Die Kritiker bemängeln vor allem fehlende Klarheit: Es sei unklar, welche persönlichen Daten Entwickler angeben müssten, wie diese gespeichert, gesichert und genutzt würden und ob sie Gegenstand behördlicher Anfragen oder rechtlicher Verfahren werden könnten.

Um einen Teil dieser Bedenken zu zerstreuen, betont Google, dass der neue “Advanced Flow” versierten Nutzern weiterhin das Sideloading von Apps unverifizierter Entwickler ermöglicht – über einen einmaligen Prozess, zu dem die 24-stündige Wartezeit gehört.

“In diesem Zeitfenster von 24 Stunden wird es nach unserer Einschätzung für Angreifer deutlich schwerer, ihren Angriff aufrechtzuerhalten”, sagte Sameer Samat, President des Android-Ökosystems, gegenüber Ars Technica. In dieser Zeit lasse sich vermutlich herausfinden, dass ein Angehöriger gar nicht wirklich im Gefängnis sitze oder das eigene Bankkonto gar nicht tatsächlich angegriffen werde.

Darüber hinaus kündigte Google kostenlose “Limited Distribution Accounts” an. Mit ihnen können Hobby-Entwickler und Studierende ihre Apps mit bis zu 20 Geräten teilen, ohne einen amtlichen Lichtbildausweis vorlegen oder eine Registrierungsgebühr zahlen zu müssen.

Installationen über die Android Debug Bridge (ADB) sind von dem beschriebenen Verfahren ausgenommen. Sowohl die Limited Distribution Accounts für Studierende und Hobby-Entwickler als auch der Advanced Flow für Nutzer sollen im August 2026 verfügbar sein – einen Monat bevor die neuen Verifizierungsanforderungen in Kraft treten.

“Wir wissen, dass ein Einheitsansatz für unser vielfältiges Ökosystem nicht funktioniert”, erklärte Google. Man wolle sicherstellen, dass die Identitätsprüfung keine Hürde beim Markteintritt darstelle, und biete daher unterschiedliche Wege für unterschiedliche Bedürfnisse an.

Die Ankündigung fällt mit dem Auftauchen einer neuen Android-Schadsoftware namens Perseus zusammen, die derzeit gezielt Nutzer in der Türkei und in Italien angreift. Ziel sind die vollständige Geräteübernahme (Device Takeover, DTO) sowie Finanzbetrug.

Innerhalb von vier Monaten wurden mindestens 17 Android-Malware-Familien in freier Wildbahn entdeckt, darunter FvncBot, SeedSnatcher, ClayRat, Wonderland, Cellik, Frogblight, NexusRoute, ZeroDayRAT, Arsink samt der verbesserten Variante SURXRAT, deVixor, Phantom, Massiv, PixRevolution, TaxiSpy RAT, BeatBanker, Mirax und Oblivion RAT.