Google hat eine neue Route für diejenigen vorgestellt, die Apps außerhalb des Play Store auf Android-Geräten installieren möchten: ein "erweiterter Flow", der eine 24-Stunden- obligatorische Wartezeit vor der Installation von Software von nicht zertifizierten Entwicklern einführt. Die Maßnahme steht im Zusammenhang mit den Entwicklerkontrollvorschriften, die das Unternehmen im vergangenen Jahr angekündigt hat, und fordert Entwickler in der Praxis auf, sich zu registrieren und ihre Identität zu bestätigen, damit ihre Apps auf Google-zertifizierten Geräten installiert werden können.
Googles offizielle Erklärung ist einfach: um den Manöverraum von schädlichen Schauspielern zu reduzieren, die nach dem Unternehmen die Vorteile der Sideloading nutzen, um Malware zu verbreiten oder Opfer zu induzieren, um Berechtigungen zu gewähren, die Schutz wie Play Protect deaktivieren. In seiner technischen Veröffentlichung enthält Google den neuen Flow und hat auch Dokumentation zum Verifikationsprogramm für Entwickler veröffentlicht ( Offizieller Eintrag auf Android-Blog und die Verifikationsseite auf dem Entwicklerportal: Entwicklung)
Der für fortgeschrittene Anwender konzipierte Prozess erfordert mehrere Schritte, bevor die Seiteninstallation dauerhaft oder vorübergehend aktiviert ist. Generell muss der Benutzer die Entwickleroptionen im System aktivieren, bestätigen, dass er / sie auf seine eigene Entscheidung wirkt (nicht unter Duress), das Telefon neu starten und neu authentifizieren, um einen Angreifer zu verhindern, der Zugang zum Gerät hat, das Verfahren in seinem Auftrag zu beenden. Nach diesem Neustart ist es erforderlich, dass es 24 Stunden dauert und dass der Benutzer seine Absicht durch biometrische Authentifizierung oder PIN revalidiert. Erst dann ist es möglich, Anlagen von nicht beglaubigten Entwicklern zu autorisieren, entweder unbestimmt oder für einen begrenzten Zeitraum (Google hat Optionen geplant, um diese Erlaubnis für sieben Tage zu gewähren, zum Beispiel). Google hat weiter spezifiziert, dass dieser Fluss die Einrichtungen von Android Debug Bridge (ADB) nicht beeinflusst.
Von der Firma wird argumentiert, dass dieses eintägige Wartefenster macht es viel schwieriger für einen con man eine aktive Kampagne zu halten: Zeit gibt der Person Raum, um den con zu erkennen, konsultieren Familienmitglieder oder erhalten eine Benachrichtigung von seiner Bank vor dem Angriff gipfelt. Die Idee, nach dem Präsidenten des Android-Ökosystems, Sameer Samat, ist, dass die Verzögerung dient als vorübergehendes "Kraftshirt" gegen Social Engineering Manöver; eine Zusammenfassung seiner Aussagen finden Sie in der Berichterstattung der Nachrichten in Ars Technica.
Neben dem Nutzerfluss hat Google für Studenten und Amateurentwickler eine kostenfreie "begrenzte Distribution" angekündigt, Apps mit bis zu 20 Geräten zu teilen, ohne dass ein offizielles Identitätsdokument vorgelegt oder eine Gebühr bezahlt werden muss. Diese Optionen, nach dem von Google veröffentlichten Zeitplan, werden im August 2026 verfügbar sein, kurz bevor die obligatorische Überprüfung im folgenden Monat in Kraft kommt.
Allerdings hat nicht alle Ökosysteme die Initiative begrüßt. Mehr als fünfzig Entwickler und App-Shops, darunter Projekte und Unternehmen wie F-Droid, Brave, die Electronic Frontier Foundation, Proton, The Tor Project und Vivaldi, haben einen offenen Brief unterzeichnet, der ihre Besorgnis über die mögliche Erhöhung der Reibung für Schöpfer und die Risiken für die Privatsphäre und Überwachung durch die Erfassung von Identitätsdaten ohne klare Garantien für ihre Verwendung und Sorge zum Ausdruck bringt. Der Text, der öffentlich verbreitet wurde, fordert eine größere Transparenz darüber, welche Daten angefordert werden, wie sie gespeichert werden und unter welchen Bedingungen durch staatliche Anfragen beeinträchtigt werden könnten ( Öffnen Sie die Karte)
Die Debatte spiegelt eine klassische Spannung wider: wie man die Öffnung ausgleicht, die Android charakterisiert hat - die Möglichkeit der Installation von Apps von außerhalb des offiziellen Speichers - mit der Notwendigkeit, Missbrauch durch digitale Kriminelle zu mindern. Google behauptet, dass die Stärkung der Identifizierung von Entwicklern helfen, schlechte Schauspieler schneller zu erkennen und zu entfernen; Kritiker reagieren, dass die Überprüfung eine Barriere für kleine Initiativen, Open Source-Projekte und technische Experimente sein kann, die historisch Teil des Ökosystems gewesen sind.
Die Sorge um die Sicherheit ist nicht theoretisch. In den letzten Monaten sind aktive mobile Bedrohungen entstanden, die versuchen, Geräte zu entführen oder finanzielle Anmeldeinformationen zu stehlen: Forscher und Cyber-Sicherheitsunternehmen haben neue Android-spezifische Malware-Familien entdeckt, einschließlich einer Kampagne namens Perseus, die Nutzer in Ländern wie der Türkei und Italien betroffen hätte, mit Zielen der totalen Gerätekontrolle und wirtschaftlichen Betrug. Um den Kontext besser zu verstehen, ist es notwendig, öffentliche Sicherheitsberichte und Google-Schutzseiten zu überprüfen, wie die Play Protect-Dokumentation, die erklären, wie die eingebauten Android-Verteidigungen funktionieren ( Was Spielen Schutz ist) und die Sicherheitsberichte der Plattform ( Android Security)
Welche praktischen Auswirkungen hat das für Anwender und Entwickler? Für diejenigen, die Anwendungen installieren, bleibt die Empfehlung die gleiche wie in den Vorjahren: Überprüfen Sie den Ursprung der APK, Misstrauen von Links und Nachrichten, die drücken, um etwas als eine Frage der Dringlichkeit zu installieren, halten Sie das Backup und lassen Play Protect auf. Für kleine Entwickler versprechen begrenzte Distributionskonten vorübergehende Entlastung, aber Unsicherheit über die Verarbeitung der Überprüfung und den Schutz personenbezogener Daten erfordert Google, um operative Details und überzeugende technische Garantien bereitzustellen.
Am Ende versucht Googles Vorschlag, einen Zwischenweg zu zeichnen: die Möglichkeit der Sideloading für Benutzer zu erhalten, die wissen, was sie tun, aber um Reibung hinzuzufügen, wenn diese Freiheit von Angreifern ausgenutzt werden kann. Es bleibt zu sehen, ob dieses Gleichgewicht in der Praxis funktionieren wird und ob ergänzende Maßnahmen - Identitätskontrollen, klare Optionen für Gemeinschaftsprojekte und robuste Datenschutzmechanismen - die Gemeinschaft nur überzeugen werden. In der Zwischenzeit wird das Gespräch zwischen Plattformen, Entwicklern, Datenschutzorganisationen und Behörden bleiben Schlüssel zu definieren, wie das offene Android in den nächsten Jahrzehnten sein wird.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...