#KeepAndroidOpen: AdGuard против новой политики Google по верификации Android-разработчиков

Команда AdGuard подписала открытое письмо против планируемой обязательной верификации разработчиков со стороны Google.

Кампанию против новой политики Google запустил магазин приложений F-Droid ещё в прошлом году. Письмо уже поддержали десятки организаций, в том числе F-Droid, Electronic Frontier Foundation, Free Software Foundation и Vivaldi. Среди адресатов — сооснователи Google Сергей Брин и Ларри Пейдж, а также генеральный директор Сундар Пичаи.

Посыл прост: новые правила в корне изменят работу экосистемы Android — и не в лучшую сторону. Мы разделяем опасения, изложенные в письме. И мы полностью солидарны с организациями, которые требуют, чтобы Google пересмотрел это решение.

В чём суть обязательной верификации

Речь идёт об обязательной верификация для всех Android-разработчиков. Сейчас это требование касается только тех, кто публикует приложения в Google Play, но новые правила затронут всех разработчиков.

Если изменения вступят в силу, то обязательную проверку должны будут пройти все Android-разработчики — даже те, кто распространяет ПО через собственные сайты, альтернативные магазины или по прямой ссылке. Фактически это значит, что они должны получать разрешение от Google для любой дистрибуции Android-приложений.

Что это означает на практике? Разработчиков обяжут создать аккаунт в новой консоли Google, принять условия компании, оплатить регистрационный взнос в размере 25 долларов и подтвердить свою личность. Для этого потребуется загрузить документы — паспорт или права — а также подтвердить адрес почты и телефон с помощью одноразовых кодов.

Приложение будет криптографически привязано к подтверждённой личности разработчика. Для этого нужно загрузить публичный SHA-256-отпечаток ключа подписи и отправить подписанный APK-файл с файлом верификации — чтобы закрепить конкретное приложение за конкретным разработчиком.

Разработчикам, у которых уже есть приложения в Google Play, не придётся начинать с нуля. Они смогут добавить сторонние приложения через консоль. Однако тем, кто не работает в экосистеме Google Play, будет сложнее. Им нужно будет регистрироваться и проходить процесс верификации полностью.

Схема работала в раннем доступе с ноября прошлого года, а с марта 2026 года станет доступна всем разработчикам. С сентября 2026 года требования станут обязательными в Бразилии, Индонезии, Сингапуре и Таиланде: приложения разработчиков, которые не прошли верификацию, в этих странах будут заблокированы для установки на сертифицированные устройства Android. Google уже заявил, что в дальнейшем эти правила будут действовать по всему миру.

В Google готовы идти навстречу студентам и кодерам-любителям — они смогут создавать аккаунты с меньшим числом проверок и без регистрационного взноса в 25 долларов. Но суть изменений это не меняет: для распространения независимого ПО Android фактически потребуется прямое одобрение Google.

Эти изменения в корне меняют экосистему Android, которая долгое время позиционировалась как альтернатива закрытой модели Apple. Android строился на принципе открытости: разработчики могли разрабатывать и распространять ПО без корпоративных проверок. Но новая схема меняет этот подход.

Под контролем Google теперь будет не только Google Play, но и вся дистрибуция Android-приложений. У компании появится техническая возможность блокировать установку приложений, не прошедших одобрение.

Что не так с новыми правилами Google

Последствия этой политики могут быть серьёзными. Новые правила усложнят разработку инновационных продуктов и создадут дополнительные барьеры для программистов. В зоне риска — волонтёрские open-source-проекты, разработчики, которые ценят конфиденциальность, а также команды из регионов с ограниченным доступом к сервисам Google. Формально верификация занимает не более десяти минут, но она может затруднить работу небольшим командам с ограниченными ресурсами.

Кроме того, есть опасения насчёт конфиденциальности данных разработчиков, ведь чувствительная информация — в том числе паспортные данные и подтверждённый номер телефона — будет храниться в одном месте. А требование раскрыть личную информацию, чтобы распространить продукт, противоречит принципам многих разработчиков — в том числе тех, кто работает в сфере защиты данных пользователей.

Тревогу вызывает также непрозрачная и непоследовательная политика Google в отношении приложений в Google Play, о которой давно говорят разработчики. Решения компании очень трудно оспорить. Если Google расширит свои полномочия на дистрибуцию всех приложений Android, а не только на размещение в Google Play, спорных случаев станет ещё больше.

Есть сомнения и в том, что новые меры действительно повысят безопасность. Злоумышленники не раз демонстрировали способность обходить защитные механизмы даже внутри Google Play, где верификация и процедуры проверки существуют уже давно. Расследование BitDefender в прошлом году выявило как минимум 331 вредоносное приложение, опубликованное на платформе. Вредоносные приложения достигли миллионов пользователей несмотря на требования верификации и защитные меры Android 13.

Для добросовестных разработчиков последствия будут ощутимыми. Те, кто распространяет приложения через сторонние магазины или напрямую, могут отказаться от этого из-за дополнительных требований и бюрократии. В результате на рынке станет меньше приложений — не из-за отсутствия спроса, а потому что дополнительные препятствия отпугивают разработчиков. Это снизит конкуренцию и замедлит инновации.

У пользователей, в свою очередь, может возникнуть ложное чувство безопасности. Если приложение можно установить только после верификации, создаётся впечатление, что оно безопасно. Но это не так. Верификация лишь показывает, кто создал приложение — но это не значит, что в нём не будет вредоносного кода. Пользователи будут менее осторожными при скачивании приложений Android, что может ослабить общую безопасность экосистемы.

Есть ли другие меры безопасности

У Android уже есть многоуровневая система защиты: песочница (Privacy Sandbox), детализированные права доступа, проверка подписи приложений, предупреждения о прямом скачивании сторонних приложений и система Google Play Protect. Этих инструментов достаточно для защиты от угроз без централизованного контроля над всей экосистемой, если правильно их применять.

Google Play Protect сканирует все приложения на устройстве, включая те, что установлены вне Google Play, и проверяет их через системы обнаружения угроз. Сервис может предупреждать пользователей о вредоносном ПО, а в серьёзных случаях отключать или удалять его. То есть, защита уже работает вне зависимости от источника установки.

Безопасность и открытость не обязательно противоречат друг другу. Android долгое время сочетал оба этих принципа. Однако расширение контроля со стороны владельца платформы — особенно на фоне повышенного внимания регуляторов к конкуренции — вызывает вопросы. Подобные решения могут усилить контроль Google над рынком, ограничить работу альтернативных магазинов приложений и усложнить равную конкуренцию для независимых разработчиков.

Главной силой Android всегда была открытость. Именно она с самого начала привлекала разработчиков и пользователей. Сохранить эту открытость пойдёт на пользу всем.

Для нас в AdGuard это не просто теоретические рассуждения. Наши пользователи знают, что полная версия AdGuard для Android недоступна в Google Play, потому что правила магазина не допускают системные блокировщики рекламы. Сейчас приложение можно скачать с нашего официального сайта или в надёжных сторонних магазинах.

Нам важно, чтобы AdGuard был доступен каждому. Мы готовы выполнить все необходимые требования, если новая политика вступит в силу. Однако пока неясно, какие именно шаги потребуются для соответствия новым правилам. Мы считаем, что оптимальным решением было бы пересмотреть этот подход и сохранить открытость, которая долгое время оставалась ключевой ценностью Android.