Google gaat vanaf volgend jaar alle Android-appontwikkelaars hun identiteit laten verifiëren

De open aard van Android onderscheidde het van de iPhone toen het tijdperk van touchscreen-smartphones bijna twintig jaar geleden begon. Beetje bij beetje heeft Google die openheid ingeruild voor veiligheid, en zijn volgende beveiligingsinitiatief zou wel eens de grootste concessies tot nu toe kunnen doen om slechte apps te blokkeren.

Google heeft plannen aangekondigd om de identiteit van alle Android-appontwikkelaars te verifiëren, en niet alleen van ontwikkelaars die hun content in de Play Store publiceren. Google is van plan de identiteit van ontwikkelaars te verifiëren, ongeacht waar ze hun content aanbieden . Apps zonder verificatie zullen de komende jaren niet meer op de meeste Android-apparaten werken.

Google hield zich vroeger nauwelijks bezig met het beheer van de Play Store (of Android Market, als je ver genoeg teruggaat), maar het bedrijf streeft er al lang naar om de reputatie van het platform, dat minder veilig is dan de Apple App Store, te verbeteren. Jaren geleden kon je daadwerkelijke exploits publiceren in de officiële winkel om root-toegang te krijgen op telefoons, maar nu zijn er meerdere controle- en detectiemechanismen om de prevalentie van malware en verboden content te verminderen. Hoewel de Play Store nog steeds niet perfect is, beweert Google dat apps die van buiten de winkel zijn gesideload, 50 keer meer kans hebben om malware te bevatten.

Dit, zo wordt ons verteld, is de aanleiding voor Googles nieuwe systeem voor ontwikkelaarsverificatie. Het bedrijf beschrijft het als een soort "identiteitscontrole op de luchthaven". Sinds alle app-ontwikkelaars in Google Play in 2023 hun identiteit moesten verifiëren, is het aantal malware en fraude drastisch afgenomen. Kwaadwillenden in Google Play maakten misbruik van anonimiteit om kwaadaardige apps te verspreiden, dus het ligt voor de hand dat het verifiëren van app-ontwikkelaars buiten Google Play ook de beveiliging zou kunnen verbeteren.

Om dit echter buiten de App Store te realiseren, moet Google een voorbeeld nemen aan Apple en zijn spierballen laten zien op een manier die veel Android-gebruikers en -ontwikkelaars als opdringerig kunnen ervaren. Google is van plan een gestroomlijnde Android Developer Console te creëren, die ontwikkelaars kunnen gebruiken als ze van plan zijn apps buiten de Play Store te distribueren. Nadat ze hun identiteit hebben geverifieerd, moeten ontwikkelaars de pakketnaam en ondertekeningssleutels van hun apps registreren. Google zal de inhoud of functionaliteit van de apps echter niet controleren.

Google zegt dat alleen apps met geverifieerde identiteiten geïnstalleerd kunnen worden op gecertificeerde Android-apparaten. Dat zijn vrijwel alle Android-apparaten. Als er Google-services op staan, is het een gecertificeerd apparaat. Als je een Android-versie van een andere fabrikant dan Google op je telefoon hebt, geldt dit niet. Dat is echter een uiterst klein deel van het Android-ecosysteem buiten China.

Google is van plan om dit systeem in oktober van dit jaar te testen met vroege toegang. In maart 2026 krijgen alle ontwikkelaars toegang tot de nieuwe console om zich te laten verifiëren. In september 2026 wil Google deze functie lanceren in Brazilië, Indonesië, Singapore en Thailand. De volgende stap is nog onduidelijk, maar Google mikt op 2027 om de verificatievereisten wereldwijd uit te breiden.

Dit plan komt op een belangrijk kruispunt voor Android. De lopende antitrustzaak tegen Google Play, aangespannen door Epic Games, kan in de komende maanden eindelijk veranderingen in Google Play afdwingen. Google heeft zijn beroep tegen de uitspraak enkele weken geleden verloren en hoewel het van plan is in beroep te gaan bij het Amerikaanse Hooggerechtshof, zal het bedrijf zijn app-distributieschema moeten aanpassen, tenzij er verdere juridische stappen worden ondernomen.

De rechtbank heeft onder andere bevolen dat Google app-winkels van derden moet distribueren en moet toestaan ​​dat Play Store-content opnieuw wordt gehost in andere winkels. Door mensen meer mogelijkheden te geven om apps te verkrijgen, zou de keuze kunnen toenemen, precies wat Epic en andere ontwikkelaars wilden. Derde partijen zullen echter niet beschikken over de diepe systeemintegratie van de Play Store, wat betekent dat gebruikers deze apps zullen sideloaden zonder de beveiligingslagen van Google.

Het is moeilijk te zeggen in hoeverre dit een echt beveiligingsprobleem is. Aan de ene kant is het logisch dat Google zich zorgen maakt: de meeste grote malwarebedreigingen voor Android-apparaten verspreiden zich via app-repositories van derden. Het afdwingen van een installatiewhitelist op bijna alle Android-apparaten is echter nogal ingrijpend. Dit vereist dat iedereen die Android-apps maakt, aan de eisen van Google voldoet voordat vrijwel iedereen hun apps kan installeren. Dit zou Google kunnen helpen de controle te behouden nu de appmarkt zich opent. Hoewel de eisen momenteel minimaal zijn, is er geen garantie dat dit zo zal blijven.

De momenteel beschikbare documentatie legt niet uit wat er gebeurt als je een niet-geverifieerde app probeert te installeren, noch hoe telefoons de verificatiestatus controleren. Vermoedelijk zal Google deze whitelist in Play Services verspreiden naarmate de implementatiedatum nadert. We hebben contact met je opgenomen voor meer informatie hierover en zullen dit melden als we iets horen.

Dit verhaal verscheen oorspronkelijk op Ars Technica .