Google оголосила, що з 2026 року на сертифікованих Android‑пристроях з увімкненим Play Protect встановлення буде дозволене лише для застосунків від верифікованих розробників. Команда F‑Droid попереджає: така політика може вдарити по альтернативних крамницях застосунків і сповільнити вільне поширення відкритого ПЗ поза Google Play.
Що змінюється: строки, охоплення і технічні вимоги
У жовтні стартує пілот спрощеної Android Developer Console для тих, хто поширює застосунки поза Google Play. Після проходження KYC‑перевірки особи розробникам потрібно зареєструвати імʼя пакета та ключі підпису APK.
Перший етап запуску заплановано на вересень 2026 року в Бразилії, Індонезії, Сінгапурі та Таїланді — регіонах із підвищеною активністю шахрайських застосунків. У 2027 році верифікація розробників стане обовʼязковою глобально, включно з інсталяціями зі сторонніх джерел та через sideloading.
Розробники, які вже публікують у Google Play, здебільшого відповідають новим вимогам завдяки перевіркам у Play Console (для компаній — із використанням номера D‑U‑N‑S). Google наголошує, що можливість поширювати ПЗ через альтернативні магазини зберігається, але для інсталяції на сертифікованих пристроях потрібна верифікація видавця.
Аргументація Google: контроль малварі та протидія фроду
Мета ініціативи — зменшити поширення шкідливих програм і «переконливих підробок», що маскуються під легітимні застосунки. За даними Google, після посилення політик у 2023 році кількість інцидентів із шахрайством та малварею знизилася. Формальна ідентифікація розробника підвищує трасованість ланцюга розповсюдження й ускладнює швидке «переродження» зловмисників після блокувань.
Водночас навіть офіційні маркети не застраховані від компрометації. У минулому в Google Play викривали кампанії з родинами Joker, Sharkbot та Xenomorph. Це демонструє: перевірка видавця знижує ризик, але не усуває його повністю, а отже потрібні багаторівневі заходи захисту.
Позиція F‑Droid: виклики для відкритої екосистеми та приватності
F‑Droid — 15‑річний репозиторій FOSS, де проєкти публікуються з вихідним кодом і збираються силами платформи, без трекінгу та навʼязливої реклами. На думку команди, нова схема підриває життєздатність альтернативних магазинів: F‑Droid не змушуватиме незалежних авторів проходити верифікацію в Google і не «перехоплюватиме» реєстрацію імен пакетів — це виглядало б як привласнення прав на дистрибуцію.
Також F‑Droid звертає увагу на ризики збору персональних даних та можливі реєстраційні платежі (у пілоті вже обговорюються оплати в USD). Для частини FOSS‑розробників, що поширюють ПЗ безкоштовно, це може створити фінансовий барʼєр. Команда закликає регуляторів США та ЄС оцінити наслідки для конкуренції й прав користувачів.
Експертний погляд: баланс безпеки та відкритості Android
З позиції кібербезпеки, KYC‑верифікація підвищує вартість атаки для кримінальних груп і ускладнює швидке «ребрендинг‑відновлення» після санкцій. Разом із цим посилення Play Protect фактично створює новий барʼєр для sideloading на сертифікованих пристроях. Це може посилити захист масових користувачів, але зачепити інновації поза Google Play, зокрема приватність‑орієнтовані та відкриті проєкти.
Ключові ризики: централізація контролю за поширенням APK, можливе непряме дискримінування незалежних авторів через збори та залежність від єдиного механізму ідентифікації. При цьому загроза малварі не зникне: зловмисники використовують викрадені підписи, ланцюги постачання та інші обхідні техніки — отже, потрібні процеси прозорої збірки й перевірки.
Рекомендації: що робити розробникам і користувачам
Розробникам: підготуйте юридичну ідентичність і процедури керування ключами; зафіксуйте, хто реєструє імʼя пакета; документуйте збірку (reproducible builds) і підписання; оцініть витрати на KYC та можливі збори; оновіть політики безпеки ланцюга постачання.
Користувачам: обережно ставтеся до sideloading; перевіряйте джерело, підпис і дозволи застосунку; тримайте Play Protect увімкненим; регулярно оновлюйте систему та застосунки; уникайте встановлення з невідомих сайтів, навіть якщо застосунок виглядає «офіційно».
Майбутня верифікація розробників Android — крок до більш керованої моделі безпеки. Її ефективність залежатиме від прозорості правил, розумної вартості участі для незалежних авторів і наявності винятків для відкритого ПЗ. Слідкуйте за оновленнями політик, підтримуйте практики відтворюваних збірок і відповідального підписання — це допоможе зберегти баланс між захистом користувачів та відкритістю екосистеми.
