Článek
Google APK nezakáže, jen přitvrdí u neověřených aplikací, a ne hned v Česku. APK je instalační balíček aplikace a sideloading znamená instalaci mimo obchod. Podle Android Developers se většině uživatelů Google Play zkušenost se stahováním aplikací vůbec nezmění.
Česko první vlna nezasáhne
Běžné APK nekončí. Google láme až chvíli, kdy člověk zkusí nainstalovat neregistrovanou aplikaci mimo běžný tok přes Play, a pro tuhle situaci chystá advanced flow, tedy nový zpřísněný postup. U vývojářů, kteří už prošli ověřením v Play Console, navíc Google v oznámení píše, že jejich identitu zpravidla už ověřil.
Časová osa vypadá tvrději, než ve skutečnosti působí na českého uživatele. Když jsem prošel dokumentaci Androidu, vyšlo z ní jasně, že advanced flow dorazí v srpnu 2026, ale první ostré vynucení od 30. září 2026 míří jen do Brazílie, Indonésie, Singapuru a Thajska. Česko v první vlně není a širší rollout má pokračovat až v roce 2027 a dál.
Největší otazník visí nad 24 hodinami po restartu. V popisu advanced flow Google uvádí jednorázové čekání po restartu a teprve pak nové potvrzení, ale zároveň FAQ říká, že instalace přes ADB se registrace týkat nemusí. Tohle tedy není plošná stopka pro každou cestu mimo Play, a právě proto stojí za to rozebrat, co se u neověřeného APK opravdu změní.
Google zpomalí hlavně anonymní APK
Tady už Google šlape na brzdu naplno. U neověřeného vývojáře, tedy autora aplikace bez ověřené identity u Googlu, má následovat zapnutí vývojářského režimu, potvrzení, že uživatele nikdo nemanipuluje k vypnutí ochrany, restart telefonu, jednodenní čekání a další potvrzení přes otisk, obličej nebo PIN, jak popisuje Android Developers. Pak systém dovolí instalace na sedm dní nebo trvale a dál varuje, že jde o neověřený zdroj.
Není to náhoda. Google tenhle rituál staví proti hovoru s „bankou“, kdy útočník drží oběť na lince, tlačí na ni a krok za krokem ji vede ke stažení škodlivého APK z webu nebo z chatu. Když si vedle technického popisu postavím bezpečnostní blog Googlu, dává to smysl: podvodník potřebuje rychlost, zatímco Google mu do cesty vkládá restart, čekání i druhé ověření. Týká se to ruční instalace z neověřených zdrojů, ne běžného používání Google Play.
Google k tomu přidává tvrdé číslo. Podle Android Developers pochází z neoficiálních zdrojů víc než 90krát více malwaru než z Google Play a bezpečnostní blog Googlu dodává, že přes 95 procent instalací hlavních malwarových rodin spojených s finančními podvody přišlo z internetových sideloadingových zdrojů. I proto flow působí schválně nepohodlně. Jenže právě ve chvíli, kdy Google anonymní APK zpomaluje, jiným cestám naopak lehce povoluje.
Paradox je v tom, že jiným cestám uleví
A tady přichází paradox. Zatímco neověřené aplikace čeká tvrdší síto, Google zároveň chystá Registered App Stores, tedy dobrovolný režim pro alternativní obchody, které splní určité bezpečnostní a kvalitativní podmínky. Těm má systém instalační cestu naopak zjednodušit.
Android se tedy úplně nezavírá. V oficiálním FAQ zároveň zůstává ADB, tedy nástroj pro instalaci přes počítač, který má dál podporovat vývoj a testování, a pokud se alternativní obchod do programu nezapojí, Google podle dostupného oznámení nemění nic oproti běžnému sideloadingu. I na certifikovaném zařízení, tedy telefonu s oficiálně schváleným Androidem, tak nezmizí každá cesta mimo Play.
Mně z toho vychází dost přímočarý verdikt. Nejhůř dopadne anonymní APK odkaz, který přiletí v chatu nebo v prohlížeči a nikdo za ním věrohodně nestojí, ne důvěryhodná alternativa ke Google Play. Android nepřestává být otevřený, jen přestává věřit každému APK odkazu.
Zdroje: Frequently asked questions, Android developer verification: Balancing openness and choice with safety, Android developer verification: Rolling out to all developers on Play Console and Android Developer Console, A new era for choice and openness, How we kept the Google Play & Android app ecosystems safe in 2024
