Google kondigt verificatieschema voor Android sideload-installatie aan. Vanaf eind september mogen gebruikers uit vier landen geen APK's meer sideloaden

Google heeft in 2025 het Android Developer Verification Program aangekondigd, dat vereist dat zelfs sideloaded applicaties een geldige handtekening van de ontwikkelaar moeten hebben. Het is duidelijk dat dit het open Android-ecosysteem zal ondermijnen, dus het hele beleid heeft veel kritiek gekregen, maar Google blijft aandringen op het promoten van dit beleid om fraude te bestrijden, dat wil zeggen dat oplichters slachtoffers ertoe zullen aanzetten phishing-applicaties te installeren, vermomd als banken, of andere tools om gebruikersinformatie te stelen.

Na de controverse heeft Google het verificatieprogramma verfijnd om een ​​evenwicht te vinden tussen openheid en beveiligingsbescherming. Gebruikers kunnen bijvoorbeeld nog steeds niet-ondertekende applicaties blijven installeren, maar moeten 24 uur wachten voordat ze worden geïnstalleerd. Ontwikkelaars kunnen ook een beperkt distributieaccount aanvragen, waarvoor geen verificatie- en betalingskosten vereist zijn, en applicaties op 20 apparaten kunnen distribueren.

Het specifieke tijdschema is inmiddels bekend:

Vanaf deze maand zal Google een nieuwe systeemservice pushen naar de meeste apparaten die zijn uitgerust met GMS-services. De service wordt vanaf later dit jaar automatisch geïnstalleerd en gebruikt om de registratie-identiteiten van ontwikkelaars te verifiëren. Dit is een basiscomponent voor het daaropvolgende testen van installatiebeperkingen en de implementatie van mechanismen voor identiteitsverificatie van ontwikkelaars. In dit stadium is deze dienst slechts een voorlopig duwtje in de rug en zal het definitieve verificatiemechanisme vanaf 30 september van kracht worden in Brazilië, Indonesië, Singapore en Thailand.

Juni 2026: Google zal nieuwe systeemservices pushen ter voorbereiding op de daaropvolgende verificatie van de sideload-installatie.

Juli 2026: Google lanceert de Developer Console ID Status API wereldwijd en opent vroege toegang tot de Android Developer Console API.

Juli 2026: vroege proeflancering van beperkte distributieaccounts voor studenten, enthousiastelingen en leerlingen. Aanvraag voor dergelijke accounts ondersteunt de distributie van 20 apparaten zonder betaling.

Augustus 2026: Google is van plan om wereldwijd beperkte distributieaccounts te lanceren en een nieuwe versie van de Android Developer Console API te lanceren.

Augustus 2026: Google lanceert een sideload-installatieproces voor gevorderde gebruikers zonder verificatie, waardoor ervaren gebruikers een flexibele sideload-installatie kunnen krijgen.

September 2026: Vanaf 30 september wordt een sideloading-installatie gelanceerd in Brazilië, Indonesië, Singapore en Thailand. Gebruikers kunnen alleen geverifieerde applicaties sideloaden en installeren.

Een app installeren die niet door de ontwikkelaar is geverifieerd:

Om de flexibiliteit van sideloading voor ervaren gebruikers te behouden, heeft Google na overweging een verplichte bewaarmogelijkheid van 24 uur opzij gezet. Dat wil zeggen dat gebruikers het sideloaden van niet-geverifieerde applicaties vooraf in de instellingen kunnen inschakelen. Voor dit proces moet u 24 uur wachten. Na 24 uur kunnen gebruikers applicaties sideloaden en installeren zonder ontwikkelaars-ID's. Het voordeel hiervan is dat fraudeurs worden geblokkeerd wanneer ze gebruikers ertoe aanzetten niet-geverifieerde applicaties te installeren, en dat slachtoffers 24 uur de tijd moeten krijgen om het probleem op te merken.

De optie voor verplichte 24-uursbewaring is een eenmalige instelling. Nadat het is ingeschakeld, hoeven toekomstige installaties van niet-geverifieerde applicaties niet te worden herhaald. Uiteraard kan Google dit beleid aanpassen op basis van telemetriegegevens. Als Google constateert dat de eenmalige instelling fraudeurs niet effectief kan blokkeren, kan deze in de toekomst worden gewijzigd in een geplande afsluiting en moet de volgende sideload nog eens 24 uur wachten (dit is slechts onze inschatting).

Voor ADB-sideloading is ook geen verificatie vereist:

Om ontwikkelaars en ervaren gebruikers in staat te stellen niet-geverifieerde applicaties onmiddellijk te sideloaden en te installeren, kunnen gebruikers nog steeds elke niet-geverifieerde applicatie sideloaden en installeren via de opdrachtregel via Android Debug Bridge (ADB). Dit proces hoeft geen 24 uur te wachten en de applicatie kan onmiddellijk worden geïnstalleerd en gebruikt. Er wordt geschat dat Google van mening is dat het voor fraudeurs moeilijker is om gebruikers ertoe te bewegen Android-apparaten met pc's te verbinden om ADB-bewerkingen uit te voeren, dus ADB is nog steeds een relatief open interface.

Ten slotte zal de verificatie van Android-ontwikkelaars in 2027 de hele wereld bestrijken. Tegen die tijd moeten alle apparaten die GMS ondersteunen standaard applicaties installeren die de ontwikkelaarsauthenticatie hebben doorstaan ​​bij het sideloaden van de installatie. Applicaties die niet zijn geverifieerd, worden direct door het systeem onderschept. Gebruikers moeten 24 uur wachten om verificatievrij in te schakelen, of bewerkingen uitvoeren via ADB.