Apps aus unbekannten Quellen: Google nennt neue Anforderungen für Android-Sideloading

Im August des letzten Jahres versetzten Googles Pläne zur Beschränkung des Sideloadings die Android-Szene in Aufruhr. Eine der Kernfunktion des freien Betriebssystems sollte damit erheblich eingeschränkt werden. Jetzt hat das Unternehmen sein neues System vorgestellt – beruhigen dürften sich die Gemüter allerdings nicht.

Google macht sich keine Freunde

Massive Kritik ließ seinerzeit nicht auf sich warten, war doch das Installieren von Apps aus unbekannten Quellen eine von Anwendern gerne genutzte Funktion – nicht wenige nutzten alternative App Stores wie F-Droid. Für Entwickler vereinfachte es die Arbeit erheblich und machte Android-Programmierung auch für Hobby-Entwickler zugänglich. Nicht wenige entdeckten durch diese Freiheit erst ihre Leidenschaft für die App-Entwicklung.

Sideloading quasi vor dem Aus

Googles ursprünglich angekündigtes System sah vor, dass sich künftig jeder Entwickler verifizieren muss, um diesen Vertriebsweg nutzen zu können. Für zahlreiche bestehende und zukünftige Projekte hätte dies das Aus bedeutet. Vor allem für Software, die nur für einen kleinen Kreis programmiert wurde, würde sich die Installation erschweren.

Gleiches gilt für Apps, die in der jeweiligen Region nicht offiziell über den Play Store bereitgestellt werden. Überzeugende Gründe lieferte Google für sein Umdenken allerdings nicht; das angeführte Sicherheitsargument wirkte eher vorgeschoben. In der Community entstand vielmehr der Eindruck, dass Google Installationen am Play Store vorbei unterbinden wollte, um sich weiterhin seine Einnahmen zu sichern – schließlich partizipiert der Konzern an jedem Verkauf.

Google lenkt ein – zumindest ein wenig

Auch Monate nach der Ankündigung ebbte die Kritik nicht ab. Nun reagiert Google mit einem „erweiterten Ablauf“, der es erfahrenen Nutzern weiterhin ermöglichen soll, Apps nicht verifizierter Entwickler zu installieren. Dabei will das Unternehmen vermutlich die entstandenen Wogen glätten und betont, dass Sideloading ein grundsätzlicher Bestandteil von Android bleiben wird.

Künftig ist dafür allerdings ein dreistufiges Verfahren vorgesehen: Zunächst bleibt das Sideloading von Apps verifizierter Entwickler aus Sicht der Nutzungsfreundlichkeit unverändert. Zweitens können darüber hinaus Apps von bekannten Entwicklern weiterhin über „Konten mit eingeschränkter Verteilung“ installiert werden.

Sollen hingegen drittens Apps von nicht verifizierten Entwicklern installiert werden, muss zunächst einen erweiterten Ablauf durchgelaufen werden. Dieser soll verhindern, dass schadhafte Software unbeabsichtigt aufgespielt wird.

Dabei handelt es sich um einen einmaligen Vorgang: Zunächst muss der Entwickler-Modus aktiviert werden und das Smartphone, im Gegensatz zur bisherigen Vorgehensweise, anschließend neu gestartet werden. Dadurch sollen noch mögliche aktive Fernzugriffe unterbrochen werden, Kriminellen ihre Arbeit zu erschweren. Danach folgt eine künstliche Wartezeit von einem Tag, mit der Google die „künstliche Dringlichkeit“ reduzieren will. Ist diese Frist verstrichen, muss sich der Nutzer erneut per biometrischer Authentifizierung oder Geräte-PIN verifizieren.

Die bisherige Möglichkeit, Sideloading einfach in den Einstellungen zu aktivieren und nach der Installation wieder zu deaktivieren, ist damit nicht mehr vorhanden. Anschließend lässt sich ein Zeitraum festlegen, in dem Installationen aus unbekannten Quellen erlaubt sein sollen – von wenigen Tagen bis hin zu einer unbestimmten Zeit. Sollte der Nutzer dann entsprechend eine App aufspielen wollen, wird Android diesen jedes Mal vor den möglichen Folgen solcher Installationen warnen.

Nur ein Kompromiss

Google räumt ein, dass die neue Vorgehensweise nicht für alle Nutzer eine ideale Lösung darstellen dürfte, sieht darin jedoch einen Kompromiss, durch den dem Unternehmen nach aber zumindest ein großer Teil der möglichen Bedrohung beseitigt werden kann, während gleichzeitig sichergestellt wird, dass das Android-Ökosystem das Sideloading weiterhin ermöglicht. Das Unternehmen spricht von „einem Gleichgewicht zwischen Offenheit, Auswahl und Sicherheit“.

Parallel arbeitet Google an den angekündigten Konten für begrenzte Verteilung. Diese sollen es Studenten und Hobby-Entwicklern ermöglichen, ihre Apps ohne Offenlegung ihrer Identität und Entrichtung von Gebühren auf bis zu 20 Geräten teilen zu können. Ziel sei es laut Google, Android weiterhin „eine offene Plattform für Lernen und Experimentieren bleibt, während gleichzeitig ein robuster Schutz für die breitere Community gewährleistet ist“.

Ab Mitte des Jahres verfügbar

Konten mit begrenzter Verbreitung sowie der erweiterte Ablauf sollen ab August verfügbar sein, erst dann treten auch die neuen Anforderungen zur Entwicklerverifizierung in Kraft. Ob dieser Ansatz als tragfähiger Kompromiss wahrgenommen wird und die nach wie vor vorhandene Kritik tatsächlich beruhigen kann, bleibt abzuwarten.