Google пошла на корректировку запланированной программы Developer Verification для Android после критики со стороны сообщества. Компания анонсировала упрощённые аккаунты для небольших разработчиков и отдельный «продвинутый режим» для опытных пользователей, позволяющий устанавливать неверифицированные приложения из сторонних источников с усиленными предупреждениями о рисках.
Что меняется в политике Google: акцент на доступности и контроле рисков
Упрощённые аккаунты адресованы авторам, распространяющим ПО в узком круге — среди семьи, друзей или коллег, — и не требующим полноценной проверки личности. Параллельно появится «Advanced flow», который оставит пользователю право вручную устанавливать приложения от неверифицированных разработчиков при условии явного подтверждения осознанного риска. Установка через ADB с подключённого компьютера сохранится. Ранее компания также пообещала бесплатную верификацию для энтузиастов и студентов, публикующих приложения на ограниченном числе устройств.
Первоначальный план и причины споров
Изначально, анонсированная в августе 2025 года система Developer Verification предполагала, что c 2026 года любое приложение, в том числе установленное из стороннего источника, должно исходить от разработчика с подтверждённой личностью. Приложения от «анонимных» авторов планировалось блокировать на сертифицированных устройствах Android — то есть там, где работает Play Protect и предустановлены сервисы Google.
Мотивация Google — противодействие малвари и финансовому мошенничеству, часто завязанным на социальную инженерию и обход встроенных механизмов защиты. Однако инициатива вызвала резкую критику: разработчики были недовольны необходимостью предоставления документов и потенциальными взносами, а также видели риск усиления контроля Google над экосистемой Android. В F-Droid предупреждали, что жёсткая верификация может подорвать устойчивость альтернативных магазинов: это не столько про безопасность, сколько про консолидацию контроля, отмечали представители проекта.
Дорожная карта внедрения: от раннего доступа к глобальному развертыванию
Google уже приглашает разработчиков, распространяющих приложения вне Google Play, пройти верификацию в рамках раннего доступа. После 25 ноября 2025 года программа станет доступна и авторам из Play Store. Полноценный запуск запланирован на март 2026 года. С сентября следующего года обязательная верификация стартует в Бразилии, Индонезии, Сингапуре и Таиланде, а глобальное внедрение намечено на 2027 год.
Экспертный разбор: баланс между безопасностью и открытостью
Проверка личности повышает порог входа для злоумышленников: усложняет «одноразовые» аккаунты и затрудняет массовое распространение вредоносного ПО через сайдлоадинг. Это актуально для рынков, где активно действуют банковские трояны (например, семейства Anatsa/TeaBot, SharkBot, Xenomorph), маскирующиеся под легитимные приложения и продвигаемые через фишинг, мессенджеры или поддельные сайты. Верификация не исключит атаки, но повысит цену ошибки для злоумышленника и упростит атрибуцию инцидентов.
Однако «жёсткая» модель несёт риски для приватности, инклюзивности и открытого софта: от студентов и НКО до независимых мейнтейнеров, публикующих сборки вне Play. Опасения альтернативных магазинов — не теоретические: централизованный контроль каналов распространения понижает устойчивость экосистемы и может де-факто маргинализировать независимую дистрибуцию. Выбранный Google подход — «компромисс с барьерами»: оставить опытным пользователям возможность осознанного сайдлоадинга, усилить предупреждения и, вероятно, ввести дополнительные шаги подтверждения. Детали «Advanced flow» компания раскроет позже; не исключены одноразовая активация, расширенные промпты или внутренние проверки, но окончательная реализация пока неизвестна.
Практические рекомендации: как снизить риски уже сейчас
Пользователям: держите Play Protect активным, скачивайте APK только из доверенных источников, проверяйте хэши и подписи, не выдавайте лишние разрешения, ограничьте право «Установка неизвестных приложений» для конкретных приложений-проводников, обновляйте ОС и патчи. Используйте ADB-установку только при ясном понимании происхождения и целостности пакета.
Разработчикам: заранее готовьтесь к верификации и планируйте модель распространения с учётом «Advanced flow». Обновите цепочку подписи (включая защиту ключей и ротацию), внедрите проверку целостности сборок, опишите пользователям прозрачный процесс установки и риски, а также протестируйте UX под ожидаемые предупреждения системы.
Google заявляет, что услышала студенческое и энтузиастское сообщество и сохранит путь для обучения и экспериментов, при этом усиливая защиту от социальной инженерии. Если вы работаете с Android-приложениями, следите за деталями «продвинутого режима», тестируйте сценарии установки и готовьтесь к этапным изменениям политики — это поможет сохранить баланс между безопасностью, удобством и открытостью экосистемы.
