Android меняется: Новое правило Google усложнит установку приложений из сторонних источников

Google представил новое решение проблемы вредоносного ПО на Android. Компания хочет, чтобы все разработчики приложений подтверждали свою личность — даже если они распространяют софт вне Google Play.

На данный момент, разработчики, которые публикуют приложения в Google Play, должны принимать правила Play Console и предоставлять Google данные:

• Юридическое имя и адрес
• Номер D-U-N-S (для организаций)
• Контактный e-mail и телефон
• E-mail и телефон разработчика, которые видны в Play Store,
• Платежные данные (если нужны),
• Профиль Google Payments, связанный с учетной записью разработчика,
• В ряде случаев — копию государственного удостоверения личности.

(Источники: 1, 2)

Те, кто выкладывает приложения на GitHub, F-Droid или других сторонних площадках, не обязаны раскрывать никакие данные Google. Фактически любой человек, обладающий навыками, может анонимно распространять ПО.

Именно это и меняется. Новая политика Google может затруднить установку приложений вне Google Play. В первом же предложении анонса компания заявляет:

«Вы не должны выбирать между между открытостью и безопасностью».

Android всегда позиционировался как открытая система, где пользователь свободен делать то, что считает нужным. Теперь кажется, что Google начинает отходить от этого принципа.

Компания объясняет: злоумышленники используют анонимность, чтобы подделывать легитимные приложения и выпускать убедительные фальшивки под чужим брендом. Типичный прием из арсенала Apple — снова ставку делают на аргумент «безопасность превыше всего».

По словам Google, собственный анализ показал: среди приложений, установленных через сторонние площадки, вредоносного ПО более чем в 50 раз больше, чем в Google Play. Но фактически компания сама признает — даже Play Store не застрахован от вредоносного ПО. Возникает вопрос: а где же тогда Google Play Защита, которая должна сканировать приложения? Ответ Google прост: этого недостаточно. В компании решили, что нужен дополнительный уровень безопасности — верификация разработчиков.

С будущего года Android будет требовать, чтобы все приложения были зарегистрированы у подтвержденных разработчиков, иначе их нельзя будет установить на сертифицированные Android-устройства. Под «сертифицированными» понимаются гаджеты с Google Mobile Services и Play Store, то есть почти весь рынок — около 99% устройств. Таким образом, любое приложение от непроверенного разработчика просто не сможет устанавливаться.

Для этого Google создает новый интерфейс Android Developer Console специально для приложений, распространяемых вне Google Play. Предварительный обзор консоли уже доступен на странице поддержки и в PDF-документе.

Разработчикам придется предоставить полный пакет данных:

• Юридическое имя и адрес
• Номер D-U-N-S (для организаций)
• E-mail и телефон
• Копию государственного удостоверения личности

По сути, набор требований почти такой же, как и при публикации в Google Play. Кроме того, разработчики будут обязаны регистрировать имена пакетов приложений — они будут жестко привязаны к их личности. Финальный шаг — подписать APK своим приватным ключом и загрузить его, чтобы подтвердить право владения.

Для студентов и энтузиастов правила сделают мягче: аккаунт можно будет создать без взноса 25 долларов и с минимальными требованиями к данным.

Google уверен, что если идентифицировать разработчиков и блокировать тех, кто не соблюдает правила, риск распространения вредоносного ПО значительно снизится. Компания подчеркивает, что новые требования уже получили положительные отзывы от Федерации банков Бразилии (FEBRABAN), Министерства цифровых коммуникаций и информационных технологий Индонезии, а также Министерства цифровой экономики и общества Таиланда.

Действительно, новые правила могут заблокировать вредоносные приложения. Но цена может оказаться слишком высокой. Для разработчиков это риск потери приватности. Не исключено, что часть авторов, которые хотят сохранить анонимность, просто откажутся от Android как платформы. Возникает вопрос: не этого ли добивается Google? Может быть, цель — отпугнуть разработчиков и ослабить сторонние магазины приложений.

Под угрозой окажутся проекты, которые традиционно распространяются вне Google Play: F-Droid, LibreTube, NewPipe, Revanced, Syncthing-Fork, Cromite и другие. Их авторы будут вынуждены раскрывать свои реальные данные Google, иначе приложения могут попасть в «черный список». Такая политика легко может быть воспринята как антиконкурентная практика и вызвать новые антимонопольные расследования. У Apple уже были подобные проблемы в Европе, где ее обвинили в попытке ограничить работу сторонних маркетов приложений.

Еще один риск — исковые требования DMCA (закон об авторском праве). Если данные разработчиков станут публично доступны, это может ударить по приложениям-эмуляторам и другим проектам, находящимся в «серой зоне». Кроме того, часть приложений может просто исчезнуть, если их авторы не согласятся раскрывать свои данные Google.

Компания уже обозначила график внедрения:

• Октябрь 2025 — ранний доступ к системе верификации.
• Март 2026 — открытие регистрации для всех разработчиков.
• Сентябрь 2026 — обязательное требование для Бразилии, Индонезии, Сингапура и Таиланда.
• С 2027 года — глобальный запуск.

Сейчас это подается как дополнительная мера безопасности. Однако в перспективе шаг может привести к постепенному ограничению сторонних загрузок. Экосистема Android рискует превратиться в закрытую систему по аналогии с iOS.