Google hat offiziell bestätigt, dass ein neues Verifizierungssystem für alle Android-Entwickler eingeführt wird, auch für solche, die ihre Apps außerhalb des Play Stores vertreiben. Das System wird eine kostenpflichtige Stufe für professionelle Entwickler und eine kostenlose, aber limitierte Option für Hobbyisten umfassen. Ziel sei es, die Sicherheit des Android-Ökosystems zu erhöhen.
Wichtige Erkenntnisse
- Google führt eine obligatorische Verifizierung für alle Android-Entwickler ein, die Apps verbreiten möchten.
- Es wird eine kostenpflichtige Stufe für 25 US-Dollar und eine kostenlose, eingeschränkte Stufe für Hobby-Entwickler geben.
- Das System soll Malware in Sideloading-Apps erkennen und blockieren.
- Die Community äußert Bedenken hinsichtlich Kontrolle, Zensur und Datenschutz.
Ein neues Kontrollsystem für Android-Apps
Google plant die Einführung einer neuen Systemkomponente namens „Android Developer Verifier“ mit dem kommenden Android 16. Diese Komponente wird bei der Installation jeder App prüfen, ob deren Paketname und Signaturschlüssel bei Google registriert sind. Diese Maßnahme betrifft nicht nur Apps aus dem Play Store, sondern explizit auch solche, die über alternative Quellen, das sogenannte Sideloading, installiert werden.
Für die Überprüfung ist in vielen Fällen eine Internetverbindung erforderlich. Google erklärte, dass zwar ein lokaler Cache für häufig installierte Apps auf dem Gerät gespeichert wird, aber für weniger verbreitete Anwendungen muss das Gerät eine Verbindung zu Google-Servern herstellen, um die Verifizierung abzuschließen. Dies könnte die Nutzung von App-Stores wie F-Droid, die auf Open-Source-Software spezialisiert sind, erschweren.
Was ist Sideloading?
Sideloading bezeichnet die Installation von Anwendungen auf einem Android-Gerät aus Quellen außerhalb des offiziellen Google Play Stores. Nutzer laden dabei eine APK-Datei (Android Package Kit) herunter und installieren sie manuell. Dies ermöglicht den Zugang zu Apps, die nicht im Play Store verfügbar sind, birgt aber auch Sicherheitsrisiken.
Kostenstruktur: Zweistufiges Modell für Entwickler
Die finanzielle Ausgestaltung des Systems wurde nun konkretisiert. Entwickler, die ihre Apps breit verteilen möchten, müssen sich für eine vollständige Verifizierung registrieren. Die Kosten dafür sollen sich an der aktuellen Registrierungsgebühr für den Google Play Store orientieren, die bei einmalig 25 US-Dollar liegt. Laut Google sollen diese Einnahmen die administrativen Kosten des Verifizierungsprozesses decken.
Diese Regelung bedeutet, dass jeder, der eine Android-App außerhalb von Googles Ökosystem vertreiben will, zukünftig eine Gebühr an Google entrichten muss.
Eine kostenlose Option mit Einschränkungen
Es gibt jedoch eine gute Nachricht für Hobby-Entwickler, Studenten und kleine Projekte. Google wird eine kostenlose Verifizierungsstufe anbieten. Für diese ist lediglich die Angabe einer E-Mail-Adresse erforderlich. Allerdings wird die Anzahl der Installationen für Apps, die über diesen Weg verifiziert wurden, begrenzt sein. Genaue Zahlen nannte das Unternehmen noch nicht. In einem offiziellen Video ermutigte das zuständige Team Entwickler dazu, direkt die kostenpflichtige, vollständige Verifizierung zu durchlaufen.
Androids bestehende Sicherheitsmechanismen
Schon heute verfügt Android über mehrere Schutzfunktionen. Google Play Protect scannt alle auf dem Gerät installierten Apps, unabhängig von ihrer Herkunft, auf schädliches Verhalten. Das System kann bekannte Malware deaktivieren, Berechtigungen zurücksetzen und Nutzer vor potenziell gefährlichen Apps warnen.
Der Fokus liegt auf der Malware-Abwehr
Google betont, dass das neue System primär der Sicherheit dient. Es soll nicht dazu verwendet werden, die inhaltlichen Regeln des Play Stores durchzusetzen. Stattdessen konzentriere man sich auf Apps, die „einen hohen Grad an Schaden“ verursachen könnten, also klassische Malware wie Viren, Spyware oder Ransomware. Ob diese Prüfung bereits während des Verifizierungsprozesses oder erst durch die bestehenden Scan-Mechanismen auf dem Gerät erfolgt, ist noch unklar.
Wird eine über Sideloading installierte App eines verifizierten Entwicklers als schädlich eingestuft, hat dies weitreichende Konsequenzen. In einem solchen Fall würden alle Apps dieses Entwicklers systemweit deaktiviert werden.
Bedenken in der Entwickler-Community wachsen
Trotz der Sicherheitsversprechen gibt es erhebliche Bedenken. Viele Nutzer und Entwickler befürchten, dass Google die Verifizierung als Werkzeug nutzen könnte, um unliebsame Anwendungen zu unterbinden. Dazu gehören beispielsweise Werbeblocker oder modifizierte Apps wie YouTube ReVanced, die gegen die Geschäftsinteressen von Google verstoßen.
Obwohl Googles Richtlinien für schädliche Apps klar definiert sind, besteht die Sorge, dass diese Regeln in Zukunft anders interpretiert werden könnten, um bestimmte App-Kategorien auszuschließen.
Die Vergangenheit hat gezeigt, dass Google dazu neigt, unliebsame Software in die Nähe von Malware zu rücken. Jüngste Änderungen bei Chrome-Erweiterungen, die angeblich die Sicherheit erhöhen sollten, führten ebenfalls dazu, dass einige der effektivsten Werbeblocker ihre Funktion verloren.
Ein Vertrauensproblem zum ungünstigsten Zeitpunkt
Die Einführung dieses Systems erfolgt in einer für Google heiklen Phase. Gerichte haben kürzlich geurteilt, dass das Unternehmen seine Monopolstellung im Play Store illegal aufrechterhalten hat. Jahrelang hat Google zum Nachteil von Entwicklern und Nutzern agiert, um den Play Store zur einzig relevanten App-Quelle zu machen.
Nun, da alternative App-Stores möglicherweise eine echte Chance bekommen, führt Google ein System ein, das ihm erneut die zentrale Kontrolle über die App-Verteilung gibt. Für viele Beobachter wirkt dieser Schritt sehr gelegen.
Datenschutz und Anonymität in Gefahr
Ein weiterer zentraler Kritikpunkt ist der Umgang mit Entwicklerdaten. Viele Entwickler möchten ihre persönlichen Informationen nicht an Google übermitteln. Das Unternehmen argumentiert, dass Anonymität ein zu großes Sicherheitsrisiko darstelle.
Google hat zwar bestätigt, dass es keine öffentliche Liste von Sideloading-Entwicklern geben wird, wie es bei Play-Store-Entwicklern der Fall ist. Dennoch sammelt das Unternehmen die Daten. Das bedeutet, dass Regierungen oder Strafverfolgungsbehörden diese Informationen anfordern könnten. Entwickler von politisch heiklen Apps könnten so identifiziert und verfolgt werden. Das Vertrauen, dass Google verantwortungsvoll mit diesen Daten umgeht, ist bei vielen Entwicklern nicht mehr vorhanden.
