25 августа 2025 года компания Google объявила о «новом уровне безопасности для сертифицированных устройств Android». Для защиты против вредоносного ПО принято решение ввести обязательную верификацию разработчиков, которые подписывают Android-приложения (здесь и далее имеются в виду приложения для сертифицированных устройств с предустановленными программами Google, производители таких устройств перечислены здесь).
В данный момент все все APK-файлы в Android должны быть подписаны цифровой подписью с помощью сертификата, прежде чем будут установлены на устройство или обновлены. В будущем, чтобы получить цифровую подпись и сертификат, разработчик будет обязан предъявить документ, подтверждающий личность (паспорт).
Таким образом, установка приложений из сторонних источников (sideloading) усложнится, хотя останется возможной.
Верификация разработчиков
Верификацию разработчиков в Google Play существенно усилили в июле 2023-го, когда были внесены соответствующие изменения в требования к аккаунту Google Play Console.
В июле 2023 года было анонсировано, что для всех новых учётных записей Google Play Console разработчики обязаны указать и подтвердить минимальную информацию о себе.
Теперь эти требования распространятся на все учётные записи: не только новые, но и старые. Произойдёт это не ранее 2027 года. В конце 2026-го обязательную верификацию введут для разработчиков Бразилии, Индонезии, Сингапура и Таиланда, а впоследствии распространят на остальной мир.
В марте 2026-го возможность верификации откроется для всех разработчиков. Здесь можно записаться для раннего доступа.
Для верификации разработчиков за пределами Google Play вдобавок к аккаунтам Google Play Console будут созданы аккаунты Android Developer Console.
Типы аккаунтов
Все разработчики приложений в Google Play обязаны соблюдать требования Google Play Console (Android Developer Console). Проверенная информация о разработчике отображается в каталоге Google Play для всеобщего обозрения.
Google Play предлагает два типа аккаунтов разработчиков: личный и организации.
Для них нужно предоставить следующую информацию:
Личный аккаунт разработчика
Имя (отображается в Google Play)
Адрес (страна, отображается в Google Play)
Контактный номер телефона
Адрес email, который будет отображаться в Google Play как часть общедоступного профиля. В настройках можно указать разные email для каждого из приложений
Веб-сайт (необязательно)
Нужно оплатить единоразовый регистрационный взнос $25 и предоставить документ, подтверждающий личность.
Корпоративный аккаунт разработчика
Если разработчик выпускает финансовые продукты, приложения для здоровья, VPN или государственные приложения, он должен регистрироваться как организация. В этом случае потребуется дополнительная информация для верификации. Она зависит от типа организации. Например, для коммерческой компании нужно указать номер DUNS. Это уникальный девятизначный номер в регистре компании Dun&Bradstreet, который используется в качестве международного идентификатора организаций. Но этому номеру Google проверяет организацию.
Также для этого типа аккаунта нужно предоставить свидетельство о регистрации бизнеса. Название в документе о регистрации бизнеса, должно совпадать с указанным в учётной записи.
Установка приложений из посторонних источников
Таким образом, Google усложняет установку на Android приложений из посторонних источников (sideloading). Сейчас каждый может [сгенерировать ключ в Android Studio — и распространять APK с этой подписью]
В будущем такие подписи без верификации не пройдут проверку в ОС.
Технически проверка подписи в Android может выполняться через закрытие (части) ядра Android и интеграцию туда GApps, так что подпись кода будет проверяться на уровне ядра. В этом случае установить неподписанное приложение можно будет только на рутованном (взломанном) и/или несертифицированном устройстве Android.
Сейчас проверка личности выполняется для разработчиков Google Play, а в будущем понадобится и для всех остальных.
Пока неизвестно, как новые требования затронут приложения из RuStore. В настоящее время пока можно использовать подпись Google App Signing для сборок RuStore и других каталогов.
Основная проблема возникнет, если из-за санкций Google откажется принимать оплату у разработчиков из РФ, выдавать им цифровые сертификаты и т. д. В этом случае придётся искать обходные пути, например, оформлять продукты через сертификаты зарубежных коллег.
Некоторые эксперты считают, что с введением новых требований Google движется к более закрытой экосистеме, подобно Apple: «Это подразумевает создание модели, в которой любое стороннее приложение, устанавливаемое не из Google Play, должно быть подписано сертификатом, выданным Google».
Кроме того, есть фундаментальная идея, что каждый имеет право запускать любой код на своём устройстве. Право собственности. Если вещь принадлежит человеку, то юридически он может делать с ней что угодно. Но в цифровом мире правила не такие чёткие. Благодаря созданию цифровых экосистем у вендоров появилась есть возможность контролировать вещи на протяжении всего их жизненного цикла, даже после продажи и перехода права собственности на объект.
Обязательная цифровая подпись кода под Android — это удар ещё и по патчерам/моддерам, которые изменяют чужие приложения, например, вырезают из них рекламу. Вероятно, такие программы можно будет установить только на открытую систему AOSP (Android Open Source Project) и Android-форки на её основе, которые лишены фирменных приложений GApps.
бы получить цифровую подпись и сертификат, разработчик будет обязан предъявить документ, подтверждающий личность (паспорт).
Таким образом, установка приложений из сторонних источников (sideloading) усложнится, хотя останется возможной.
