Google оголосив про кардинальну зміну способу встановлення програм на Android: починаючи з наступних кількох місяців видавцям доведеться підтвердити свою особу щоб ваші програми могли працювати на пристроях, сертифікованих Google, навіть якщо їх завантажено не в офіційному магазині.
Цей захід спрямований на зменшення кількості шахрайства та шкідливих програм не зачиняючи дверей до зовнішніх об'єктів. Іншими словами, бічне завантаження все ще буде можливо, але з рівень відстеження що визначає, хто стоїть за кожним додатком, і ускладнює анонімність зловмисників.
Графік та країни першого розгортання
Google визначив поетапний план із Ключові датиРанній доступ відкриється за запрошеннями у жовтні 2025 року; верифікація буде доступна для всіх розробників у березні 2026 року; а обов'язкова верифікація буде доступна на перших ринках Бразилії, Індонезії, Сінгапуру та Таїланду у вересні 2026 року.
Після цього етапу розгортання буде поширено на інші країни, доки не буде завершено у 2027 році. Якщо користувач спробує встановити додаток від неперевіреного видавця на сертифікований пристрій, система відобразить повідомлення про безпеку та блокування встановлення, доки розробник не врегулює його ситуацію.
Що змінюється для магазинів, що завантажують товари з іншого місця, та альтернативних магазинів?
El бічне завантаження —встановлення APK-файлів з Інтернету або сторонніх магазинів — не зникне, але залишається предметом універсальної вимоги: Кожен додаток має бути від перевіреного розробника після встановлення на сертифікований Google пристрій Android.
Google порівнює цю зміну з перевіркою особи в аеропорту: перевіряється, хто ви, а не те, що у вас у валізі. Вміст і походження додатків продовжуватимуть перевірятися. Захистити Google Play, тоді як ідентифікація проходитиме через нову консоль, розроблену для тих, хто розповсюджує продукцію поза Play Store.
За допомогою цього додаткового шару компанія прагне ускладнити рецидив кіберзлочинності які раніше могли з’являтися під іншими ідентифікаторами, що зменшує випадки підробки бренду та повторної публікації заблокованих додатків.
Вимоги до перевірки для розробників
Щоб пройти перевірку, Google запитуватиме основну інформацію, а у випадку організацій – додаткову інформацію. Мета полягає в тому, щоб відповідальну особу, яку можна ідентифікувати за кожною заявкою.
- Персональні дані: офіційне ім'я, адреса, електронна пошта та номер телефону.
- Організації: номер D‑U‑N‑S, перевірка веб-сайту та, якщо застосовується, офіційна документація.
- Властивість програми: назва пакета та ключі підпису щоб довести право власності.
Для студентів та розробників хобі буде легший канал, з меншою бюрократією та без реєстраційного внеску в розмірі 25 доларів СШАУ всіх випадках ідентифікацію перевіряють у спеціальній консолі для зовнішнього розповсюдження та в Консолі розробника Play для тих, хто публікує в магазині.
Пристрої, яких це стосується, та ті, що залишилися поза увагою
Зобов’язання поширюється на пристрої, які пройшли тестування сумісності та мають сервіси Google, тобто сертифіковані пристрої Android з доступом до Google Play та Play Protect. До цієї категорії належать такі бренди, як Samsung, Xiaomi, Motorola, OnePlus, Oppo, Vivo та Pixel.
Натомість, термінали не сертифікований — як і багато моделей Huawei, планшетів Amazon Fire або деяких телевізійних приставок — не підпадають під цю вимогу та зможуть продовжувати встановлювати програми з будь-якого джерела без нової перевірки особи.
Контекст: кампанії зі шкідливим програмним забезпеченням та очищення Google Play
Це посилення з'явилося після кількох епізодів, які випробували безпеку екосистеми. Згідно з аналізом Zscaler ThreatLabs, 77 шкідливих програм з більш ніж 19 мільйонів завантажень, де переважали рекламне ПЗ (майже дві третини), варіанти Joker та банківські трояни, такі як Anatsa/TeaBot.
Джокер може підписатися на преміум-послуги без згоди та читати або надсилати SMS-повідомлення. Анаца використовує дозволи доступу для накладання фінансових додатків та крадіжки облікових даних; Харлі та інші родини приховують шкідливий код, щоб обійти контроль.
У цих кампаніях використовувалися такі методи, як модифіковані APK-файли, динамічне шифрування та виявлення емуляторів. Google швидко видалив зареєстровані програми, але рекомендує користувачам вручну перевірити свої пристрої оскільки попередні інсталяції можуть бути ще активними.
- Залишати активованим Google Play Захист.
- Перевірка походження та відгуки перед встановленням.
- Тільки грант необхідні дозволи.
- Уникайте зовнішніх джерел в Google Play коли це можливо.
- зв'язатися з ним банк та змінювати облікові дані, якщо є ознаки шахрайства.
Google намагається підвищити планку безпеки екосистеми Android, не відмовляючись від своєї історичної відкритості: зовнішні установки все ще будуть дозволені, але за умов... підтверджена особа, попередження та блокування коли вимоги не виконано. З графіком, який починається у 2026 році та поширюється на весь світ у 2027 році, користувачі та розробники мають можливість адаптуватися до нові процеси та інструменти.
