- Od 2026 roku system Android będzie wymagał od zweryfikowanych deweloperów instalowania aplikacji na certyfikowanych urządzeniach, nawet spoza Google Play.
- Wprowadzono zaawansowany obieg pracy z obowiązkowym 24-godzinnym oczekiwaniem i wieloma krokami dla aplikacji pochodzących od niezweryfikowanych programistów.
- Google umożliwia studentom i hobbystom tworzenie kont o ograniczonej dystrybucji oraz wymaga specjalnej rejestracji w przypadku aplikacji dystrybuowanych poza sklepem Play.
- W Europie zmiany te mogą kolidować z ustawą o rynkach cyfrowych, co stworzy nowe ramy regulacyjne i wywrze presję ze strony społeczności FOSS.
Android zbudował swoją sławę częściowo na bardzo prostym pomyśle: możliwość instalowania aplikacji praktycznie z dowolnego miejscabez polegania wyłącznie na oficjalnym sklepie GoogleTa swoboda nie zniknie, ale w nadchodzących miesiącach pojawią się nowe warunki, ostrzeżenia i kroki pośrednie, które zasadniczo zmienią sposób instalowania aplikacji na certyfikowanych telefonach z systemem Android.
Google wprowadza nowe ramy bezpieczeństwa, które łączą Obowiązkowa weryfikacja programistyKontrola na poziomie systemu i specjalny proces dla zaawansowanych użytkowników, którzy chcą nadal pobierać aplikacje z zewnętrznych źródeł. Ta zmiana jest szczególnie istotna dla Europy i Hiszpanii, gdzie… Prawo rynków cyfrowych (DMA) uważnie monitoruje wszelkie próby ograniczania konkurencji na dominujących platformach.
Nowe wymagania Google dotyczące instalowania aplikacji na Androidzie
Z Wrzesień 2026W systemie Android nastąpią duże zmiany: instalacja aplikacji na certyfikowanych urządzeniach (obejmujących usługi Google Play) będzie możliwa tylko wtedy, gdy pochodzą one z programiści, których tożsamość została zweryfikowana przez GoogleNie ma znaczenia, czy aplikacja pochodzi z Google Play, alternatywnego sklepu czy jest dostępna do bezpośredniego pobrania w formacie APK.
Wdrażanie tego nowego modelu będzie stopniowe. Google potwierdziło pierwsze uruchomienie w Brazylia, Indonezja, Singapur i Tajlandiarynki szczególnie dotknięte oszustw finansowych i kampanii złośliwego oprogramowaniaNastępnie firma planuje rozszerzyć politykę na pozostałe regiony w 2027 r., co bezpośrednio wpłynie na użytkowników i deweloperów w Hiszpanii i reszcie Europy.
Dotychczas obowiązek weryfikacji tożsamości dotyczył zasadniczo osób zamieszczających na portalu Play StoreZmiana oznacza rozszerzenie tego wymogu na każdą aplikację, która ma zostać zainstalowana na certyfikowanym urządzeniu z Androidem, nawet jeśli jest dystrybuowana alternatywnymi kanałami. W efekcie Wszystkie instalacje podlegają rejestracji Google.
W praktyce, jeśli deweloper nie przejdzie przez ten proces, jego aplikacje zostaną domyślnie zablokowane. Android potraktuje aplikacje od niezweryfikowanych autorów jako oprogramowanie wysokiego ryzyka i podda je znacznie bardziej złożonemu procesowi instalacji lub, w większości standardowych scenariuszy, całkowicie je zablokuje.
Jak działa weryfikacja programistów
Nowy system identyfikacji programisty opiera się na Dedykowana konsola programisty Androida Dla tych, którzy dystrybuują aplikacje poza Google Play. Ta platforma będzie działać jako globalny rejestr dla każdej aplikacji, która chce działać normalnie na certyfikowanych urządzeniach mobilnych z Androidem.
dla konta osobisteWniesienie wkładu będzie obowiązkowe Informacje prawne, ważny dokument tożsamości, adres pocztowy, adres e-mail i weryfikowalny numer telefonuW przypadku firm i organizacji Google będzie wymagać dodatkowych informacji, takich jak: strona internetowa, dane kontaktowe pomocy technicznej, a w niektórych przypadkach identyfikatory firmy, takie jak numer D-U-N-S.
Proces ten obejmuje również rejestracja klucza podpisuProgramiści muszą zadeklarować certyfikaty klucza publicznego, których używają do podpisywania swoich aplikacji, i powiązać je z nazwami pakietów (na przykład com.example.app). To powiązanie pozwoli systemowi Android zweryfikować w momencie instalacji, czy aplikacja pochodzi od zarejestrowanego programisty.
Podobnie jak w przypadku Sklepu Play, rejestracja w tym systemie weryfikacji będzie wymagała jednorazowa płatność w wysokości około 25 dolarów Google twierdzi, że ten koszt i brak anonimowości utrudniają życie cyberprzestępcom, ponieważ każdy program będzie powiązany z weryfikowalną i unieważnialną tożsamością w przypadku nadużycia.
Mniej przyjemną stroną wielu projektów jest darmowe oprogramowanie i narzędzia specjalistyczne Oznacza to rezygnację z anonimowego udostępniania aplikacji. Deweloperzy, którzy wcześniej opublikowali wersje eksperymentalne, emulatory lub narzędzia do ochrony prywatności bez ujawniania swoich danych osobowych, będą zmuszeni do zidentyfikuj się w Google jeśli chcą, aby ich aplikacje mogły zostać zainstalowane bez problemów na większości popularnych telefonów z systemem Android.
Kontrola na poziomie systemu: blokowanie niezweryfikowanych aplikacji
Zmiana nie ogranicza się do wymogu biurokratycznego. Android zintegruje tę warstwę weryfikacji bezpośrednio z menedżer pakietów systemowychOznacza to, że sprawdzenie zostanie przeprowadzone niezależnie od tego, czy aplikacja pochodzi z Google Play, została zainstalowana za pomocą pobierania bocznego, czy też przy użyciu narzędzi takich jak Android Debug Bridge (ADB).
W normalnych warunkach, gdy użytkownik próbuje zainstalować aplikację, system sprawdzi podpis cyfrowy APK z bazą zweryfikowanych programistówJeśli zostanie znaleziona zgodna wartość, instalacja będzie kontynuowana ze standardowymi ostrzeżeniami; w przeciwnym razie zostanie aktywowany maksymalny przepływ tarcia lub proces zostanie bezpośrednio zablokowany, w zależności od typu użytkownika i konfiguracji.
Oznacza to, że nawet metody tradycyjnie stosowane przez zaawansowanych użytkowników w celu ominięcia ograniczeń interfejsu, takie jak polecenie adb install app.apkBędą podlegać tym samym kontrolom. Google zamierza, aby nie powinno być łatwych luk technicznych przez co aplikacja bez zidentyfikowanego autora może przedostać się do oficjalnego ekosystemu.
W niektórych scenariuszach możliwe będzie włączenie zaawansowany tryb programisty Ten tryb jest przeznaczony do bardzo specyficznych instalacji, ale będzie tymczasowy i będzie wymagał okresowego odnawiania. Chodzi o to, aby nie stał się on trwałą furtką do masowej dystrybucji niezweryfikowanego oprogramowania.
Zgodnie z oficjalną dokumentacją, blokowanie niezweryfikowanych aplikacji będzie stosowane automatycznie, bez ingerencji użytkownika. Nie będzie konieczności ponownego uruchamiania urządzenia za każdym razem ani oczekiwania na weryfikację tożsamości, gdy aplikacja pochodzi od zatwierdzonego dewelopera.
Nowy „zaawansowany przepływ”: tak będzie działać instalacja aplikacji od niezweryfikowanych programistów
Oprócz tej warstwy weryfikacji firma Google zaprojektowała specjalny mechanizm dla tych, którzy mimo zrozumienia ryzyka chcą nadal instalować aplikacje z niezweryfikowani programiści. Proces ten jest znany jako „przepływ zaawansowany” i jest przeznaczony dla doświadczonych użytkowników, którzy potrzebują dodatkowej elastyczności.
Deklarowany cel jest dwojaki: utrzymanie możliwości ładowanie boczneale otoczyć go tak dużym tarciem, że stanie się bezużyteczny w przypadku oszustw opartych na Inżynieria społecznaObecnie ataki zwykle polegają na trzymaniu ofiary na telefonie lub na zdalnym połączeniu, jednocześnie instruując ją krok po kroku, jak wyłączyć zabezpieczenia telefonu i pobrać złośliwą aplikację.
Aby przełamać tę dynamikę, zaawansowany przepływ wprowadza kilka powiązanych kroków. Pierwszy składa się z ręcznie włącz tryb programisty z ustawień urządzenia, bez szybkiego dostępu lub skrótów, które atakujący może wykorzystać za pomocą kilku kliknięć.
Po wprowadzeniu tych opcji przez użytkownika, system Android wyświetla konkretne wiadomości z pytaniem, czy ktoś każe im wyłączyć zabezpieczeniaChodzi o to, aby zmusić osobę do refleksji i wykrycia, czy działa pod presją lub czy wykonuje instrukcje od osoby trzeciej, która może próbować ją oszukać.
Po tym potwierdzeniu system wymaga uruchom ponownie telefonPonowne uruchomienie powoduje przerwanie wszystkich trwających połączeń, a także sesji zdalnego dostępu, których niektórzy oszuści używają do przeglądania ekranu i kontrolowania urządzenia podczas oszustwa.
Obowiązkowe 24-godzinne oczekiwanie i późniejsza autoryzacja
Najbardziej rzucającym się w oczy elementem nowego nurtu jest tzw. „okres wyczekiwania ochronnego”Po aktywowaniu trybu programisty i ponownym uruchomieniu urządzenia system Android wymusza oczekiwanie. 24 pełnych godzin przed zezwoleniem na instalację aplikacji pochodzących od niezweryfikowanych programistów.
Ten dzień oczekiwania nie jest kaprysem technicznym, lecz celowym działaniem mającym na celu dezaktywować poczucie pilności który wykorzystuje wiele oszustw. W tym czasie wszelkie naciski ze strony rzekomego „wsparcia technicznego”, fałszywego prawnika czy rzekomego pracownika banku tracą na sile, a ofiara ma czas na zweryfikowanie informacji, poproszenie o pomoc lub po prostu uświadomienie sobie, że coś jest nie tak.
Po upływie tego okresu system prosi użytkownika o podanie Proszę ponownie zweryfikować swoją tożsamość na urządzeniu. za pomocą odcisku palca, rozpoznawania twarzy lub kodu PIN. Dopiero po przejściu tego silnego uwierzytelnienia możliwość kontynuowania pobierania danych w ramach tego zaawansowanego procesu zostaje odblokowana.
Stamtąd użytkownik może instalować aplikacje pochodzące od niezweryfikowanych programistów i wybierz, czy zezwolić na ten typ instalacji przez siedem dni czy na czas nieokreślonyW każdym przypadku, gdy zostanie zainstalowana aplikacja tego typu, w systemie Android pojawią się widoczne ostrzeżenia informujące, że pochodzi ona od niezweryfikowanego autora, choć będzie można kontynuować instalację po kolejnym kliknięciu.
Google twierdzi, że ten przepływ jest zaprojektowany jako proces jednorazowynie jako męka, którą trzeba powtarzać za każdym razem, gdy pobierany jest zewnętrzny plik APK. Gdy zaawansowany użytkownik jasno da do zrozumienia, że rozumie ryzyko, konfiguracja pozostaje aktywna w wybranych granicach (jeden tydzień lub na czas nieokreślony), zmniejszając tarcia w codziennym użytkowaniu.
Wpływ na niezależnych programistów, studentów i hobbystów
Duże studia i firmy, które już dystrybuują swoje aplikacje za pośrednictwem Sklepu Play, poczyniły już pewne postępy, ale niezależni deweloperzy, małe studia i projekty osobiste Nowy model stawia przed nami kilka ważnych wyzwań.
Osoby publikujące aplikacje z repozytoriów takich jak GitHub lub z własnych stron internetowych przekonają się, że ich prace nie instalują się prawidłowo na większości certyfikowanych telefonów z Androidem, jeśli nie ukończą rejestracji weryfikacyjnej. Przeciętny użytkownik, który nie chce męczyć się z menu deweloperskim ani czekać 24 godziny, będzie miał tendencję do… Unikaj aplikacji oznaczonych przez system jako niezweryfikowane.
Aby nie zamykać całkowicie drzwi przed eksperymentami, Google ogłosiło utworzenie bezpłatne konta o ograniczonej dystrybucjiKonta te, przeznaczone dla studentów i hobbystów, umożliwiają udostępnianie aplikacji niewielkiej grupie liczącej maksymalnie [liczba użytkowników]. Urządzenia 20 bez konieczności dostarczania całej dokumentacji lub uiszczania standardowej opłaty rejestracyjnej.
Model ten ma na celu ułatwienie praktyk takich jak: projekty uniwersyteckie, próby wewnętrzne lub małe społeczności które udostępniają narzędzia znajomym i współpracownikom. Mimo to nie jest on przeznaczony do masowej dystrybucji, więc każdy, kto chce dotrzeć do szerokiego grona odbiorców, prędzej czy później napotka wymóg weryfikacji.
W kontekście europejskim wiele startupy i zespoły programistyczne Przedsiębiorstwa działające w Hiszpanii lub w innych krajach UE muszą uwzględnić w swoim planie działania następujące wymagania: przygotować dokumentację prawną, dostosować swoją politykę prywatności, prowadzić minimalną witrynę pomocy technicznej i prawidłowo rejestrować klucze podpisu swoich plików APK.
Względy bezpieczeństwa i zmiana tożsamości Androida
Z perspektywy Google ruch ten opiera się na danych. Firma twierdzi, że Złośliwe oprogramowanie pojawia się dziesiątki razy częściej w aplikacjach pobranych z losowych witryn w porównaniu do tych uzyskanych za pośrednictwem kontrolowanych sklepów, takich jak Play Store.
W regionach, w których występuje duża liczba oszustw, takich jak: Brazylia lub IndonezjaDo częstych ataków zaliczają się aplikacje nakładające się na aplikację banku w celu kradzieży danych uwierzytelniających lub fałszywe wsparcie techniczne, które nakłania ofiarę do zainstalowania aplikacji do zdalnego sterowania, przekazującej urządzenie atakującemu.
Strategia Google łączy zatem dwa elementy: z jednej strony obowiązkowa weryfikacja tożsamości tak, aby każdy złośliwy aktor mógł zostać zidentyfikowany i usunięty z ekosystemu; z drugiej strony projekt doświadczenia użytkownika, który dodaje świadome tarcie właśnie tam oszustwa wyrządziły największe szkody.
Podejście to oznacza jednak głęboką zmianę w otwarta filozofia, która historycznie definiowała AndroidaPlatforma, na której kiedyś każdy mógł stworzyć aplikację i swobodnie się nią dzielić, obecnie podlega scentralizowanej rejestracji i zatwierdzeniu przez dużą firmę technologiczną.
W praktyce Android pozostanie bardziej elastyczny niż inne zamknięte systemy mobilne, ale granica oddzielająca go od modeli takich jak iOS czy bardziej kontrolowanych ekosystemów staje się coraz węższa z każdą nową polityką bezpieczeństwa.
Reakcje społeczne i ruchy oporu
Zmiany wywołały alarm w wielu krajach Społeczność FOSS (oprogramowanie wolne i otwarte)którzy uważają, że nowa polityka jest próbą ściślejszej kontroli nad tym, jaki rodzaj oprogramowania może dotrzeć do użytkowników.
Organizacje i projekty takie jak: F-Droid, Brave, Nextcloud, AdGuard, microG lub Epic Games Rozpoczęli kampanie i wysłali listy otwarte, w których wzywają Google do zniesienia obowiązku rejestracji lub przynajmniej do przedstawienia jasnych sposobów na utrzymanie całkowicie niezależnej dystrybucji bez konieczności korzystania z własnej infrastruktury.
Jedną z najczęściej powtarzających się obaw jest to, że alternatywne sklepy z aplikacjami witryny, które udostępniają tysiące projektów typu open source, są oznaczane dla użytkownika końcowego jako „niezweryfikowane źródła”, co może odstraszyć znaczną część ich mniej technicznych użytkowników.
Biorąc pod uwagę ten scenariusz, niektóre ruchy zalecają wybór sklepy alternatywne lub nawet przez systemy operacyjne oparte na Androidzie, ale niepowiązane z Usługami Google, takie jak GrapheneOS i inne ROM-y nastawione na prywatność, które nie podlegają tym ograniczeniom, ponieważ nie są urządzeniami certyfikowanymi przez Google.
Systemy te są jednak nadal rzadkością i ich instalacja jest bardziej skomplikowana, dlatego nie stanowią one natychmiastowego rozwiązania dla większości użytkowników w Hiszpanii i Europie, którzy nadal będą korzystać z telefonów komórkowych z certyfikowanym systemem Android dostarczanym przez głównych producentów.
Konflikt z europejskimi regulacjami: DMA wkracza na scenę
W kontekście Unii Europejskiej, nowy mur weryfikacyjny i przeszkody w przesyłaniu danych poza granice Unii Europejskiej są analizowane nie tylko z perspektywy technicznej czy bezpieczeństwa. Są one również analizowane przez pryzmat... Prawo rynków cyfrowych (DMA), który zobowiązuje duże platformy uważane za „strażników dostępu” do nieutrudniania konkurencji.
Artykuł 6(4) tego rozporządzenia stanowi, że osoby kontrolujące system operacyjny muszą zezwolić instalacja i efektywne korzystanie z aplikacji i sklepów innych firmKluczowym pytaniem dla organów regulacyjnych będzie ustalenie, czy nowe kroki, czasy oczekiwania i wymagania dotyczące tożsamości są zapewnione i konieczne w celu ochrony użytkownika lub wręcz przeciwnie, wprowadzają nieuzasadnione tarcia, które w efekcie popychają go w stronę Play Store.
Google twierdzi, że weryfikacja programisty, jednorazowa płatność i przesłanie oficjalnych dokumentów są środki niezbędne do ograniczenia złośliwego oprogramowania i oszustwDMA dopuszcza taką możliwość pod pewnymi warunkami. Komisja Europejska będzie jednak musiała ocenić, czy równowaga między bezpieczeństwem a swobodą wyboru jest rzeczywiście dobrze wyważona.
Jeżeli Bruksela dojdzie do wniosku, że bariery te służą wzmocnieniu monopolu dystrybucyjnego Google, firma może stanąć przed kary do 10% globalnego obrotulub nawet 20% w przypadku recydywy, oprócz ewentualnych nakazów ponownej modyfikacji projektu Androida na terenie Europy.
Tymczasem grupy krytyczne w Europie zachęcają użytkowników i deweloperów do udokumentować potencjalne negatywne skutki i przekazywać swoje skargi do organów ochrony konkurencji i organów odpowiedzialnych za egzekwowanie Ramowej Dyrektywy Wodnej.
Android czeka głęboka rekonfiguracja: większe bezpieczeństwo i identyfikowalność, ale także mniejsza anonimowość i bardziej scentralizowana kontrola. Ze względu na wymóg weryfikacji niemal każdego programisty, który chce dotrzeć do szerokiego grona odbiorców, nowy, zaawansowany proces z 24-godzinnym okresem oczekiwania na niezweryfikowane aplikacje oraz presję regulacyjną w Europie, ekosystem zmierza w kierunku modelu, w którym Nadal będzie można swobodnie instalować aplikacje, ale stanie się to coraz trudniejsze. i bardziej uwarunkowane decyzjami technicznymi i prawnymi.
Profesjonalny redaktor technologii i oprogramowania