Google avslöjar hur Androids nya verifieringskrav för appar ska fungera

Bakgrund: oro för sideloading

I augusti meddelade Google att Android från och med nästa år kommer att blockera installationer från utvecklare som inte är verifierade. Beskedet väckte oro bland både teknikentusiaster och integritetsförespråkare, eftersom reglerna gäller inte bara appar i Play Store utan även de som laddas ner utanför butiken. Många befarade att detta i praktiken skulle kunna sätta stopp för sideloading.

Efter en period av tystnad försäkrade Google dock att sideloading kommer att fortsätta vara en central del av Android – men med nya säkerhetslager. Nu har företaget delat med sig av detaljer kring hur verifieringskraven kommer att fungera i praktiken, skriver Android Authority.  

Så ska appar verifieras

I dag kontrollerar Android redan flera saker vid en installation, till exempel att appen inte är markerad som skadlig kod av Google Play Protect. Med de nya reglerna införs ett extra steg: varje app måste gå igenom en verifieringsprocess via en ny systemtjänst kallad Android Developer Verifier.

Denna tjänst kontrollerar om appens utvecklare är registrerad och godkänd. För att göra detta behöver verifieringen ofta en nätverksanslutning, eftersom det är omöjligt att lokalt lagra information om alla existerande appar och utvecklarnycklar. Google uppger dock att en cache för de mest populära apparna kommer att finnas på enheten, så att dessa kan installeras även utan internetuppkoppling.

Läs också: Nvidia passerade 4 000 miljarder dollar

För appbutiker finns också en lösning i form av ett så kallat “pre-auth token” – en digital nyckel som gör att verifieringen kan ske utan extra kontakt med Googles servrar.

När ändringarna införs

De nya funktionerna blir en del av Android 16 QPR2, som rullas ut i december. Då kommer dock reglerna ännu inte att vara fullt aktiverade. Google vill först samla in data och justera systemet innan det börjar tillämpas skarpt.

Dessutom kommer verifieringskraven att backportas till äldre versioner av Android via Play Protect, även om det kan finnas mindre skillnader jämfört med det nya, inbyggda systemet.

Begränsningar för studenter och hobbyutvecklare

För att inte stänga ute mindre utvecklare introducerar Google en särskild typ av utvecklarkonto för studenter och hobbyister. Det blir avgiftsfritt och kräver färre verifieringssteg – men det kommer också med stora begränsningar.

Läs också: Apple vill köpa F1-rättigheterna

Appar från dessa konton får endast installeras på ett begränsat antal enheter. För att det ska fungera måste användaren först hämta en unik identifierare från sin enhet, som utvecklaren sedan manuellt behöver lägga in i sitt konto för att ge appen installationsrättighet på just den enheten.

Det här innebär att små utvecklare som delar appar via exempelvis GitHub eller F-Droid riskerar att få svårt att nå en större publik.

Vad betyder det för användarna?

För vanliga Android-användare innebär förändringen att säkerheten stärks, särskilt vid installation av appar utanför Play Store. Men för mindre utvecklare – och användare som gärna testar deras appar – kan processen bli både mer begränsad och krånglig.

Google betonar samtidigt att syftet är att öka tryggheten och minska risken för skadliga appar, inte att förbjuda sideloading.

Läs också: Samsung fortsätter med galna priser

Frågan är om balansen mellan säkerhet och öppenhet blir rätt – eller om Androids fria ekosystem i praktiken stramas åt.

Läs också: Håll inne knappen – då avslöjar WhatsApp en dold funktion du inte visste fanns