Google hat nach eigenen Angaben am Montag offiziell damit begonnen, die Entwickler-Verifizierung für Android an alle Entwickler auszurollen. Damit will der Konzern gegen Akteure vorgehen, die schädliche Apps verbreiten und sich dabei – wie Google es formuliert – “hinter Anonymität verstecken”.
Die Maßnahme geht einer geplanten Verifizierungspflicht voraus: Diese tritt in diesem September zunächst in Brasilien, Indonesien, Singapur und Thailand in Kraft und soll im darauffolgenden Jahr weltweit ausgeweitet werden.
Kern der Regelung ist, dass App-Entwickler, die ihre Anwendungen außerhalb von Google Play vertreiben, ein Konto in der Android Developer Console anlegen müssen, um ihre Identität zu bestätigen. Wer seine Apps über den offiziellen Android-Marktplatz vertreibt und seine Identität dort bereits verifiziert hat, ist laut Google möglicherweise schon startklar.
“Für die allermeisten Nutzer bleibt das Erlebnis beim Installieren von Apps exakt dasselbe”, sagte Matthew Forsythe, Director of Product Management für Android App Safety. “Erst wenn ein Nutzer versucht, eine nicht registrierte App zu installieren, benötigt er ADB oder den erweiterten Ablauf – das hilft uns, die breitere Community zu schützen, und bewahrt zugleich die Flexibilität für unsere versierten Nutzer.”
Entwickler, die mit Android Studio arbeiten, sollen den Registrierungsstatus ihrer App künftig direkt in der Entwicklungsumgebung (IDE) sehen, sobald sie ein signiertes App Bundle oder eine APK erzeugen. Diese Funktion soll in den nächsten zwei Monaten verfügbar sein.
Entwickler, die die Verifizierungsanforderungen der Play Console erfüllt haben, bekommen ihre infrage kommenden Play-Apps automatisch registriert. Lässt sich eine App nicht registrieren, müssen Entwickler ein manuelles Verfahren zur App-Beanspruchung durchlaufen.
Wie bereits vor einigen Wochen angekündigt, behalten versierte Nutzer die Möglichkeit, das Sideloading nicht registrierter APK-Dateien über einen erweiterten Ablauf zu aktivieren. Dieser verlangt einen Authentifizierungsschritt, mit dem die Nutzer bestätigen, dass sie diesen Schritt aus eigenem Antrieb gehen, sowie eine einmalige Wartezeit von 24 Stunden, um Betrüger abzuschrecken.
“Dieser Ablauf ist ein einmaliger Vorgang für versierte Nutzer – er wurde aber sorgfältig so gestaltet, dass Personen mitten in einem Betrugsversuch nicht durch Druckmittel dazu gedrängt werden können, schädliche Software zu installieren”, so Forsythe.
Parallel dazu hat Apple sein Developer Program License Agreement überarbeitet, um Datenschutzregeln für den Zugriff von Wearables von Drittanbietern auf Live-Aktivitäten und Benachrichtigungen durchzusetzen. Apple hält darin ausdrücklich fest, dass Dritte “weitergeleitete Informationen nicht für Werbung, Profilbildung, das Training von Modellen oder die Standortüberwachung verwenden” und sie “an keine andere Anwendung und an kein anderes Gerät außer dem autorisierten Zielzubehör weitergeben” dürfen.
Der neu hinzugefügte Abschnitt betont zudem, dass Entwickler weitergeleitete Informationen nicht aus der Ferne in einem Cloud-Dienst speichern, keine Änderungen vornehmen dürfen, die den Sinn des Inhalts “wesentlich” verändern, und die Daten ausschließlich auf dem Zubehör selbst entschlüsseln dürfen.
