Seit August 2025 ist klar, dass ab Herbst 2026 in ersten Ländern nur noch Anwendungen auf zertifizierten Android-Geräten installiert werden dürfen, deren Herausgeber sich zuvor bei Google registriert und die jeweilige Anwendung signiert haben. Sameer Samat, Chef von Googles Android-Ökosystem, nennt in einem Gespräch Gründe für die anstehende Registrierungspflicht für alle App-Entwickler und wie wichtig Sideloading auf der anderen Seite für Android ist.

Samat sprach am Rande des Mobile World Congress (MWC) in Barcelona mit Adamya Sharma von Android Authority. Das Gesprächs dreht sich zunächst um Android 17 und den Einzug von agentischen Funktionen in das Betriebssystem, mit denen sich mehrstufige Aufgaben erledigen lassen sollen. Das hatte Google aber schon zuvor umfassend erklärt.

Samat sprach zudem über Googles in der Entwickler-Community umstrittene Entscheidung, sämtliche App-Entwickler zur Registrierung zu verpflichten. Auch das Thema Sideloading, also die Möglichkeit, Apps von Webseiten direkt auf Android-Geräten zu installieren, adressierte er.

Sideloading bleibt

Zum einen stellte Samat erneut klar, dass Google keine Pläne habe, Sideloading zu entfernen. Das sagt das Unternehmen allerdings schon seit Monaten, stellt aber klar, dass der Prozess in erster Linie für erfahrene Nutzer bestimmt sei. Zudem soll er zum Schutz von unerfahrenen Nutzern aufwendiger werden.

Der Android-Ökosystem-Chef merkte jedoch an, dass Regierungen weltweit Google zunehmend dazu drängen würden, das Problem bösartiger Apps anzugehen. Die anstehenden Änderungen hinsichtlich des Sideloadings sollen darauf abzielen, einer wachsenden Welle von Betrugsversuchen entgegenzuwirken, die sich gegen weniger erfahrene Nutzer richten.

„Sideloading ist wirklich wichtig. Es wird nicht verschwinden und war schon immer ein wichtiger Bestandteil von Android“, sagte Samat. „Ich denke, wenn man mit einer Regierung in Südostasien, Lateinamerika oder einer Reihe anderer Länder spricht, ist dies ein großes Thema für ihre Bürger“, ergänzte er.

Samat räumte indes ein, dass die in Android eingesetzten Warnsysteme nicht immer wirksam seien, wenn Betrüger schutzbedürftige Nutzer dazu drängen, bösartige Apps zu installieren. „Die derzeitigen Warnungen sind unzureichend“, sagte Samat.

Um Nutzer besser vor solchen Bedrohungen zu schützen, hat der Konzern den Vorschlag gemacht, die Identität von Entwicklern zu überprüfen, auch von jenen, die ihre Anwendungen außerhalb des Play Stores vertreiben. In ersten Ländern wie Brasilien, Indonesien, Singapur und Thailand will Google diese Registrierungspflicht im September 2026 einführen, in Europa erst 2027.

Google befinde sich in einer schwierigen Position, da das Unternehmen zwei Kernprinzipien – Offenheit und Sicherheit – von Android balancieren müsse, wie der Android-Chef erklärt: „Wenn die Plattform gefährdete Nutzer nicht schützt, wird sie keinen Erfolg haben“. „Und wenn sie nicht offen ist, wird sie ebenfalls keinen Erfolg haben“, ergänzt er.

Matthew Forsythe, Director of Product Management, Google Play Developer Experience & Chief Product Explainer, beschreibt Googles Ansatz auf LinkedIn als „verantwortungsvolle Offenheit“ (responsible openness). „Ein Nutzer sollte eine App sideloaden können und zumindest wissen, dass es sich bei dem Entwickler um eine reale Person handelt, die bestimmten Standards der Rechenschaftspflicht unterliegt.“

Unabhängige Entwickler nicht zufrieden

Mit Googles Ansatz der „verantwortungsvollen Offenheit“ und der damit einhergehenden Registrierungspflicht geben sich unabhängige Entwickler, allen voran die Betreiber des alternativen Android-App-Stores F-Droid, nicht zufrieden. Sie trommeln schon seit Monaten gegen Googles Vorschlag.

In einem offenen Brief werfen Gegner der neuen Strategie Google vor, sich mit der Entwicklerüberprüfung zum Torwächter fremder Distributionskanäle zu machen. Wer seine Apps über eigene Websites, alternative App-Stores von Drittanbietern, Unternehmensvertriebssysteme oder Ähnliches verbreite, müsse nämlich auch die Genehmigung von Google durch einen obligatorischen Verifizierungsprozess einholen. Das umfasse die Zustimmung zu den Geschäftsbedingungen, die Zahlung einer Gebühr und das Hochladen eines amtlichen Ausweises. Zu den über 50 Mitzeichnern des Briefes gehören unter anderem der Chaos Computer Club, die Free Software Foundation, der Mailanbieter Tuta, die Macher des Vivaldi-Browsers und Codeberg.

Weiter kritisieren die Autoren des Briefes, dass künstliche Zugangshürden geschaffen würden, und befürchten Datenschutzrisiken durch eine zentrale Datenbank von Android-Entwicklern in der Hand des Unternehmens. Ferner könne es zu Wettbewerbsverzerrungen kommen, wenn Google über eine solche Registrierung Daten sammelt, wer welche Apps anbietet.

(afl)

„Voller Erfolg im Parlament“, schreibt Sergey Lagodinsky auf LinkedIn. Der grüne EU-Abgeordnete feiert die Entscheidung für ein Verbot von sexualisierten Deepfakes. Darauf haben sich die Fraktionen im EU-Parlament gestern geeinigt, als sie den sogenannten KI-Omnibus verhandelt haben. Das Gesetz soll die KI-Verordnung (AI Act) anpassen.

„Die Frage war klar: Wenn der Omnibus Änderungen am KI-Gesetz bringt, warum nicht genau hier ansetzen?“, schreibt Lagodinsky weiter. Mit seinen Fraktionskolleg:innen hat er sich seit Januar für ein Verbot von sexualisierten Deepfakes eingesetzt. Es geht um synthetische Nacktaufnahmen, erzeugt mit Software, die viele als „KI“ bezeichnen.

Die Grünen haben allerdings nicht ganz bekommen, was sie wollten. Sie hatten sich sogar dafür ausgesprochen, sexualisierte Deepfakes grundsätzlich zu verbieten – selbst wenn das Einverständnis der betroffenen Person vorliegt. So wie die Einigung bis jetzt aussieht, soll nur der nicht einvernehmliche oder missbräuchliche Einsatz der Technologie verboten werden. In dieser Form hatten sich Abgeordnete der Sozialdemokraten und der Fraktion Renew für ein Verbot eingesetzt.

Parlament, Rat und Kommission müssen noch verhandeln

Noch sind nicht alle Details geklärt. Nächste Woche sollen die verantwortlichen Ausschüsse im Parlament – Justiz und Binnenmarkt – über den Kompromisstext abstimmen. Damit ist das Verbot allerdings noch nicht beschlossen. Was im KI-Omnibus am Ende steht, werden Parlament, Kommission und Rat im Trilog aushandeln. Besonders kontrovers dürften diese Gespräche jedoch nicht werden. Denn auch die Mitgliedstaaten haben sich in ihren parallelen Verhandlungen mittlerweile auf ein Deepfake-Verbot verständigt. Im vierten Kompromisstext der Ratspräsidentschaft tauchte das Verbot in dieser Woche auf, wie Mlex (Paywall) berichtete.

Im Rat hatte vor allem Spanien auf eine Regelung hingearbeitet. Ein breiteres Interesse an dem Problem gab es dort schon vor dem internationalen Skandal um nicht-einvernehmliche Deepfakes durch den Chatbot Grok. Im Herbst 2023 hatte ein Fall in der spanischen Stadt Almendralejo für Aufsehen gesorgt, als gefälschte Nacktbilder von mehr als 20 Mädchen zirkulierten. Seitdem bemüht sich die spanische Regierung um ein nationales Verbot.

Zu klären bleibt noch, wie das Verbot in die KI-Verordnung integriert werden soll. Das Parlament will die nicht-einvernehmliche Erstellung von sexualisierten Deepfakes in den Artikel 5 aufnehmen, der verbotene KI-Praktiken auflistet. Der Ratsentwurf dagegen sieht vor, zwei Dinge zu verbieten: KI-Systeme, die nicht-einvernehmliche sexualisierte Deepfakes erstellen können und KI-Systeme, die Kindesmissbrauchsmaterial erstellen können.

Admins, die PCs mit HP Device Manager verwalten, sollten die Anwendung aus Sicherheitsgründen auf den aktuellen Stand bringen. Außerdem haben die Entwickler mehrere BIOS-Lücken geschlossen.

Sicherheitsupdates installieren

Verschiedene Computer von HP sind über insgesamt sechs UEFI-Sicherheitslücken attackierbar. Sind Attacken erfolgreich, können sich Angreifer höhere Nutzerrechte verschaffen (etwa CVE-2025-20064 „hoch“). Die betroffenen Modelle und Links zu den Sicherheitspatches finden sich in einer Warnmeldung.

Die Geräteverwaltungssoftware Device Manager ist über mehrere Schwachstellen in Komponenten wie Curl (CVE-2023-38545 „kritisch“), OpenSSL (CVE2025-9230 „hoch“) und Tomcat (CVE-2025-52434 „hoch“) angreifbar. Darüber kann im schlimmsten Fall Schadcode auf Systeme gelangen. In einer Warnmeldung führen die Entwickler aus, dass HP Device Manager 5.0.16 gegen die geschilderten Attacken abgesichert ist.

(des)