Android-Apps: Entwickler von Sideload-Apps müssen sich verifizieren
von caschy | 58 Kommentare
Google verschärft die Sicherheitsanforderungen für Android-Apps. Ab September 2026 müssen sich Entwickler verifizieren lassen, bevor ihre Apps auf zertifizierten Android-Geräten installiert werden können. Die Maßnahme startet zunächst in Brasilien, Indonesien, Singapur und Thailand.
Die Analyse des Android-Teams zeigt, dass Apps aus dem Internet (also der Sideload) ein 50-fach höheres Malware-Risiko aufweisen als Anwendungen aus dem Google Play Store. Suzanne Frey, VP für Product, Trust & Growth bei Android, vergleicht das neue Verfahren mit einer Ausweiskontrolle am Flughafen: Die Identität wird überprüft, der Inhalt des Gepäcks bleibt davon unberührt. Für die Umsetzung entwickelt Google eine neue Android Developer Console. Sie richtet sich an Entwickler, die ihre Apps außerhalb des Play Stores vertreiben. Hobby-Entwickler und Studenten erhalten eine separate Version der Konsole mit angepassten Anforderungen.
Die Einführung erfolgt schrittweise: Im Oktober 2025 beginnt die Early-Access-Phase. Ab März 2026 können sich alle Entwickler verifizieren lassen. Die verbindliche Einführung startet im September 2026 in den genannten Ländern. Eine weltweite Ausweitung ist für 2027 geplant. Die Brasilianische Bankenvereinigung FEBRABAN und Regierungsbehörden in Indonesien und Thailand unterstützen die Initiative. Sie sehen darin einen ausgewogenen Ansatz zum Schutz der Nutzer bei gleichzeitiger Wahrung der Offenheit des Android-Systems. Entwickler, die bereits im Play Store aktiv sind, erfüllen die Verifizierungsanforderungen durch ihre bestehende Play-Console-Registrierung. Die Möglichkeit zum Sideloading und die Nutzung alternativer App Stores bleiben erhalten.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Schritt für Schritt zum geschlossenen System…
Nach den Einschränkungen der AOSP Code Protokollierung und nun ein schleichender Identifikationszwang.
Wenn ich nun eine App „HelpAgainstTotalitarians“ entwickelt habe und die (natürlich ohne identifizierendes Zertifikat) verteilen möchte, wird dies in diesem Schritt wohl nur auf Kosten anderer Funktionalitäten (zB Banking-Apps) funktionieren. Im nächsten dann vermutlich gar nicht mehr.
Ich sehe das eher wie SSL-Zertifikate im Internet. Ein Mindestschutz, der sich mit vielen Warnung noch umgehen lässt und, soweit ich weiß, keine Einschränkungen (bis auf die gestiegenen technischen Anforderungen) mit sich bringt.
Und genau DAS ist schief gegangen, bis nach vielen Jahren Oligopol-Missbrauch endlich Letsencrypt entstand. Und nicht vergleichbar mit diesem Case hier, wo allein Google die Kontrolle hat.
Das stimmt, hier ist Google wohl wirklich als alleinige Instanz angedacht. Zudem tatsächlich Ausweis und sogar Einschränkung auf Nationalitäten. Tatsächlich nicht gut.
Hier ist das nochmal genauer dargestellt: https://www.heise.de/news/Android-Google-verbietet-anonyme-Apps-10617479.html
Das ist ja wirklich schon Stockholm-Snydrom-Level. Das ist ungefähr die gleiche schwachsinnige Begründung die Apple um sich wirft für einen Mechanismus der sich super einfach missbrauchen lässt.
Finde den Vorwurf etwas daneben. Und bei Apple war das System ja nie offen, da geht es ja gerade mal um eine vorsichtige Öffnung auf Druck der Gesetzgeber. Nicht zu vergessen, dass Apple gar kleine Drittanbieter-Apps außerhalb der EU erlaubt.
Wenn sich nach lesen des Heise-Artikels das ganze nochmal einschränkender darstellt. Und dass wohl wirklich kein Opt-Out angedacht ist, wie es bei SSL immernoch geht.
Schön, dass du ihn daneben findest, Argumente dagegen hast du aber offenbar keine, daher scheinst du mir also Recht zu geben…
Ich habe nie gesagt, dass Du falsch liegst oder dass ich deine Argumente nicht teile. Aber scheinbar geht es manchen nur ums Recht haben, behalten und das möglichst polemisch …
Du hast gesagt, du findest den Vorwurf daneben. Die impliziert, dass du anderer Meinung ist. Wenn das nicht deine Aussage sein sollte, musst du eben schreiben, was du meinst, nicht nur meinen, was du schreiben willst.
Alles okay bei dir?
Selbstverständlich. Im Gegensatz zu dir weiß ich wenigstens, was ich schreibe…
Da ich etliche Apps über Sideloading verwende hoffe ich dass das keinen Einfluss auf die Verfügbarkeit der Apps hat.
Wenn die Apps dadurch nicht mehr angeboten werden wäre das für mich eine extreme Verschlechterung und ein weiterer Schritt Richtung Apple. Somit geht dann die Freiheit bei Android flöten und es wurde keine Alternative mehr zu Apple geben.
Du kannst Match nutzen – oder eben auch Apple Music
Brauchst du ja nicht, wenn du AM nutzt, ansonsten ja.
Hallo Tom,
Dateien-App oder TFile-Explorer oder Filebrowser App – gibt einige Apps über die man Dateien auf Netzwerkfreigaben im eigenen WLAN aufs iPhone holen und auch abspielen kann.
Muß ja nicht in Apple musics Oberfläche sein, diese Apps haben eigene Player .
r.i.p. vanced. demnächst kann man dann die Entwickler solcher Apps direkt Dingfest machen
Vanced ist schon lange tot und ReVanced signiert nicht zentral. Die einfachste Lösung wäre, du lässt dich verifizieren und importierst dein Zertifikat in den Manager. Es ist fraglich, ob dafür nennenswert Aufwand notwendig wäre, einen Keystore kannst du bereits importieren.
Ein deutlich besseres Beispiel wäre wohl F-Droid, denn dort werden die Apps nicht vom Entwickler signiert (es sei denn du bist in der Position deine eigenen APKs dort hochzuladen, was reproducible builds voraussetzt), F-Droid kompiliert und signiert selbst. Ob sie F-Droid als Entwickler akzeptieren ist also eine berechtigte Frage, aber wenn nicht, dürfen sie das mindestens in der EU nicht anbieten.
Dann bin ich jetzt also auch bald unter Android auf Googles Gnaden angewiesen, selbst um eine *selbstentwickelte* App auf *meinem* Smartphone zu installieren? Es ist wirklich zum verzweifeln, wie schwer es einem gemacht wird, die Hoheit über ein gekauftes Gerät zu behalten. Und das schlimmste daran ist, daß die Lemminge das auch noch feiern werden – am lautesten die, die noch niemals eine App am göttlichen Store vorbei installiert haben. Im Zweifel muß ich dann wohl oder übel auf den Play Store pfeifen.
Hallo Henning,
es ist _Deine_ Hardware, aber weder bei Apple noch auf einem Androiden noch einem Windows-PC _Dein_ Betriebssystem. An dessen Nutzung, das heißt auch an der Nutzung aller Mechanismen und Schnittstellen des OS über die Programme eingebunden und ablaufen können, hast Du kein Eigentum und kannst eben nicht machen was du willst.
Selbst wenn Du ein Programm selber schreibst. sobald es auf mechanismen des Betriebssystems zugreift um auf dem OS Deiner hardware zu laufen, unterliegst Du den Nutzungsbedingungen des jeweiligen Betriebssystems. Das hast du im Übrigen bei der Ersteinrichtung so unterschrieben.
Bei Apple fällt das den leuten eher auf weil hard- und Software aus einer „Schmiede“ stammen – ist aber juristisch gesehen bei allen anderen OS das Gleiche.
Schreibe Dein eigenes Betriebssystem für Smartphone und PC und dann hast du allein die Hoheit darauf einzurichten was Du möchtest.
Nur für die Hardware hat juristisch gesehen ein Eigentumsübertrag stattgefunden.
Ist wie mit einem Buch oder einer Schallplatte oder CD: Du erwirbst Eigentum an den Seiten und dem einband, dem Vinyl oder der Silberscheibe und der Verpackung,Du hast jedoch nur Nutzungsrechte am Inhalt, also erwirbst weder an der Geschichte, der musik und auch nicht an der Gestaltung von Einband , Cover, Booklet Eigentum und darfst daher damit nicht machen was Du willst. Z. B. nicht (kommerziell) vervielfältigen oder einfach – das käme vielleicht dem Einrichten eigener programme auf fremden Betriebssystem nahe – darfst nicht Samples aus den inhalten, egal ob Text, musik, Bilder – ungefragt in eigene Werke übernehmen.
Hallo Andreas,
wieder einmal zeigst du völlige Ahnungslosigkeit gemischt mit schlechten Vergleichen, die nicht funktionieren. Schau dir doch einfach Mal an, was global die diversen Regulierer zu solchem Gebahren sagen…
Hallo Richard,
Regulierer z. B. die BNetzA sind Behörden.
Auch die Entscheidung von Regulierern unterliegen der überprüfbarkeit durch Gerichte.
Wer also juristisch verbindliche Vorgaben schaffen will muß Gesetze ändern.
Danke, dass du meine Aussage so deutlich beweist. Regulierer arbeiten auf Basis der Gesetze, und die Gesetze existieren schon längst. In der EU etwa der DMA. Die BNetzA war nie gemeint, sowas geschieht hier auf EU-Ebene.
Aber typisch, immer erst Mal irgendwas schreiben, wird schon irgendjemand glauben…
Und nun wirft Google DEN Vorteil weg den sie haben – unglaublich!
Bin gespannt wie das dann laufen soll?!
Mein Konto beim PlayStore möchte Google löschen – weil die eine App eben keine Updates benötigt, Google das aber verlangt! Entweder der Account wird aktiv genutzt und Apps regelmäßig mit Updates versorgt, oder sie löschen das Konto. Und so natürlich auch die App!
Wenn ich dann auch nicht mehr einfach einen Download anbieten kann ohne Verifizierung – wie soll das dann dann laufen? Eine Webseite wo man die App einmal zum prüfen hochlädt und die dann irgendwie mit einer Signatur versehen wird? Ohne Entwicklerkonto? Man darf gespannt sein!
So wie ich den Text verstehe, betrifft es nur den Entwickler der sich verifizieren muss, die App selbst, wird von Google nicht geprüft.
„Die Identität wird überprüft, der Inhalt des Gepäcks bleibt davon unberührt.“
Naja, aber das ist ziemlich leicht zu durchschauen, oder? Blicken wir das?
… also wenn sie deine Identität dann mal haben, dann können sie sich ja immer noch entscheiden, zu prüfen, ob sie deine App vielleicht doch nicht so cool finden. 😀
Tja die Frage ist nur: Wie denn ohne ein spezielles Konto? Eine Art „PostIdent“ und Google merkt sich auf ihren Servern? Oder eben doch ein Entwickler-Konto … und das löschen sie dann, wenn man nicht jedes Jahr was neues hochladen möchte/muss?
Ich bin ja mal sehr gespannt!
Es ist schon jetzt mit vielen Taps verbunden eine nicht signierte APK direkt zu installieren, auf einem Pixel Gerät. Wie das an einem Xiaomi oder anderen aussieht die nochmal eigene UI- und „Schutz-„Erweiterungen drauf haben … naja
Deine App benötigt aber Updates, um sich an die neuesten Android-Versionen anzupassen, auch wenn es nervt und oft vorne rum nicht viel davon zu sehen ist. Früher war es z.B. möglich bestimmte Berechtigungsabfragen einfach zu umgehen, in dem man seine App nicht auf das neueste SDK ausgerichtet hat. Das verhindern sie jetzt mit dem Updatezwang. Es dümpeln auch immer noch endlos viele Apps im Store rum, die mit den neusten Android-Versionen längst nicht mehr kompatibel sind. Vermutlich von Accounts die noch andere Apps haben und diese einfach nicht mehr pflegen. Die sollten meiner Meinung nach auch gelöscht werden.
Nein, nicht jede App braucht zwangsweise regelmäßig Updates. Denn an eine neue Android Version muss eine App nur angepasst werden, wenn diese Version etwas anders handhabt. Ich habe uns hatte genügend Apps, die keinerlei Updates brauchten und ihre Installation seitens Android einzig aufgrund des Alters verwehrt wurden, nicht aufgrund tatsächlicher Inkompatibilität. Das ist schon reichlich unsinnig.
Unfassbar. EU, bitte einschreiten. Mein Gerät, meine Entscheidung.
Ich hoffe es.
Nicht das sie sich wieder an der Nase führen lassen wie bei Apple.
Sorry, aber damit lässt sich das wirklich nicht begründen. Dein Gerät, du kannst gerne ein anderes Betriebssystem installieren. Aber das betrifft ja nur Googles Plattform. Insofern ist wenn überhaupt mit dem Digital Markets Act zu argumentieren, also fairem Wettbewerb.
Du kannst eben bei den meisten Android Geräten keine alternativen ROMs oder gar völlig andere Systeme installieren. Dafür bräuchtest du sowohl einen offenen Bootloader als auch Treiber und Firmware. Und da bei Smartphones ein Duopol herrscht, ist diese Argumentation hinfällig.
Dir ist schon klar, dass es auch offene Versionen von Android gibt? Wie dem auch sei, vermischen wir mit der ursprünglichen Aussage hier, auch rein rechtlich, zwei verschiedene Ebenen.
Sorry, aber was redest du für einen Unsinn? Davon abgesehen, dass es per definition keine „offenere“ Version von Android gibt, da sich Android nur nennen darf, was von Google zertifiziert ist, aber was ändert deine Aussage an den Fakten, die ich dargelegt habe? Absolut nichts!
Die Zertifizierung bezieht sich auf Android mit den Google Services. Das kann man auch überall lesen. Android selbst gibt es auch als Android Open Source Project (AOSP), darauf basierend auch andere Betriebssysteme.
Wirklich unterhaltsam, wenn man meint austeilen zu müssen anstatt freundlich zu bleiben und dann sogar falsch liegt.
Und wieder Unsinn. Du solltest dich Mal an deine eigene Nase fassen und lernen, was der Unterschied zwischen Android und AOSP ist, bevor du dich allwissend gibst. Das ist wirklich peinlich, was du hier zum besten gibst…
Hallo Jörg,
s. mein Kommentar an Henning:
Dein Gerät – ja . Dein Betriebssystem – nein.
so einfach ist das. Bau Dir Dein eigenes OS für die hardware und Dein Satz stimmt. sonst kann Dir derjenige der Dir die _Nutzungsrechte_ an seinem Betriebssystem überlassen hat, bestimmen unter welchen Bedingungen Du dieses System und all seine mechanismen, z. B. auch alles was Apps und programme, selbst wenn Du sie selber schreibst, erst lauffähig macht, nutzen darfst.
Ich denke du arbeitest in der IT-Branche? Dann sollte Dir nicht nur die Technik sondern zumindest ansatzweise auch die juristische Seite vertraut sein und Du zwischen dem Erwerb von Eigentum (hardware) und nutzungsrechten (software( unterscheiden können.
Oder wir zwingen Google einfach als EU, unsigniertes Sideloading zuzulassen. Unser Binnenmarkt unsere Regeln. So einfach ist das, oder?
Korrekt, im Gegensatz zu dem Unsinn, den Andreas verbreitet.
Was halt wirklich sehr wenig mit „Mein Gerät, meine Entscheidung.“ zu tun hat.
Der letzte Satz: „Die Möglichkeit zum Sideloading und die Nutzung alternativer App Stores bleiben erhalten.“
Ja, aber: nur mit Verifizierung, oder wie jetzt? Oder gilt die Verifizierung nur für z. B. den F-Droid-Store, aber die Apps darin unterliegen der Kontrolle nur von F-Droid?
Ernsthaft? Haben die Lack gesoffen?
Da bin ich extra vom iPhone zu Android gewechselt, weil ich einfach eine App für MICH entwickeln und auf MEIN Smartphone spielen konnte, ohne irgendwelche blödsinnigen Entwickleraccounts haben oder gar bezahlen zu müssen. Und jetzt das?
Ok, dann war’s das für mich mit Android!
Naja, das ist nun wirklich das argument, das am irrelevantesten ist. Es soll ja extra Accounts geben für Hobby-Entwickler etc. Wenn sie dafür Geld verlangen, bekommen sie in sehr vielen Ländern Probleme. Das Problem sind viel mehr Apps die nie im PlayStore angeboten wurden, oder wie bei F-Droid anders signiert sind.
Mal davon abgesehen, selbst wenn, bei Google sind es immerhin nur einmalig 20 USD, bei Apple 100 $ im Jahr, und du brauchst zwangsweise einen Mac. Macht es nicht wesentlich besser, ist aber dennoch ein immenser Unterschied.
Nur weil es wo anders (Apple) noch schlimmer ist, macht es das nicht besser. Unterm Strich ist das eh nur der erste Schritt, um dann irgendwann Geld von uns Hobbyentwicklern abkassieren zu können „weil man ja den Verwaltungsaufwand finanzieren muss“.
Ich sag nur LMAA Google und stelle meine Projekte ein. Ich werds überleben. Aber den Sch… mache ich nicht mit.
Mit anderen Worten in der EU werden die das nie durchsetzen können. Denn effektiv würden sie entweder F-Droid an sich als Entwickler akzeptieren müssen, da diese sämtliche Apps selbst kompilieren und signieren, oder sie könnten schon alleine dem Zwang zum Erlauben von Drittstores nicht nachkommen. Zum anderen ist etwas ähnliches ja auch Teil des entwicklerfeindlichen Konzeptes von Apple, was wohl kaum dauerhaft Bestand haben kann. Und auch in anderen Ländern werden Google und Apple zu mehr Offenheit gezwungen. Google will es wohl wirklich darauf anlegen, früher oder später zum Verkauf von Android gezwungen zu werden.
So isses. Kein Grund zur Panik.
Mensch Leute, lest doch einfach den GANZEN Artikel, bevor ihr hier am Abdrehen seid.
Kopf > Tisch
Das ist genau so Stockholm-Snydrom-Level wie die ganzen iSheeps, die die entwicklerfeindlichen Regelungen von Apple verteidigen, die ganz klar gegen die EU-Vorgaben verstoßen.
@Richard
Wo liest du denn heraus, daß ich hier etwas verteidige?!
Musst eine sehr große Phantasie haben.
*double facepalm*
Aus dem, was du geschrieben hast. Wenn du etwas anderes sagen wolltest, hättest du auch etwas anderes schreiben müssen.
Hallo Richard,
wwer pauschal menschen die eine andere meinung haben als man selbst als „Schafe“ „die ganzen iSheeps“, bezeichnet, scheint der gleichen Sichtweise auf Andersdenkende verhaftet zu sein die die politischen Kräfte die Andersdenkende als „Schlafschafe“ bezeichnen.
Danke für diese Selbstoffnbarung!
Ach komm, geh mir nicht auf die Nerven mit deinem völligen Unsinn!
Mir fiel bei dieser Meldung zuerst der Begriff „Zertifzierte Android-Geräte“ auf.
Das sind ja nicht nur Telefone…..und umfasst das auch all diese China-Kracher ?
Für mich liest sich diese Meldung eher nach etwas, womit ein bestimmter Eindruck
erweckt werden soll. Nämlich dass Google auf allen Android-Smartphones das Sideloadiing
ganz allgemein einschränken würde/könnte…was die Google mit Sicherheit nicht kann.
Ich gehe davon aus, zertifiziert dürfte hier jedes Gerät sein, das Android nutzt und nicht nur AOSP, und daher eben mit den Google Diensten ausgeliefert werden. Die ganzen China-Phones die maximal AOSP nutzen, sind logischer Weise nicht betroffen.
@Richard
Schon wieder falsch.
Die ganzen „China-Phones“ kommen mit Google Diensten und sind daher zertifiziert.
Einzige Ausnahme, die ich kenne, ist Huawei.
Welche Modelle sollen denn nur AOSP Nutzen? Beispiele?
Auch nur AOSP Geräte können mit Google Diensten ausgestattet sein…
…lesen kannst du aber?
1. Danke dass du meine Aussage so deutlich bestätigst.
2. Jeder Smartphone Hersteller, der ausschließlich in China und einigen anderen asiatischen Ländern verkauft, wo die Google Dienste nicht relevant sind, nutzt eben nur etwas auf AOSP basis. Eine sehr kurze Google Suche würde dir eine Liste dieser geben. Dazu gehören etwa neben dem von dir erwähnten Huawei auch die für den chinesischen Markt gedachten Modelle von Meizu, Bluboo, Xiaomi, Oppo etc. Die haben halt nicht nur im Portfolio, was sie etwa in der EU oder den USA verkaufen. Dazu kommen übrigens noch Amazons FireOS oder die Murena-Versionen vom Fairphone, CMF Phone 1 oder diversen Pixels.
3. nein, legal darf kein AOSP Gerät mit Google Diensten ausgestattet sein, es sei denn sie sind eben zertifiziert und dürfen sich Android nennen. Sicher, in der Vergangenheit haben diverse Hersteller ohne Lizenz die Google-Dienste vorinstalliert, aber das unterbindet Google seit Jahren sehr effektiv. Darum war auch das Android Subsystem for Windows mit dem Amazon Store ausgestattet, und deswegen ist die Kategorie der Tablets/Laptops die ein Dual Boot aus Windows und Android hatten so kurzlebig, ohne Google Dienste will das keiner.
Ja sorry, da kam es aber wirklich auf jedes einzelne Wort in deinem Post an… Nichts für ungut, dann sind wir ja jetzt quitt.
😉
Wenn ich etwas schreibe, meine ich es auch so. So, wie man es von jedem an dieser Stelle erwarten können soll. Wenn du glaubst, nur die Hälfte von dem, was ich schreibe, zu registrieren, dann ist das dein Problem, nicht meins.
Sie können es aber im dem Sinne einschränken, daß Apps von nicht zertifizierten Entwicklern geblockt werden.