Na weerstand van onafhankelijke app-winkels zoals F-Droid heeft Google een blogpost gepubliceerd met de titel “Laten we het over beveiliging hebben: uw belangrijkste vragen over de verificatie van Android-ontwikkelaars beantwoorden.” In de post verklaarde Google dat “sideloading van fundamenteel belang is voor Android, en dat het niet zal verdwijnen”, waarmee het zijn standpunt verduidelijkt over de komende vereisten voor ontwikkelaarsverificatie.
Google legde uit dat de nieuwe regels bedoeld zijn om de veiligheid te vergroten door elke Android-app aan een geverifieerde ontwikkelaarsidentiteit te koppelen. Het bedrijf zei dat deze maatregel het voor kwaadwillende actoren moeilijker zal maken om zich voor te doen als ontwikkelaars of malware te verspreiden via applicaties. Volgens de post: “Onze nieuwe identiteitsvereisten voor ontwikkelaars zijn ontworpen om gebruikers en ontwikkelaars te beschermen tegen slechte actoren, niet om de keuze te beperken.” Google heeft ook bevestigd dat geverifieerde ontwikkelaars vrij blijven om hun apps via elke methode te distribueren, inclusief directe downloads en app-winkels van derden.
Voor hobbyisten en kleinschalige makers introduceert Google een gratis optie voor een ontwikkelaarsaccount. Hierdoor kunnen ze apps naar een beperkt aantal apparaten distribueren zonder het volledige verificatieproces te ondergaan waarvoor een identiteitsbewijs van de overheid vereist is. Om deze optie te gebruiken, moet een eindgebruiker een apparaat-ID delen met de applicatie-ontwikkelaar. De ontwikkelaar voert die identificatie vervolgens in de console van Google in en geeft de gebruiker instructies voor het downloaden van de app. Met dit systeem kan Google beperken hoeveel apparaten applicaties van een niet-geverifieerde ontwikkelaar kunnen installeren. Elke ontwikkelaar die zijn app onder een breder publiek wil distribueren, moet nog steeds het volledige identiteitsverificatieproces voltooien.
De aankondiging ging echter niet in op de voornaamste zorg van F-Droid met betrekking tot de controle over de identiteit van ontwikkelaars en ondertekeningssleutels. F-Droid merkte op dat onder de nieuwe regels alle Android-apps, zelfs die welke buiten de Play Store worden gedistribueerd, moeten worden gekoppeld aan een door Google geverifieerd ontwikkelaarsaccount. De organisatie stelt dat Google hierdoor in feite de centrale autoriteit wordt voor alle Android-app-distributie, waardoor de levensvatbaarheid van alternatieve app-winkels wordt bedreigd. F-Droid verklaarde ook dat het de app-identiteiten van zijn open-sourcebijdragers niet kan overnemen. Als gevolg hiervan kunnen veel door de gemeenschap gebouwde apps worden verwijderd als hun ontwikkelaars zich niet bij Google kunnen of willen registreren. Hoewel de technische functie van sideloading zal blijven bestaan, kan het ecosysteem van onafhankelijke app-winkels dat ervan afhankelijk is, worden belemmerd.
