Google оголосила про масштабне оновлення політики Google Play, орієнтоване на підвищення конфіденційності користувачів Android та зменшення ризиків шахрайства для бізнесу. На тлі цих змін компанія повідомила, що у 2025 році заблокувала або видалила понад 8,3 млрд рекламних оголошень у своїх сервісах та призупинила роботу 24,9 млн акаунтів, які порушували правила платформи.
Contact Picker проти READ_CONTACTS: новий стандарт роботи з контактами в Android 17
Ключове оновлення стосується того, як мобільні додатки отримують доступ до контактів користувача. В Android 17 Google запроваджує стандартний Contact Picker — безпечний системний інтерфейс, через який додаток бачить лише ті контакти та поля, які користувач явно обрав, а не всю телефонну книгу.
Раніше більшість застосунків використовували дозвіл READ_CONTACTS, що надавав широкі повноваження: повний доступ до записів, номерів, e‑mail та пов’язаних даних. З погляду кібербезпеки це створювало суттєві ризики: компрометація повної адресної книги відкриває шлях до масштабної соціальної інженерії, таргетованого фішингу та атак через довірені зв’язки.
Тепер для додатків, які таргетують Android 17, політика Google Play безпеки вимагає використовувати як основний механізм доступу до контактів саме Contact Picker або Android Sharesheet. Розробник має запитувати лише мінімально необхідні поля (наприклад, номер телефону чи адресу електронної пошти), а не всю картку контакту.
Дозвіл READ_CONTACTS залишиться доступним лише для сценаріїв, де без постійного повного доступу до контактів неможливо реалізувати основний функціонал (наприклад, повноцінний клієнт телефонії або системний менеджер контактів). У таких випадках розробник зобов’язаний заповнити Play Developer Declaration у Play Console з детальним обґрунтуванням необхідності розширеного доступу.
Захист геолокації в Android 17: одноразовий доступ та постійний індикатор
Другий блок змін стосується захисту геолокації в Android. В Android 17 з’являється оновлена кнопка доступу до місцезнаходження, яка дозволяє додатку отримати одноразовий доступ до точної локації для конкретної операції. Це посилює прозорість: користувач чітко бачить, коли й навіщо застосунок запитує координати, і може обмежити як точність, так і тривалість доступу.
Додатково Google впроваджує постійний індикатор, що показуватиметься кожного разу, коли будь-який несистемний додаток звертається до місцезнаходження. Це ускладнює непомітне стеження та змушує розробників переосмислити, чи справді їм потрібні постійні або надто точні геодані.
Для застосунків, які таргетують Android 17 і вище та використовують точне місцезнаходження для разових дій, Google радить додати до маніфесту спеціальний прапор onlyForLocationButton. Якщо ж основний функціонал вимагає безперервного доступу до точних координат (наприклад, логістичний трекінг у реальному часі), розробник повинен подати Play Developer Declaration і пояснити, чому одноразовий доступ або приблизна геолокація не підходять.
Нові вимоги Google Play: декларації, автоматичні перевірки та ризики для розробників
Google планує зробити форму декларації для розробників, які запитують розширений доступ до контактів або геоданих, доступною до жовтня 2026 року. Починаючи з 27 жовтня, у Play Console запрацюють автоматичні превентивні перевірки, що виявлятимуть потенційні порушення нових правил щодо контактів і місцезнаходження.
Це означає, що розробникам доцільно вже зараз провести аудит дозволів у своїх мобільних додатках: видалити застарілий READ_CONTACTS із маніфестів для цільового Android 17, мінімізувати запити на точну геолокацію та обмежити тривалість доступу. Невідповідність новій політиці може призвести до затримок модерації, обмеження функціональності або навіть видалення додатку з Google Play.
Безпечна передача акаунтів Google Play: протидія скупці та викраденню акаунтів розробників
Окрема зміна спрямована на захист бізнесу від шахрайства з акаунтами розробників. Google впроваджує акаунтом безпосередньо в Play Console. Починаючи з 27 травня 2026 року, компанія рекомендує здійснювати будь-яку зміну власника (продаж бізнесу, передача всередині холдингу тощо) виключно через цей нативний інструмент.
Неформальні схеми — передача логінів і паролів, купівля-продаж акаунтів на сторонніх майданчиках — тепер прямо заборонені. Такі практики активно використовуються зловмисниками для заволодіння «довіреними» акаунтами з хорошою репутацією та подальшого розповсюдження шкідливих додатків, malvertising-кампаній та фішингового контенту. Централізований, верифікований процес зменшує ризик компрометації та спрощує розслідування інцидентів.
Gemini та боротьба з шахрайською рекламою в Google Ads
Масштаб блокування шкідливої реклами за допомогою ІІ
У рекламній екосистемі Google робить ставку на штучний інтелект Gemini для виявлення небезпечної та шахрайської реклами. За даними компанії, у 2025 році понад 99% оголошень, що порушували політику, було заблоковано ще до показу користувачам.
Загалом було видалено або заблоковано 602 млн оголошень і 4 млн акаунтів, пов’язаних із шахрайством. Ще 4,8 млрд оголошень отримали обмеження показу, а понад 480 млн вебсторінок зазнали санкцій за спробу просувати сексуальний контент, зброю, азартні ігри, алкоголь, тютюн та шкідливе ПЗ.
Для порівняння: у 2024 році Google призупинила роботу понад 39,2 млн рекламодавців, заблокувала 5,1 млрд «поганих» оголошень, обмежила ще 9,1 млрд та застосувала заходи до 1,3 млрд сторінок. Різниця в цифрах відображає як зміну тактики зловмисників, так і еволюцію алгоритмів модерації та систем виявлення порушень.
Генеративний ІІ як інструмент атак і захисту
Google підкреслює, що зловмисники активно використовують генеративний ІІ для швидкого створення правдоподібних, але оманливих оголошень, які імітують легітимні бренди та сервіси. У відповідь Gemini застосовує семантичний аналіз: оцінює не лише ключові слова, а й наміри та контекст. Це дозволяє виявляти шкідливий контент, навіть якщо він ретельно замаскований під безпечний.
За інформацією компанії, наприкінці минулого року більшість Responsive Search Ads, створених у Google Ads, проходили модерацію майже миттєво, а небезпечний контент блокувався ще на етапі надсилання оголошення. У 2026 році аналогічні механізми планують масштабувати й на інші рекламні формати, що додатково ускладнить запуск масштабних шахрайських кампаній.
Сукупність оновленої політики Google Play безпеки, жорсткіших вимог до доступу до контактів та геолокації, безпечної передачі акаунтів розробників і використання ІІ Gemini для фільтрації реклами формує більш стійку екосистему кібербезпеки. Щоб не опинитися під санкціями, розробникам варто вже сьогодні оптимізувати запити до даних, підготуватися до заповнення декларацій у Play Console та використовувати лише офіційні механізми роботи з акаунтами. Користувачам доцільно уважніше ставитися до дозволів, які вони надають додаткам, регулярно оновлювати ПЗ та відстежувати індикатори доступу до геолокації — це прості кроки, що суттєво підвищують рівень особистої цифрової безпеки.
