Google introduceert een nieuwe beveiligingslaag voor Android-apparaten. Vanaf 2026 moeten alle apps afkomstig zijn van geverifieerde ontwikkelaars, ongeacht of deze via de Play Store, een alternatieve appwinkel of via sideloading worden geïnstalleerd.
Suzanne Frey, VP Product, Trust & Growth voor Android, schrijft in een blogpost dat gebruikers niet hoeven te kiezen tussen openheid en veiligheid. Volgens haar heeft Android bewezen dat beide mogelijk zijn door beveiliging in de kern van het besturingssysteem te integreren.
Google ziet een duidelijke toename van aanvallen die gericht zijn op persoonlijke en financiële gegevens. Vooral sideloading blijkt een groot risico: volgens Google komt er ruim 50 keer meer malware binnen via apps die via internet zijn geïnstalleerd dan via Google Play. Kwaadwillenden maken vaak misbruik van anonimiteit, bijvoorbeeld door zich voor te doen als bekende ontwikkelaars en nagemaakte apps te verspreiden. Door verplichte verificatie van ontwikkelaars wil Google deze anonimiteit doorbreken en de drempel verhogen voor herhaald misbruik.
Vanaf 2026 moeten alle apps die worden geïnstalleerd op gecertificeerde Android-apparaten geregistreerd zijn door een geverifieerde ontwikkelaar. Dat geldt ook voor apps die buiten de Play Store worden verspreid. Google vergelijkt de maatregel met een paspoortcontrole op het vliegveld. Er wordt gekeken wie de ontwikkelaar is, maar niet naar de inhoud of herkomst van de app zelf. Ontwikkelaars zullen daarbij hun officiële naam, adres, e-mailadres en telefoonnummer moeten opgeven. Dit kan onafhankelijke ontwikkelaars ertoe aanzetten zich als bedrijf te registreren om hun privacy te beschermen.
Play Store-ontwikkelaars kennen de verificatie al
Voor ontwikkelaars die hun apps buiten de Play Store verspreiden, komt er een nieuwe Android Developer Console waarmee zij hun identiteit kunnen verifiëren. Studenten en hobbyontwikkelaars krijgen een aangepast accounttype. Voor Play Store-ontwikkelaars verandert er niets: daar is verificatie sinds 2023 al verplicht.
Ook Apple voerde eerder dit jaar een vergelijkbare verplichting door in de EU-App Store, om te voldoen aan de Digital Services Act (DSA). Appontwikkelaars moeten daar hun “handelaarsstatus” doorgeven bij het indienen van nieuwe apps of updates.
De uitrol verloopt gefaseerd. In oktober 2025 begint early access voor ontwikkelaars, gevolgd door een algemene openstelling in maart 2026. In september 2026 gelden de regels in Brazilië, Indonesië, Singapore en Thailand. Vanaf 2027 wordt de verplichting wereldwijd ingevoerd.
Google benadrukt dat ontwikkelaars hun apps kunnen blijven verspreiden via sideloading of alternatieve appstores.