 uur voor niet-geverifieerde apps en de regelgeving in Europa, evolueert het ecosysteem naar een model waarin Het blijft mogelijk om apps gratis te installeren, maar het wordt steeds moeilijker. en meer beïnvloed door zowel technische als juridische beslissingen.
Professionele technologie- en software-editor