Google объявила, что начиная с 2026 года на сертифицированных Android-устройствах (c предустановленными сервисами Google и защитой Play Protect) можно будет устанавливать только приложения, выпущенные верифицированными разработчиками. Команда F‑Droid — крупнейшего репозитория FOSS-приложений для Android — предупреждает: новая схема может поставить под угрозу работу альтернативных магазинов приложений и свободное распространение софта вне Google Play.
Что меняется: сроки, охват и технические детали
Пилотирование упрощенной Android Developer Console для разработчиков, распространяющих приложения за пределами Google Play, стартует уже в октябре. После KYC-подтверждения личности разработчикам потребуется зарегистрировать имя пакета и ключи подписи своих APK.
Сентябрь 2026 года — первый этап запуска в Бразилии, Индонезии, Сингапуре и Таиланде, где, по словам Google, особенно распространены мошеннические приложения. В 2027 году верификация разработчиков Android станет обязательной по всему миру, включая приложения из сторонних источников и установку через sideloading.
Разработчики, публикующие приложения в Google Play, «вероятно, уже соответствуют требованиям», поскольку проходят проверку через Play Console (для организаций — с указанием номера D‑U‑N‑S). При этом Google заявляет, что свобода распространять приложения через сторонние магазины сохранится, но для установки на сертифицированных устройствах потребуется верификация.
Аргументы Google: борьба с малварью и мошенничеством
Мотивировка Google — снизить долю вредоносных программ и «убедительных фейковых приложений», которыми злоумышленники подменяют законный софт. Компания ссылается на ужесточение требований в Google Play в 2023 году, после чего наблюдалось сокращение инцидентов с фродом и малварью. Формальная идентификация разработчиков усложняет быстрое «перерождение» злоумышленников после блокировок и повышает трассируемость цепочки распространения.
Однако даже официальные маркеты не застрахованы от компрометации. В прошлом в Google Play обнаруживались кампании с участием семейств Joker, Sharkbot и Xenomorph, что показывает: проверка издателя снижает, но не устраняет риск доставки вредоносов пользователям.
Позиция F‑Droid: угрозы для открытой экосистемы и приватности
F‑Droid — 15-летний FOSS‑репозиторий, где каждый проект публикуется в исходниках и компилируется силами платформы; политика исключает трекинг и навязчивую рекламу. По оценке команды, новая модель верификации может подорвать устойчивость альтернативных магазинов приложений: F‑Droid не будет принуждать независимых авторов получать верификацию у Google и не станет «перехватывать» идентификаторы пакетов для регистрации — это фактически означало бы присвоение прав на распространение.
Дополнительно F‑Droid указывает на риски сбора персональных данных и возможные регистрационные сборы (Google уже интересуется у участников тестирования возможностью оплаты в USD). Для многих FOSS‑разработчиков, распространяющих ПО бесплатно, это может стать барьером входа.
Команда проекта призывает регуляторов США и ЕС изучить последствия инициативы, подчеркивая, что право пользователя выбирать, какое ПО запускать на своем устройстве, — фундаментальная ценность открытой платформы Android.
Экспертная оценка: баланс безопасности и открытости Android
С точки зрения кибербезопасности, KYC‑верификация повышает стоимость атаки для криминальных групп и усложняет быстрое «перебрендирование» после блокировок. Одновременно меры на уровне Play Protect фактически вводят новый «рубеж допуска» для sideloading на сертифицированных устройствах. Это может укрепить безопасность массовых пользователей, но затронуть инновации за пределами Google Play, где развиваются приватность-ориентированные и открытые проекты.
Ключевые риски: концентрация контроля над раздачей APK, потенциальная дискриминация независимых авторов сбором пошлин и зависимость от централизованной идентификации. При этом реальная угроза со стороны малвари не исчезнет полностью: злоумышленники умеют обходить проверки, использовать украденные подписи и легитимные цепочки распространения.
Что делать разработчикам и пользователям
Разработчикам: заранее подготовить юридическую идентичность и процессы управления ключами подписи; проверить, кто регистрирует имя пакета; документировать сборку (reproducible builds) для прозрачности; оценить финансовые и процессные издержки верификации. Пользователям: сохранять осторожность при sideloading, проверять источники, подпись и разрешения приложений, держать включенным Play Protect и регулярно обновлять систему.
Предстоящая верификация разработчиков Android — важный поворот к более управляемой модели безопасности. Ее успех зависит от прозрачности правил, разумной стоимости участия для независимых авторов и доступных исключений для открытого ПО. Следите за обновлениями политики, проверяйте цепочку доверия к приложениям и поддерживайте практики безопасной разработки и установки — это позволит сохранить баланс между защитой пользователей и открытостью экосистемы.
