In nome della sicurezza, Google da Android 17 cambierà radicalmente il metodo di blocco per l’installazione delle app. Ecco come funziona
Fin dai tempi dell’università, ho sempre preferito i telefoni Android a quelli iOS, quando passavo ore a smanettare sui dispositivi sin dai tempi del primo HTC Magic, diversi Samsung ed LG, che installavo ROM personalizzare ed app di tutti i generi, proprio perché Android era un sistema aperto.
Purtroppo, a partire da settembre di quest’anno, Google ha introdotto una politica che bloccherà unilateralmente le applicazioni se lo sviluppatore non si è registrato direttamente con Google per certificare il suo status di sviluppatore, su milioni di dispositivi Android certificati.
Successivamente, questa politica verrà estesa a tutti i dispositivi certificati a livello globale. Per l’utente medio, la semplice procedura di installazione di un’app “non verificata” da uno sviluppatore indipendente diventerà complessa quanto il rooting del telefono.
L’installazione da fonti esterne non scomparirà del tutto, ma la procedura in due passaggi diventerà un’esperienza proibitiva e snervante da settembre in poi. Potrebbe trattarsi della “Apple-izzazione” di Android da parte di Google, che soffoca gli utenti più esperti con la scusa di un aggiornamento di sicurezza.
Il sideloading non è morto, è solo sepolto vivo. Il nuovo flusso avanzato che scoraggia, ma non protegge comunque
Se si tenta semplicemente di installare da fonti esterne file APK di uno sviluppatore verificato, il processo di installazione rimane pressoché invariato, mantenendo l’illusione di una piattaforma aperta. Si pensi, ad esempio, all’installazione dell’APK di Netflix in un Paese in cui il servizio o l’app non sono disponibili nativamente sul Play Store, oppure al download dell’ultima versione beta di WhatsApp da APKMirror.
Grandi aziende come queste sono entità verificate da Google. Il secondo livello è destinato agli sviluppatori indipendenti che non vogliono pagare la quota di 25 dollari richiesta da Google e presentare un documento d’identità rilasciato dal governo.
A loro, Google concede gentilmente degli “account di distribuzione limitata” che consentono di installare l’app su un numero esiguo di dispositivi. Questo di fatto elimina i test beta dal basso e limita drasticamente la portata dei progetti open source gestiti dalla comunità che si basano sul passaparola.
Se uno sviluppatore non si verifica, un’app non registrata richiederà quella che Google chiama informalmente “Installazione laterale con flusso avanzato“. I passaggi sono volutamente estenuanti, progettati per far sì che l’utente medio curioso rinunci a metà strada.
Come installare APK su dispositivi Android a partire da settembre 2026
Per prima cosa, bisogna addentrarsi nelle Impostazioni di sistema e toccare il numero di build del software sette volte per abilitare la Modalità sviluppatore. Dopodiché, si torna a Impostazioni -> Sistema -> Opzioni sviluppatore per attivare un nuovo interruttore che consente di installare pacchetti non verificati.
A questo punto, visualizzerai una schermata di avviso che ti chiederà di confermare di non essere costretto a installare l’app, seguita da una richiesta di inserire il PIN di sblocco del dispositivo o la password biometrica. Dopodiché, dovrai riavviare il dispositivo e attendere 24 ore obbligatorie e non ignorabili, un po’ come le lunghe pubblicità di YouTube.
Trascorso questo tempo, dovrai tornare al menu dei pacchetti non verificati, scorrere oltre le altre schermate di avviso e infine scegliere “Consenti temporaneamente per sette giorni” o “Consenti a tempo indeterminato”, riconfermando di aver compreso i gravi rischi dell’installazione di un’app da fonti esterne.
Un ecosistema chiuso mascherato da “sicurezza dell’utente” proprio come fa Apple da anni
Il post ufficiale di Google sul blog, si afferma che questa drastica mossa ha lo scopo di “proteggere l’ambiente aperto“, aggiungendo un “ulteriore livello di sicurezza che scoraggia i malintenzionati” e rendendo significativamente più difficile per loro diffondere danni nell’ecosistema.
Sembra però, che l’azienda stia blindando definitivamente l’ecosistema. Integrando completamente questo flusso avanzato nei servizi proprietari di Google Play anziché nell’AAOS open source, Google mantiene la possibilità di ritirare la procedura, attualmente promessa e gentilmente allarmistica, per l’installazione di app da fonti esterne.
Può limitare o bloccare questo flusso silenziosamente, senza il consenso dell’utente o persino senza un aggiornamento del sistema operativo. Le modifiche potrebbero essere ben intenzionate sulla carta, eppure non possiamo fare a meno di paragonare questo approccio al notoriamente chiuso ecosistema di Apple, che scoraggia attivamente l’utilizzo di software di terze parti.
La motivazione di sicurezza sembra debole, poiché Google Play Protect analizza già localmente ogni app installata alla ricerca di malware su ogni dispositivo certificato, indipendentemente dall’identità dello sviluppatore e dall’origine dell’APK.
Questo controllo aggressivo appare anche come una palese ammissione di fallimento. Google ha storicamente faticato a monitorare le dilaganti app truffaldine e gli adware di bassa qualità che proliferano nel Play Store. Aggiungere un ulteriore tentativo disperato per le app di terze parti.
La raccolta di ID da parte degli sviluppatori indipendenti aggiunge un livello di responsabilità aziendale, rendendo i creatori identificabili e potenzialmente vulnerabili a pressioni. Tuttavia, un documento d’identità governativo non ha un impatto diretto sul codice dell’app. Informatori, giornalisti, dissidenti e appassionati che si affidano all’anonimato sotto regimi autoritari potrebbero essere costretti ad abbandonare completamente Android.
Google afferma di possedere già le credenziali necessarie per gli sviluppatori che distribuiscono app tramite Google Play. Tuttavia, queste nuove restrizioni si applicano anche agli sviluppatori che distribuiscono app esclusivamente al di fuori di Google Play, come quelli su F-Droid o GitHub.
Dovranno comunque registrare le proprie app tramite la Console per sviluppatori Android, accettare termini irrevocabili e caricare la prova delle chiavi di firma private. In caso contrario, Google può bloccare silenziosamente le app su tutti i dispositivi Android del mondo.
Il tempo stringe. Da settembre si cambia registro
Il nuovo sistema di verifica lato sviluppatore sono già ufficialmente attivi, con il lancio a breve di account di distribuzione limitati a livello globale per studenti e appassionati dovrebbe completarsi la prima fase di rilascio agli sviluppatori.
Una volta implementato, è difficile ignorare come questo sistema dovrebbe dare un vantaggio anche delle entrate ricorrenti di Google derivanti da modelli di business basati su abbonamento come YouTube Premium e AI Pro dove sono presenti molte app “craccate”.
Non c’è dubbio che le misure aggressive del gigante tecnologico potrebbero costringere tali progetti a chiudere i battenti. Anche senza una diretta concorrenza con i servizi di Google, se uno sviluppatore di talento si rifiuta di fornire un documento d’identità, pagare una quota di registrazione e inviare le proprie chiavi di firma a Google, il suo software diventa completamente inutilizzabile sul sistema operativo mobile più diffuso al mondo.
Al momento della stesura di questo articolo, mancano circa 90 giorni all’entrata in vigore delle radicali modifiche di Google, destinate a cambiare per sempre il panorama Android. Puoi opporti a questo cambiamento attraverso l’iniziativa KeepAndroidOpen.
