Google hat vor einiger Zeit seine Pläne konkretisiert, wie man erfahrenen Anwender ermöglichen will, Android-Apps von nicht registrierten Entwicklern auf Android-Geräten auszuführen. Seit zwei Wochen sind nun die Details zu Googles Plänen bekannt. Ich trage mal einige Informationen dazu nach.
Entwickler-Registrierung, um was es geht
Google plant, dass Android-App-Entwickler sich gegenüber dem Unternehmen identifizieren müssen, um die App künftig noch unter zertifizierten Android-Geräten ausführen zu können. Ziel ist es, das Ökosystem für Android-Apps besser abzusichern und schädliche Android-Apps zu bannen. Angesichts einer Vielzahl an schädlichen Android-Apps, die sich im Google Android-Store einschleichen können, sollen sich zukünftig alle Entwickler von Android-Apps idealerweise gegenüber dem Unternehmen identifizieren müssen.
Ich hatte das Thema im August 2025 im Beitrag Google verlangt von Android-App-Entwicklern eine Identifizierung angesprochen. Google will überprüfen, wer der Entwickler ist, aber nicht den Inhalt seiner App oder deren Herkunft. Das Vorhaben hatte massive Kritik hervorgerufen, so dass Google etwas zurückruderte und eine Lösung versprach. Diese Lösung wurde von Google vor einiger Zeit skizziert. Diese Lösung ist seit Mitte März 2026 bekannt und durch Google konkretisiert worden. Nachfolgende gibt es eine grobe Übersicht.
So will Google Android-Sideloading künftig absichern
Google hatte bereits zum 19. März 2026 den Blog-Beitrag Android developer verification: Balancing openness and choice with safety veröffentlicht, wie ich seinerzeit bei den Kollegen hier gesehen habe. Für das Installieren von Android APK-Apps außerhalb des Google Play Store gibt es nach Googles Plänen folgende, als Sideloading bezeichnete Lösungen.
- Android APK-Apps von durch Google verifizierte Entwickler lassen sich wie bisher unter Android über "Aus unbekannten Quellen" installieren.
- Dann gibt es Sideloading von Android-Apps von Entwicklern, die nur eingeschränkte Distributionskonten haben. Dort können die APK-Dateien von den Entwicklerwebseiten heruntergeladen und installiert werden.
- Der dritte, problematische Fall sind Android APK-Dateien von Apps, die von nicht verifizierten Entwicklern stammen. Hier führt Google dann "Schikanen" ein, um das Übertölpeln von Nutzern durch Cyberangreifer zu verhindern.
Der erste Fall, Apps von verifizierten Entwicklern, ändert nichts bei der Installation. Bezüglich der Thematik "eingeschränkte Distributionskonten" will Google ab August 2026 kostenlose Konten für Schüler, Studenten und Hobbyentwickler einrichten. Damit können diese Apps mit einer kleinen Gruppe (bis zu 20 Geräte) teilen, ohne einen amtlichen Ausweis vorlegen oder eine Registrierungsgebühr entrichten zu müssen. So bleibt Android eine offene Plattform für Lernen und Experimentieren, während gleichzeitig ein solider Schutz für die breitere Community gewährleistet ist.
Kommen wir zum dritten Szenario des nicht verifizierten Entwicklers und dessen Apps. Um zu vermeiden, dass ein unbedarfter Benutzer durch eine Schadseite oder per Phishing etc. veranlasst wird, eine schädliche Android-App aus unbekannten Quelle zu installieren, gelten dann folgende "Hürden", die dann von "Fortgeschrittenen Android-Nutzern" einmalig für die zu installierende Android-App überwunden werden müssen:
- Der Nutzer muss unter Android in den Systemeinstellungen den Entwicklermodus aktivieren (in den Einstellungen meist unter System) siebenmal auf die Build-Nummer tippen). Die Aktivierung ist einfach, soll aber versehentliche Auslösungen oder "One-Tap"-Umgehungen zur App-Installation verhindern, die oft bei Betrugsmaschen mit hohem Druck eingesetzt werden.
- Dann müssen die Nutzer bestätigen, dass Sie nicht manipuliert werden. Dazu soll es eine Schnellprüfung geben, um sicherzustellen, dass niemand den Benutzer dazu überredet, die Sicherheitsfunktionen zu deaktivieren. Während erfahrene Nutzer wissen, wie man Apps überprüft, setzen Betrüger ihre Opfer oft unter Druck, Schutzmaßnahmen zu deaktivieren.
- Anschließend ist das Smartphone neu zu starten, und der Benutzer muss sich erneut authentifizieren. Dadurch werden jeglicher Fernzugriff und aktive Telefonate unterbrochen, die ein Betrüger nutzen könnte, um die Aktivitäten des Anwenders zu beobachten.
- Danach muss man einen Tag warten, bevor man die Änderung zur Installation der App eines nicht verifizierten Entwicklers installieren kann. Dazu ist eine biometrische Authentifizierung (Fingerabdruck oder Gesichtserkennung) oder die Eingabe der Geräte-PIN erforderlich, um zu bestätigen, dass der Nutzer tatsächlich diese Änderung vornehmen möchte.
Erst nachdem diese vielen Hürden (manche würden es als Schikanen bezeichnen) genommen wurden und Nutzer bestätigen, dass sie die Risiken verstehen, können Apps von nicht verifizierten Entwicklern installiert werden. Dabei gibt es die Option, diese Apps für 7 Tage oder auf unbestimmte Zeit zu aktivieren. Aus Sicherheitsgründen wird weiterhin eine Warnung angezeigt, dass die App von einem nicht verifizierten Entwickler stammt. Aber Nutzer können auf Trotzdem installieren tippen.
Das soll Betrüger, die auf Dringlichkeit bei der Installation schädlicher Apps setzen, schlicht durch die zeitlichen Hürden ausbremsen. Das Ganze ist laut Google ein einmaliger Parcours, der von fortgeschrittenen Benutzern absolviert werden muss (Android soll sich die Einstellungen merken), um Apps aus unbekannten Quellen von nicht verifizierten Entwicklern zu installieren.
In obigem Tweet fasst jemand einige Fragen rund um diese Fragestellungen zusammen. Bei deskmodder.de hat man das Ganze hier nochmals aufbereitet.
Ähnliche Artikel:
Android-Entwicklerregistrierung: Google rudert ein bisschen zurück
F-Droid-Projekt durch Google-Pläne in Gefahr
"Keep Android Open"-Petition gegen Googles Pläne zur Entwicklerregistrierung
MVP: 2013 – 2016
