Исходный код Android открыт по лицензии Apache 2.0, и собрать систему из репозитория AOSP может любой, у кого хватит навыков. Телефон в кармане устроен иначе: поверх открытой основы лежит закрытая надстройка производителя и проприетарные сервисы Google, без которых заметная часть приложений теряет функции или вовсе не запускается. За полтора года Google перевела разработку во внутренние ветки, перестала публиковать device tree для смартфонов Pixel и сократила публикацию исходников в AOSP до двух раз в год. С в четырёх странах начнёт действовать обязательная регистрация приложений у проверенных разработчиков, а в 2027 году требование планируют распространить на весь мир.

AOSP под лицензией Apache 2.0: что входит в репозиторий
AOSP — это репозиторий, из которого производители берут основу для своих прошивок. Большая часть кода распространяется по разрешительной лицензии Apache 2.0, а не по копилефт-лицензии: открывать производные работы она не требует. В Google объясняют выбор лицензии расчётом на максимально широкое распространение системы.
AOSP (Android Open Source Project) — публичный репозиторий исходного кода Android, из которого собирается базовая версия системы без приложений и сервисов Google.
Скачать исходники, собрать образ и установить его на подходящее железо никто не запрещает. Проблема в другом: чистый AOSP — каркас. Оболочка, камера с фирменной обработкой снимков, драйверы модема и графики, средства защиты, приложения Samsung или OnePlus в репозиторий не попадают, и открывать их производитель не обязан.
Совместимость с экосистемой держится не на лицензии, а на договоре. Чтобы получить право предустановить Google Play и остальные сервисы, производитель подписывает соглашение MADA, приводит устройство в соответствие с документом CDD и прогоняет набор тестов CTS. Устройство, не прошедшее эту процедуру, остаётся в стороне от экосистемы, даже если Android на нём работает безупречно.
Чем сборка Google отличается от чистого AOSP
Граница проходит не по коду, а по тому, что добавлено вокруг него. Из AOSP собирается полноценная система: ядро, драйверная модель, песочница приложений, экран блокировки, телефония, базовый набор системных приложений. Всё, что делает телефон привычным, надстраивается сверху и лицензируется отдельным договором.
| Компонент | Чистый AOSP | Сборка с сервисами Google |
|---|---|---|
| Магазин приложений | Отсутствует, ставится сторонний | Google Play, предустановка обязательна по MADA |
| Проприетарные API | Отсутствуют | Геолокация из нескольких источников, push-уведомления, вход через аккаунт Google |
| Проверка приложений | Отсутствует | Google Play Защита |
| Поиск потерянного устройства | Отсутствует | Портал поиска |
| Резервное копирование | Локальное или средствами производителя | Шифрованная копия в аккаунте Google |
| Аттестация целостности | Устройство не сертифицировано | Play Integrity API, статус «Устройство сертифицировано» |
| Обновление системных модулей | Только вместе с прошивкой | Обновление системы через Google Play, отдельно от прошивки |
| Браузер | Отдельного браузера нет, только системный WebView | Chrome и поиск Google по условиям соглашения |
| Патчи платформы | Попадают в AOSP раз в квартал | Ежемесячные бюллетени и обновления через магазин |
| Имя и логотип Android | Без тестов совместимости использовать нельзя | Разрешены после CDD и CTS |
Ничего из правой колонки в репозитории нет. Приложения и API поставляются только на сертифицированные Google устройства, право на бренд даёт прохождение тестов, а лицензия Apache 2.0 ко всему этому отношения не имеет. Отсюда и практическое следствие, с которым сталкивается владелец сторонней прошивки: приложение, написанное под закрытые интерфейсы, на чистом AOSP не находит того, что ожидает найти.
Вопрос «открыт ли Android на моём телефоне» распадается на два. Ядро и каркас открыты, их исходный код опубликован. Оболочка производителя, сервисы Google и механизмы проверки целостности закрыты, и обязанности их открывать ни у кого не возникает.
Ядро Linux под GPLv2 и право производителя закрыть загрузчик
Ядро Linux, на котором работает Android, распространяется по GPLv2. Лицензия обязывает того, кто раздаёт изменённое ядро, выдать исходный код изменений. Именно поэтому производители смартфонов выкладывают ядра — не из доброй воли, а по условиям лицензии.
Требования дать покупателю возможность запустить пересобранное ядро на купленном устройстве в GPLv2 нет. Отсюда практика, за которой закрепилось название «тивоизация».
Тивоизация — выполнение буквы GPLv2 с публикацией исходного кода изменённого ядра при одновременном техническом запрете запускать изменённые сборки на устройстве. Название пошло от видеорекордеров TiVo.
Прямой запрет появился только в GPLv3, опубликованной 29 июня 2007 года. Ядро осталось на GPLv2 без формулировки «или любая более поздняя версия», поэтому смена лицензии потребовала бы согласия всех правообладателей кода. Линус Торвальдс переходить на GPLv3 отказался и публично позицию не менял.
За этим выбором стоит размен, который в LWN описывают прямо: если бы ядро перешло на лицензию с требованием разрешать установку изменённых сборок, значительная часть отрасли ушла бы на другую основу, а вместе с ней и корпоративное финансирование разработки. Свобода распространяется на код, но не на железо, которое этот код исполняет.
Дело SFC против Vizio: суд отделил исходный код от возможности его установить
суд удовлетворил ходатайство Vizio и постановил, что GPLv2 и LGPLv2.1 не обязывают распространителя выдавать сведения, необходимые для установки изменённой сборки обратно на телевизор с сохранением его работоспособности. В Software Freedom Conservancy ответили, что такой позиции никогда не занимали, и назвали решение не относящимся к предмету спора.
Основной спор продолжается. Организация судится не как правообладатель, а как покупатель телевизора, и в феврале 2026 года суд направил дело на рассмотрение присяжных. Выиграй SFC — требовать исходный код сможет каждый покупатель устройства с ядром Linux, а не только владелец авторских прав на код.
Что Google перенесла из AOSP в сервисы Google Play
Функции, которые пользователь считает частью Android, физически лежат в закрытом наборе: определение местоположения, Google Play Защита, Портал поиска (прежнее название — «Найти устройство»), резервное копирование, push-уведомления и тысячи регулярно обновляемых API для разработчиков.
Сервисы Google Play — проприетарный набор приложений и API системного уровня: геолокация, Google Play Защита, шифрование резервных копий, Google Cast, интеграция с Google Картами.
Логика переноса понятна. Компонент, живущий отдельно от прошивки, обновляется через магазин приложений и доезжает до пользователя за дни, а не через год, когда производитель соберёт новую версию оболочки. Плата за скорость — зависимость приложений от закрытых интерфейсов.
Насколько зависимость велика, видно из материалов британского антимонопольного регулятора CMA. По оценке самой Google, на апрель 2022 года 70-80% приложений в Google Play использовали хотя бы один API сервисов Google Play. Там же компания оговаривается, что доля не отражает трудоёмкость переноса приложения на устройство без этих сервисов: одним хватит замены пары вызовов, другим придётся переписывать половину логики.
Аттестация целостности: почему часть банковских приложений блокирует сторонние прошивки
Следующий уровень защиты — проверка целостности. Через Play Integrity API приложение получает от серверов Google подписанный вердикт: сертифицировано ли устройство, не изменена ли сборка самого приложения.
Play Integrity API — интерфейс, по которому приложение запрашивает у серверов Google подписанный вердикт о подлинности устройства, системы и самой сборки. Уровень strong integrity опирается на аппаратную аттестацию ключей.
Сертификация Play Защиты выдаётся модели устройства, прошедшей CDD и CTS. Прошивка, собранная сообществом, такой сертификации не имеет по определению: тестовую процедуру проходит производитель железа, а не автор сборки.
В GrapheneOS предлагают разработчикам обходной путь: пользоваться стандартным API аппаратной аттестации Android и добавлять в список доверенных ключи подписи сторонней системы. По доводам проекта, проверка через аппаратную аттестацию строже, чем через Play Integrity API: она сообщает аппаратно заверенный уровень обновлений безопасности и не зависит от серверов Google.
Массово этим не пользуются. В проекте GrapheneOS оценивают долю приложений, блокирующих работу на сторонних системах через Play Integrity API, примерно в 10% среди банковских и 20% среди государственных. Для владельца телефона картина выглядит просто: устройство исправно, а приложение банка сообщает, что среда небезопасна.
Проверка личности разработчиков вступает в силу 30 сентября 2026 года
Ещё один уровень появляется прямо сейчас. В марте 2026 года Google открыла проверку личности всем разработчикам сразу в двух консолях: привычной Play Console и новой Android Developer Console для тех, кто распространяет приложения мимо магазина. Аргумент компании — собственный анализ, по которому среди приложений, установленных в обход магазина, вредоносного ПО в 90 раз больше, чем в Google Play.
Регистрационных учётных записей две:
- Full Distribution — взнос 25 $, подтверждение личности по документу, для организаций дополнительно номер D-U-N-S и проверка сайта; число приложений и установок не ограничено.
- Limited Distribution — бесплатно, без документа, удостоверяющего личность, с установкой не более чем на 20 устройств, которые пользователь подтвердил явно.
С на сертифицированных устройствах в Бразилии, Индонезии, Сингапуре и Таиланде приложение установится обычным способом только при условии, что оно зарегистрировано проверенным разработчиком. Остаток 2026 года проверка останется в этих четырёх странах, в 2027 году требование планируют распространить на весь мир.
Незарегистрированные приложения не запрещены. Путей остаётся два: Android Debug Bridge и расширенный порядок установки (advanced flow). Второй описан в блоге Android и устроен так:
- включить режим разработчика в системных настройках;
- подтвердить, что установку не подсказывает посторонний человек;
- перезагрузить телефон и войти в систему заново, чтобы разорвать активный удалённый сеанс или звонок;
- выждать сутки;
- подтвердить действие отпечатком, лицом или PIN-кодом;
- выбрать срок действия разрешения — 7 дней или бессрочно.
Предупреждение о непроверенном разработчике остаётся на экране установки, но кнопка подтверждения доступна. Сборка и отладка своих приложений по-прежнему выполняются через ADB:
adb install app.apk
Device tree для Pixel, Cuttlefish и две публикации исходников в год
ветка aosp-main перешла в режим только для чтения. Предложения от внешних участников принимаются в ветку релиза; принятые правки Google переносит во внутренний Gerrit, а механизма уведомления о принятии или отклонении не предусмотрено.
исходники Android 16 вышли без device tree для Pixel и без новых бинарных драйверов, а история коммитов ядра оказалась сжата в один коммит. Device tree — набор конфигурационных файлов, описывающих аппаратную часть конкретной модели: разделы, датчики, привязки драйверов. Без него сборка системы под устройство превращается в реконструкцию по прежним веткам и готовым бинарникам.
Роль эталонного устройства AOSP перешла к Cuttlefish — виртуальной машине, запускающейся на обычном ПК, и к универсальным образам GSI. Смартфоны Pixel сравнялись с остальными: сборщикам прошивок приходится восстанавливать конфигурацию так же, как для любого другого аппарата.
| Дата | Изменение | Практическое следствие |
|---|---|---|
| 27 марта 2025 | Ветка aosp-main переведена в режим только для чтения | Правки принимаются в ветку релиза и переносятся во внутренний Gerrit |
| 11 июня 2025 | Исходники Android 16 опубликованы без device tree и драйверов Pixel | Сопровождение LineageOS и GrapheneOS для Pixel усложнилось |
| С 2026 года | Исходный код публикуется в AOSP дважды в год, в Q2 и Q4 | Сторонние сборки отстают от кода, работающего на смартфонах Google |
| Ежеквартально | Патчи платформы попадают в AOSP через 24-48 часов после квартального бюллетеня | Бюллетени безопасности выходят ежемесячно, исправления платформы — раз в квартал |
| Март 2026 | Проверка личности открыта всем разработчикам | Регистрация приложений возможна заранее, до включения ограничений |
| 30 сентября 2026 | Регистрация приложений обязательна в четырёх странах | Незарегистрированные приложения ставятся через ADB или advanced flow |
| 2027 год | Требование планируют распространить на все сертифицированные устройства | Порядок установки в обход магазина меняется во всём мире |
Ежемесячные бюллетени безопасности сохраняются, но исправления платформы попадают в AOSP в течение 24-48 часов после квартального бюллетеня — в марте, июне, сентябре и декабре. Исправления ядра берутся из основной ветки Linux напрямую, а исправления для чипов — у их производителей.
Исходный код Android 17 опубликован в AOSP вместе с релизом в июне 2026 года, так что репозиторий живёт и наполняется. Изменился темп публикации, а не сам её принцип.
Где AOSP работает без сервисов Google
Открытая основа никуда не делась — просто она нужна не тому, кто покупает телефон. Amazon собирает Fire OS на базе AOSP и обходится без Google Play, а подавляющее большинство смартфонов, продаваемых в Китае, поставляется вовсе без сервисов Google и никогда их не имело.
Производитель игровой приставки, телевизионной приставки или кассового терминала получает из AOSP готовую основу с драйверной моделью, магазином приложений на выбор и понятной средой разработки. Лицензия Apache 2.0 не требует открывать надстройку, поэтому весь фирменный слой остаётся закрытым.
Сторонние системы вроде LineageOS, GrapheneOS и CalyxOS собираются из того же AOSP. После ухода device tree для Pixel их сопровождение подорожало: конфигурацию приходится восстанавливать самостоятельно, а исходники теперь приходят двумя публикациями в год.
Как проверить сертификацию Play Защиты на своём телефоне
Статус устройства виден в магазине приложений и объясняет большинство странностей с банковскими и государственными приложениями. Порядок проверки такой:
- откройте приложение Google Play;
- нажмите на значок профиля в правом верхнем углу;
- откройте раздел «Настройки», затем «О приложении»;
- найдите строку «Сертификация Play Защиты».
Строка «Устройство сертифицировано» означает, что аппарат прошёл проверку совместимости с Android. Статус «Устройство не сертифицировано» встречается на аппаратах неофициальных поставок, на сторонних прошивках и на устройствах, чей производитель не подписывал соглашение с Google. На них не устанавливаются приложения Google, могут не приходить обновления и не работать безопасное резервное копирование.
Отключение Google Play Защиты статус сертификации не меняет: это разные механизмы. Первый сканирует приложения на устройстве, второй фиксирует, что модель прошла тесты совместимости.
Заключение
Открытость Android измеряется не наличием репозитория, а тем, что владелец может сделать с купленным устройством. Репозиторий на месте, лицензия Apache 2.0 не менялась, но публикация кода стала реже, эталонное устройство сменилось на виртуальное, а вокруг открытого ядра выросли три слоя проверок: сертификация модели, аттестация целостности приложением и регистрация разработчика.
Владелец обычного смартфона перемен почти не заметит: приложения из Google Play будут ставиться как раньше, а расширенный порядок установки понадобится один раз и только тем, кто устанавливает APK-файлы вне магазина. Цену изменений заплатят сборщики прошивок, независимые распространители приложений и те, кто держит на телефоне систему без сервисов Google. Для них 2027 год — ближайшая дата, к которой стоит готовиться.