Android-Entwicklerverifizierung: Ausweitung auf alle Entwickler beginnt

 (android-developers.googleblog.com)
4 Punkte von GN⁺ 29 일 전 | 1 Kommentare | Auf WhatsApp teilen
  • Google weitet das Android-Entwicklerverifizierungsprogramm auf alle Entwickler aus und stärkt damit zugleich die Offenheit und Sicherheit der Plattform
  • Da die Malware-Rate bei per Sideload installierten Apps 90-mal höher ist als bei Google Play, wird ein zusätzlicher Verifizierungsschritt eingeführt, um anonyme böswillige Akteure zu blockieren
  • Die Verifizierung kann in der Play Console oder Android Developer Console durchgeführt werden und muss vor den Änderungen auf Nutzerseite später in diesem Jahr abgeschlossen sein
  • Ab September 2026 zunächst in Brasilien, Indonesien, Singapur und Thailand, 2027 dann weltweit
  • Die Maßnahme ist ein zentraler Schritt zur Stärkung der Android-Sicherheit, um die Verbreitung von Malware zu verhindern und das Vertrauen der Nutzer zu sichern

Überblick über das Android-Entwicklerverifizierungsprogramm

  • Um Offenheit und Sicherheit der Android-Plattform gleichzeitig zu stärken, weitet Google die Android-Entwicklerverifizierung (Developer Verification) auf alle Entwickler aus
  • Laut Google-Analysen ist die Malware-Rate bei per Sideload installierten Apps 90-mal höher als bei Google Play; deshalb wird das Verifizierungsverfahren als zusätzliche Sicherheitsschicht eingeführt, um anonyme böswillige Akteure zu blockieren
  • In Zusammenarbeit mit der Community wurde das Design über mehrere Monate hinweg verbessert und unter Berücksichtigung verschiedener Android-Nutzungsweisen so angepasst, dass ein Gleichgewicht zwischen Offenheit und Sicherheit gewahrt bleibt

Start des Verifizierungsverfahrens

  • Alle Entwickler können die Verifizierung über die Android Developer Console oder die Play Console starten
    • Wer Apps außerhalb von Google Play vertreibt, kann ein Konto in der Android Developer Console anlegen
    • Wer Google Play nutzt, kann den Verifizierungsstatus im Play-Console-Konto prüfen; wenn die Verifizierung bereits abgeschlossen ist, sind keine weiteren Maßnahmen erforderlich
  • Da die Änderungen auf Nutzerseite später in diesem Jahr beginnen, müssen Verifizierung und App-Registrierung davor abgeschlossen werden

Änderungen beim Download-Erlebnis für Nutzer

  • Die Verifizierungstools werden sofort bereitgestellt, aber das Download-Erlebnis für Nutzer ändert sich erst ab September 2026
  • Die Nutzerschutzfunktionen werden zunächst in Brasilien, Indonesien, Singapur und Thailand eingeführt und 2027 weltweit ausgerollt
  • Die meisten Nutzer können Apps weiterhin wie bisher installieren; nur bei der Installation nicht registrierter Apps sind ADB oder ein erweiterter Installationsablauf (advanced flow) erforderlich
  • Dadurch bleibt die Flexibilität für erfahrene Nutzer erhalten, während der Schutz für allgemeine Nutzer verstärkt wird

Berücksichtigung von Entwickler-Feedback und Verbesserungen

  • Die Entwicklererfahrung wurde vereinfacht und in bestehende Workflows integriert, um das Verifizierungsverfahren effizienter zu machen

  • Android-Studio-Entwickler

    • Innerhalb der nächsten 2 Monate kann beim Erstellen eines signierten App Bundle oder APK der Registrierungsstatus direkt in Android Studio geprüft werden

  • Play-Console-Entwickler

    • Wenn die Verifizierung bereits in der Play Console abgeschlossen wurde, wird die Play-App automatisch registriert
    • Falls eine automatische Registrierung nicht möglich ist, muss das manuelle App-Registrierungsverfahren befolgt werden; detaillierte Hinweise werden über die Konsole und per E-Mail bereitgestellt
    • Auch in der Play Console ist die Registrierung von Apps für die Verteilung außerhalb von Play möglich

  • Studierende und Hobby-Entwickler

    • Es soll ein limited distribution account bereitgestellt werden, der kostenlos und ohne staatlichen Ausweis nutzbar ist
    • Damit können Apps mit bis zu 20 Geräten geteilt werden; der Einstieg ist allein mit einem E-Mail-Konto möglich
    • Ab Juni 2026 sollen Einladungen für Early Access versendet werden

  • Power Users

    • Die Möglichkeit, nicht registrierte Apps über ADB oder den neuen advanced flow zu installieren, bleibt bestehen
    • So lassen sich Sicherheit und freie Installationsmöglichkeiten parallel aufrechterhalten

Zeitplan

  • Google führt das Programm schrittweise in Zusammenarbeit mit Entwicklern, Nutzern und Partnern ein
  • April 2026: Der Systemdienst Android Developer Verifier wird in den Google-Systemeinstellungen angezeigt
  • Juni 2026: Start des Early Access für limited distribution accounts für Studierende und Hobby-Entwickler
  • August 2026: Weltweite Einführung von limited distribution accounts und advanced flow
  • 30. September 2026: In Brasilien, Indonesien, Singapur und Thailand können nur verifizierte Entwickler Apps installieren und aktualisieren; nicht registrierte Apps können nur über ADB oder advanced flow installiert werden
  • Ab 2027: Ausweitung der Verifizierungsanforderungen auf die ganze Welt

Fazit

  • Google verfolgt das Ziel, ein „offenes und zugleich sicheres Android-Ökosystem“ zu erhalten
  • Entwickler können den Verifizierungsprozess sofort über die developer guides starten
  • Die Maßnahme ist ein zentraler Schritt zur Stärkung der Android-Sicherheit, um die Verbreitung von Malware zu verhindern und das Vertrauen der Nutzer zu sichern

Verwandte Beiträge

1 Kommentare

 
GN⁺ 29 일 전
Hacker-News-Kommentare

  • Das Verifizierungsverfahren für Entwickler bei Android war eine komplett kaputte Erfahrung.
    Ich wollte ein Entwicklerkonto für ein Unternehmen anlegen, habe das geschäftliche Zahlungsprofil mit einer DUNS-Nummer verifiziert und meine Identität mit Reisepass und Kontoauszug bestätigt, und trotzdem wurde anschließend erneut eine Identitätsprüfung mit Unternehmensdokumenten verlangt.
    Auch die E-Mail wurde mehrfach verifiziert, dennoch erschien weiterhin die Meldung „zusätzliche Verifizierung erforderlich“.
    Jeder Schritt dauerte mehrere Tage, und bei einem Fehlschlag musste man wieder ganz von vorn anfangen, also war es ein extrem langsamer und schmerzhafter Prozess.
    Das hat mich wieder daran erinnert, warum ich Android nicht nutze. Es fühlt sich so an, als würde niemand den gesamten Prozess verantworten.

    • Als ich vor 10 Jahren eine Android-App veröffentlicht habe, war es ähnlich. In der Entwickler-Community wurde immer davor gewarnt, Apps nicht mit dem eigentlichen Google-Konto hochzuladen. Der Grund war, dass das gesamte Konto wegen vager Gründe von Bots gesperrt werden konnte.
      Google wirkt, als würde das Unternehmen Entwickler hassen. Gerade jetzt, wo die jüngere Generation größtenteils iPhones nutzt, ist das eine wirklich schlechte Strategie.
    • Die Erfahrung mit Google Play ist wirklich furchtbar.
      Kürzlich musste ich eine App erneut einreichen, nachdem sie fälschlich als Glücksspiel-App eingestuft und abgelehnt worden war, und selbst bei einer App, die jahrelang problemlos lief, wurde ohne Grund verlangt, eine neue Version einzureichen.
      Support und Einspruchsverfahren waren völlig sinnlos. Jedes Mal hatte ich das Gefühl, dass überhaupt kein Mensch beteiligt war.
    • Als Apple Developer hatte ich fast dieselbe Erfahrung.
      Noch bevor die Verifizierung abgeschlossen war, wurde bereits abgebucht, und weil die AI mein Gesicht nicht mit meinem Ausweis abgleichen konnte, wurde sogar die Rückerstattung verweigert.
      Solche AI-basierten Verifizierungssysteme sind wirklich die Hölle.
    • Ich verstehe nicht, warum bei einem Geschäftskonto ein Reisepass verlangt wird.
      Ich frage mich, ob es einen besonderen Grund dafür gab, mit einer privaten Karte zu bezahlen.
    • Jeder einzelne Schritt wirkt logisch, aber insgesamt sind zu viele Akteure beteiligt. Deshalb scheint das System so chaotisch geworden zu sein.

  • Google behauptete, dass in per Sideloading installierten Apps 90-mal mehr Malware gefunden worden sei, aber ich habe tatsächlich schon Handys älterer Menschen gesehen, die mit Werbe-Apps aus Google Play vollgestopft waren.

    • Stimme völlig zu. Google biegt die Definition von „malware“ zurecht, wie es gerade passt.
      Apps voller Werbung und Tracking werden als normal eingestuft, wodurch man sich nur auf den Schutz des Shareholder Value konzentriert.
      Das hat nichts mit dem Malware-Begriff zu tun, wie er bei Wikipedia, IBM, Cisco, Kaspersky usw. definiert wird.
    • Beides kann gleichzeitig wahr sein. Apps aus Sideloading sind möglicherweise riskanter, während zugleich die meisten tatsächlich installierten Schrott-Apps aus Google Play stammen können.
    • Noch schlimmer ist, dass die Werbung, die zu solchen Apps führt, größtenteils Anzeigen innerhalb der YouTube-App sind.
    • Für die Analyse mit den „90-mal mehr“ gibt es weder eine Quelle noch eine Verifizierung. Eine Ankündigung nach dem Motto „Wir haben es untersucht, also glaubt uns“ ist nicht vertrauenswürdig.
    • Ich habe es ebenfalls analysiert und bin zu dem Schluss gekommen, dass Google 90-mal betrügerischer ist als andere Unternehmen (natürlich ohne Belege).

  • Wie viel Prozent der Android-Nutzer wollen solche Richtlinien überhaupt?
    Ich nutze Android seit 2010, aber mir missfällt, dass es immer geschlossener wird.
    Inzwischen plane ich ernsthaft den Wechsel zu einem echten Linux-Handy.

    • Ich bin auch wegen der Freiheit des Sideloadings zu Android gewechselt.
    • Realistisch gesehen liegen Power-User unter Android-Nutzern aber nahe bei 0 %.
    • Wenn Apple ankündigen würde, die Installation von APKs zu erlauben, gäbe es wahrscheinlich sogar Leute, die dann behaupten würden, Apple müsse die Kontrolle behalten.
      Solche Leute gab es auch während des Verfahrens Epic vs Apple und der Debatten um den Digital Markets Act.
    • Das Problem bösartiger Apps im Play Store ist verständlich, aber das ist eine andere Frage als die Entwicklerverifizierung.
    • Google verschärft diese Verifizierung, um zu verhindern, dass AI-Bots Spam-Apps hochladen.
      Wenn Identität und App verknüpft sind, wird rechtliches Vorgehen einfacher.

  • In dem Moment, in dem ich den Satz „Android ist eine offene Plattform für alle“ gesehen habe, war mir klar, dass danach etwas kommen würde, das für die Nutzer nachteilig ist.
    Software zur Überprüfung von per Sideloading installierten Apps ist ein antiuser Gedanke.

    • Ich bin jedes Mal nervös, wenn ich Apps außerhalb von F-Droid installieren muss.
      Bei Play-Store-Apps weiß man nicht, was sie im Hintergrund tun.
    • Schon der Ausdruck „Sideloading-Apps“ ist ein stigmatisierender Begriff für Apps, die Google und Apple kontrollieren wollen.
      Am Ende muss man wohl nach einer anderen Distribution als Android suchen.
    • Es ist wie wenn HR sagt: „Lass uns kurz reden“ — man ahnt sofort, dass nichts Gutes passieren wird.
    • Der nächste Schritt ist vielleicht die Abgabe biometrischer Proben.

  • Es gab vermutlich intern ein Gespräch nach dem Motto: „Was machen wir, wenn 40 Millionen Menschen gecracktes YouTube Premium nutzen?“

    • Genau. Die Länder, in denen diese Richtlinie eingeführt wird, sind wahrscheinlich Regionen mit besonders viel gecracktem YouTube Premium.
      APK-Kopien und App-Piraterie sind dort bereits weit verbreitet.
    • Ich bezahle zwar für YouTube Premium, nutze aber eine alternative App. In der offiziellen App stoppt die Hintergrundwiedergabe oft.
      Es fühlt sich an, als hätte sich die Technik eher zurückentwickelt.
    • NewPipe ist keine gecrackte App. Es ist eine Open-Source-Alternative.
    • Google hätte solche Apps schon jetzt als Malware einstufen können.
      Dieses Verifizierungssystem ist nur ein Mittel zur Erkennung polymorpher Apps.

  • Es fühlt sich sehr seltsam an, staatlich ausgestellte Ausweisdokumente an Unternehmen zu übermitteln.
    Besonders in Europa lernt man eigentlich: Schicke deinen staatlichen Ausweis niemandem — und jetzt wird das für die Nutzung von Diensten als selbstverständlich verlangt.
    Es ist auch fraglich, warum bei einem Unternehmenskonto eine persönliche Identität verlangt wird und nicht die des Unternehmens.
    Wenn die Beziehung zwischen Entwickler und Firma endet oder es rechtliche Probleme gibt, kann die Verantwortlichkeit unklar werden.
    Bei Freelancern oder externer Entwicklung ist ebenfalls unklar, wer überhaupt Gegenstand der Verifizierung sein soll.

  • Wenn Google die Entwicklerverifizierung übernimmt, stellt sich die Frage, ob das Unternehmen dann nicht auch Verantwortung übernehmen müsste.
    Falls Nutzer auf betrügerische Apps hereinfallen, könnte man Google dann verklagen?

    • Es ist an der Zeit zu prüfen, ob Kartellrecht gegen Google angewendet werden sollte.
    • Aber in der Realität gilt immer: „Verantwortung wird nach unten durchgereicht.“

  • Laut einem Artikel von 9to5Google
    wird Android Developer Verifier ab April als System-App installiert und prüft bei Google-Servern, ob per Sideloading installierte Apps mit einem Entwicklersausweis verifiziert wurden.

    • Als ich das gelesen habe, dachte ich sofort, ich sollte zu GrapheneOS wechseln.
      Schade nur, dass die meisten Menschen das nicht können.
      Ich frage mich, wie diese System-App innerhalb der Google-Play-Sandbox von GrapheneOS funktionieren wird.
    • Früher gab es Satire nach dem Motto „Sogar für die Benutzung eines Debuggers braucht man eine Lizenz“, und jetzt wirkt es so, als sei das zum realen Handbuch geworden.

  • Wegen der geschlossenen Politik von Google bin ich kürzlich zu /e/OS gewechselt.
    Anfangs war es unbequem, aber inzwischen bin ich zufrieden, weil es sich so anfühlt, als würde ich Software für Nutzer statt für Werbung verwenden.
    Für mich, der unter Android langsam wie ein Frosch im sich erhitzenden Wasser geworden war, war das wie frische Luft.

  • Ich nutze mehr als fünf Open-Source-Android-Apps außerhalb des Play Store, und mit solchen Richtlinien wird das künftig schwierig.
    Ich frage mich, ob man diesen Einschränkungen entgehen könnte, wenn man ein Motorola-Handy mit vorinstalliertem GrapheneOS kauft.

    • Der aktuelle Plan ist, dass Motorola GrapheneOS nicht direkt vorinstalliert, sondern auf einigen Flaggschiffmodellen die manuelle Installation unterstützt.
    • GrapheneOS erlaubt weiterhin die Installation von APKs.