После негативной реакции сообщества на введение в сертифицированных сборках Android обязательной регистрации разработчиков и приложений, представители Google раскрыли некоторые дополнительные подробности предстоящих изменений. За регистрацию разработчика будет взиматься плата в 25 долларов, но для персонального использования, студентов и энтузиастов будет предоставлен бесплатный вариант учётной записи, позволяющий устанавливать свои приложения на ограниченном числе устройств и не требующий удостоверения личности.

Предложенный бесплатный вариант может применяться без прохождения верификации разработчика, но он малопригоден для массового распространения приложений и не решает проблем, озвученных проектом F-Droid, так как требует регистрации в Android Developer Console каждого устройства, на которое приложение может быть установлено. По задумке Google подобное ограничение не позволит злоумышленникам злоупотреблять бесплатной неверифицированной учётной записью.

Перед установкой стороннего приложения пользователь должен будет определить уникальный идентификатор своего устройства и передать его разработчику приложения, зарегистрированному в Google как студент или энтузиаст. После этого разработчик должен добавить идентификатор устройства через интерфейс Android Developer Console и таким способом авторизировать возможность установки своей программы на конкретном устройстве.

Из дополнительных проблем, которые могут возникнуть у пользователей при установке программ после введения обязательной верификации разработчиков упоминается необходимость наличия доступа в интернет для выполнения проверок во время установки приложения. При первой установке приложения платформа Android будет отправлять запрос к новому системному сервису Android Developer Verifier, обращающемуся к внешнему серверу Google для проверки прохождения верификации разработчиком приложения, заверившим пакет своей цифровой подписью.

Для наиболее популярных приложений Android Developer Verifier будет поддерживать хранимый на устройстве кэш идентификаторов, позволяющий в отдельных случаях обойтись без внешней проверки. Google также работает над реализацией возможности для каталогов приложений, позволяющей обойтись без дополнительных внешних проверок - каталоги смогут использовать токены предварительной аутентификации (pre-auth token), при помощи которых можно будет установить связанные с ними приложения.

Поддержка прямой установки любых приложений при помощи утилиты "adb" (Android Debug Bridge) сохранится, но такая установка требует подключения устройства к внешнему компьютеру и включения режима разработчика. Введение верификации не коснётся процессов тестирования, отладки и запуска приложений, разрабатываемых в среде Android Studio, в которой для взаимодействия с устройствами используется "adb". Также будет сделано исключения для корпоративных приложений, установка которых осуществляется при помощи инструментов централизованного управления.

Верифицированные учётные записи разработчиков, уличённых в распространении вредоносных изменений, будут ограничиваться, а все связанные с ними приложения блокироваться для установки на устройствах пользователей. Блокировка будет применяться не только к авторам вредоносного ПО, но и к разработчикам, вовлечённым в его распространение обманным путём, например, после захвата учётной записи через фишинг.

В обсуждении представители Google признали, что в некоторых случаях, например, при распространении программ для диссидентов, авторы приложений хотят сохранить анонимность. Для защиты интересов подобных категорий разработчиков Google обещает публично не разглашать персональные данные (обещание не касается раскрытия данных в ответ на запросы правоохранительных органов).

Также упоминается проблема с дублирование имён приложений - в разных каталогах разные приложения могут иметь одинаковые имена пакетов, но после введения верификации допускаются только уникальные имена. Для решения данной проблемы решено оставлять неизменным имя пакета, имеющего большее число установок. Автору менее популярного приложения придётся переименовать пакет.

Не рассмотренной остаётся невозможность установки и регистрации приложений, которые каталог F-Droid своими силами собирает из исходного кода и упаковывает в пакеты, заверенные своей цифровой подписью, а не подписью фактического разработчика. F-Droid не может регистрировать сторонние приложения от своего имени, так как это обозначало бы захват идентификаторов и присвоение исключительных прав на распространение чужих программ, а также привело бы к появлению дубликатов имён программ, распространяемых авторами через другие каталоги.

Компоненты для верификации приложений будут предложены в обновлении Android 16 QPR2, которое будет доведено до пользователей в декабре. Для пользователей уже выпущенных версий Android изменение будет реализовано через обновление компонента Google Play Protect. Возможность прохождения верификации всех разработчиков приложений будет предоставлена в марте 2026 года. В сентябре 2026 года проверка станет обязательной в Бразилии, Индонезии, Сингапуре и Таиланде. В 2027 году практика запрета программ от неверифицированных разработчиков постепенно начнёт применяться и в других странах.

Для верификации разработчик должен зарегистрироваться в сервисе Android Developer Console, если он до этого не зарегистрирован в Google Play, и предоставить такие данные, как ФИО, адрес проживания, email, телефонный номер и фото документа, удостоверяющего личность. Для ограниченных учётных записей студентов и энтузиастов предоставление удостоверяющего документа не требуется. Для организаций требуется подтверждение сайта и предоставление международного идентификатора юридических лиц (DUNS).

После регистрации разработчик должен добавить свои приложения и подтвердить, что он является их автором, предоставив полные имена пакетов и ключи для цифровых подписей. Для предотвращения присвоения авторства над уже существующими чужими пакетами, разработчик должен продемонстрировать возможность формирования цифровых подписей тем же ключом, что был использован для заверения существующих приложений.