Конец свободе Android: Google обнародовала график блокировки внешних приложений

Кратко и по делу

Google вводит обязательную верификацию авторов приложений с использованием документов и паспортных данных. Фоновая служба Android Developer Verifier будет блокировать запуск приложений от незнакомых разработчиков. Для обхода запрета потребуется активировать режим разработчика и ждать одобрения в течение 24 часов. Российские банки, находящиеся под санкциями, не смогут пройти проверку, что усложнит установку APK в стране.

Мнение автора

Google цинично уничтожает свободу, которая помогла платформе захватить мир. Нас медленно загоняют в глухую клетку.
Вердикт: не спешите менять платформу прямо сейчас. Жесткие правила вступят в силу в России только в 2027 году.
Мой совет: потихоньку осваивайте альтернативные операционные системы без служб Google.

Вы когда-нибудь задумывались о том, что простое действие — скачать APK и нажать «Установить» — может превратиться в многошаговую бюрократическую процедуру с суточным ожиданием? Звучит как антиутопия. Тем не менее, именно это Google стремится сделать реальностью до 2027 года.

30 марта 2026 года Google начала предоставлять доступ к системе верификации разработчиков Android через Play Console и новую Android Developer Console. В июне того же года на большинстве устройств вместе с обновлениями Play Services автоматически установился системный сервис Android Developer Verifier. На данный момент он не влияет на установку приложений, но это подготовка к будущим изменениям. И вот почему это важно для каждого владельца Android-смартфона в России.

Как Google планирует ограничить установку из внешних источников

Суть новой системы проще, чем кажется. Приложения, загружаемые не из Play Store, теперь должны быть подписаны ключами разработчиков, прошедших личную верификацию через Android Developer Console. Это не проверка кода на вредоносность — исключительно идентификация автора.

Для прохождения верификации разработчикам потребуется предоставить настоящее имя, адрес, электронную почту и номер телефона. В некоторых случаях необходимо загрузить паспорт или другой документ, удостоверяющий личность. Для организаций дополнительно потребуется девятизначный номер D-U-N-S от Dun & Bradstreet. Получить его можно бесплатно, но процесс займет до 28 дней.

Верификация разработчика стоит $25 (около 2 тыс. руб.), если человек ранее не был зарегистрирован в Google Play Console. Сумма небольшая, но сдерживающий эффект значителен.

Что произойдет, если разработчик не пройдет проверку? Установка APK от такого автора запустит так называемый «расширенный режим» — намеренно неудобный процесс с жесткими предупреждениями и обязательным периодом ожидания. Пользователю нужно будет включить режим разработчика, подтвердить, что на него не оказывается давления, перезагрузить устройство, пройти авторизацию снова — и ждать сутки. Только после этого разрешение на установку будет выдано — на 7 дней или бессрочно.

Девять шагов, 24 часа ожидания, скрытые в настройках Developer Options — всё это работает через Play Services, которые Google может ужесточить или отключить в любой момент. Это не механизм доступа — это механизм сдерживания, который рассчитан на то, чтобы большинство людей просто отказались от попыток.

Альтернативой является установка через ADB или через «расширенный режим». ADB требует компьютера, кабеля, включенного режима разработчика и базовых знаний командной строки. Это непреодолимый барьер для большинства обычных пользователей.

График закручивания гаек

Хронология изменений выглядит следующим образом: март 2026 — открытие верификации для всех разработчиков; апрель 2026 — фоновая служба Android Developer Verifier начала появляться на пользовательских устройствах; июнь 2026 — ранний доступ к аккаунтам с ограниченным распространением для студентов и энтузиастов; август 2026 — глобальный запуск этих аккаунтов и «расширенного режима» установки; 30 сентября 2026 года — новые правила вступают в силу в Бразилии, Индонезии, Сингапуре и Таиланде.

С этой даты на сертифицированных Android-устройствах в этих странах будет заблокирована стандартная установка любых приложений от разработчиков, не подтвердивших свою личность в Google — независимо от того, приходит ли приложение из Google Play, Galaxy Store, GetApps или напрямую через APK.

В 2027 году требование верификации распространится на весь мир, включая Россию. Поэтому в настоящее время порядок установки приложений не меняется.

Важно отметить, что уже установленные приложения останутся на устройствах. Однако обновить их не получится — разработчик без верификации не сможет публиковать новые версии для стандартной установки. Приложение останется на телефоне, но зависнет на текущей версии.

Кто поднял шум — и почему это важно

Реакция сообщества была резкой. 62 организации, включая EFF, Tor Project и Proton, подписали открытое письмо с требованием отменить инициативу.

F-Droid — крупнейший альтернативный магазин свободного программного обеспечения — охарактеризовал эту инициативу как «экзистенциальную угрозу» для проекта. Причина очевидна: F-Droid собирает и подписывает приложения от многих анонимных авторов, которые не намерены раскрывать свою личность Google.

Опасения в сообществе делятся на два типа. Первый — приватность: предоставление паспортных данных Google неприемлемо для анонимных авторов и исследователей безопасности. Второй — доступность: разработчики из стран с жесткими требованиями к документам или ограниченным банкингом столкнутся с непропорциональными барьерами.

Ограничения толкают часть разработчиков к созданию прогрессивных веб-приложений, которые полностью обходят требования верификации. «Мы перенесли многие проекты на PWA, потому что теперь они умеют больше», — сообщают некоторые разработчики. Этот сдвиг может радикально изменить способ, которым новые приложения попадают к пользователям Android.

Аргумент Google — и почему он не так прост

Google ссылается на статистику. По внутренним оценкам компании, вредоносные приложения встречаются среди загруженных сторонним способом программ более чем в 90 раз чаще, чем в Google Play. Поддельные приложения в Telegram, на форумах и сомнительных сайтах действительно часто содержат вирусы, шпионское ПО и трояны.

Компания сравнивает верификацию с проверкой документов в аэропорту: личность путешественника подтверждается отдельно от досмотра багажа. Однако верификация личности не гарантирует безопасность приложения. Вредоносный код уже не раз проникал в сам Play Store, и новый подход не решит эту проблему окончательно.

Верифицированные разработчики сохраняют полную свободу: они могут распространять приложения напрямую через сайдлоудинг или через любой магазин приложений. Логика состоит в том, что анонимным плохим актёрам будет сложнее исчезать и появляться под новым именем после удаления вредоносного APK.

Но есть нюанс, который не упоминается в корпоративных пресс-релизах: как только верификация личности для APK-дистрибуции станет нормой, ограничение на то, какие именно APK можно устанавливать без одобрения Play Store, станет политически и технически значительно легче обосновать.

Почему это станет катастрофой для России

Для пользователей в России эта ситуация особенно болезненная — и не в 2027 году, а уже сейчас, если посмотреть, к чему идёт дело.

Из-за санкций с 2022 года в Google Play исчезли приложения крупнейших российских банков: Сбербанка, Альфа-Банка, Т-Банка, ВТБ и многих других. Пользователи не могут совершать покупки в приложениях через Google Play с марта 2022 года. Единственный способ установить банковский клиент — скачать APK напрямую с сайта банка или из отечественного каталога.

Для разработчиков из стран с жестким регулированием, включая Россию, верификация может стать серьезным барьером. Инициатива Google создает дополнительные сложности для российских компаний. Поскольку пока неясно, будут ли действовать географические ограничения, для организаций, находящихся под санкциями, это может стать серьезным препятствием.

Разработчики приложений, попавшие под санкции, столкнутся с ситуацией, когда они физически не смогут пройти верификацию у американской корпорации. Часть разработчиков может быть юридически лишена возможности регистрироваться у Google из-за санкций или других правовых ограничений — несмотря на то, что их приложения полностью легитимны.

Когда в 2027 году ограничения придут в Россию, владельцы смартфонов окажутся перед выбором: либо осваивать ADB, либо ждать сутки ради каждого обновления банковского приложения, либо искать альтернативу.

Что можно сделать уже сейчас

Хорошая новость: устройства на альтернативных AOSP-прошивках — GrapheneOS, LineageOS, /e/OS — не пострадают от верификации, поскольку на них нет Play Services. Это ядро системы, через которое Google распространяет Android Developer Verifier.

На MWC 2026 Motorola объявила о сотрудничестве с разработчиками GrapheneOS. В будущем производитель выпустит смартфоны на этой прошивке. GrapheneOS ориентирована на безопасность личных данных и не поддерживает сервисы Google по умолчанию — но Google Play можно установить вручную, и он будет функционировать в изолированной «песочнице».

Для тех, кто не готов менять прошивку, есть и другие варианты. Российские альтернативные магазины — RuStore, NashStore — уже сейчас хранят верифицированные APK большинства банков и государственных сервисов. Эти каталоги работают независимо от Google и с большой вероятностью останутся доступными даже после введения глобальной блокировки. Кроме того, Google создала специальный тип аккаунта с ограниченным распространением для студентов, энтузиастов и небольших команд: без оплаты, без паспорта, с лимитом до 20 устройств.

Ещё один интересный вариант, обсуждаемый на профильных форумах: прогрессивные веб-приложения (PWA). Некоторые российские банки уже тестируют PWA-версии своих клиентов — они устанавливаются через браузер как ярлык на рабочем столе и не требуют никакой верификации разработчика.

Стоит ли волноваться?

Кому точно стоит обеспокоиться. Всем, кто в России использует APK банковских приложений, государственных сервисов или любого другого отечественного ПО, которое не попало в Google Play из-за санкций. К 2027 году каждое обновление такого приложения будет требовать либо суточного ожидания, либо работы с ADB. Это не теория — это подтверждённый план.

Также под удар попадают: разработчики опен-сорс проектов, которые не хотят раскрывать личность Google; независимые авторы, которые распространяют приложения напрямую; корпоративные IT-отделы, которые деплоят внутренние APK без прохождения через Play Store (для них, правда, корпоративные managed-устройства с Enterprise MDM выведены из-под ограничений).

Кому можно не беспокоиться. Пользователям, которые устанавливают приложения исключительно из Google Play, Galaxy Store или других официальных магазинов от верифицированных разработчиков: большинство пользователей не заметят никакой разницы — приложения от верифицированных авторов продолжат устанавливаться как прежде.

Иллюзия выбора за наши деньги

В начале мы задали вопрос: что это — конец свободы Android или просто новый уровень безопасности?

Правда, как обычно, где-то посередине. Проблема реальна: сторонние APK — популярный вектор для атак; поддельные приложения в Telegram и на форумах действительно несут вирусы и шпионское ПО. Google не выдумала угрозу. Но выбранный метод борьбы с ней непропорционален и бьёт в первую очередь по добросовестным пользователям, а не по мошенникам.

Настоящие киберпреступники найдут обходные пути — они всегда находят. А обычный россиянин, которому нужно обновить приложение Сбербанка, будет ждать сутки или читать мануал по ADB.

Внедрение верификации разработчиков означает фундаментальный философский сдвиг для Android: от относительной открытости — к модели Apple с контролируемой экосистемой. Две платформы, которые долгое время определяли противостояние «открытого и закрытого», сближаются с противоположных концов. Если эта траектория сохранится, к 2027 году различие между ними станет значительно менее очевидным.

Вот в чём парадокс: Android победил iOS в глобальной гонке именно за счёт открытости. Разработчики выбирали Android, потому что он позволял делать то, что iOS запрещала. Теперь Google методично убирает то самое преимущество, которое сделало платформу доминирующей. Делает это медленно, этап за этапом, с убедительными аргументами о безопасности — и именно поэтому сопротивляться так сложно.

Может быть, через десять лет мы будем вспоминать 2026-й как год, когда Android перестал быть по-настоящему открытой системой. Не потому что Google захотела навредить пользователям, а потому что безопасность и свобода оказались несовместимы — и выбор был сделан за нас.