Google voert extra veiligheidsmaatregelen door voor sideloaden op Android

Google gaat de optie om apps op Android te ‘sideloaden’ aanscherpen met wat regels. Zo moet je eenmalig 24 uur wachten voordat je een app van een ongeverifieerde ontwikkelaar wil binnenhalen.

Android staat er om bekend dat het meer vrijheid biedt dan het ‘gesloten’ iOS, maar dat brengt ook risico’s met zich mee. Eén van de grootste risico’s is apps ‘sideloaden’, oftewel apps en bestanden op je toestel downloaden via een andere bron dan de officiële Google Play Store.

Het gaat hierbij meestal om een los .apk-bestand. Het fijne is dat je zo niet afhankelijk bent van de apps die op de Play Store staan, en bijvoorbeeld ook via een website of een appwinkel van andere partijen apps kunt binnenhalen. Dat is ook handig als je bijvoorbeeld een oudere versie van een app wil gebruiken, of wanneer een app of bestand om wat voor reden dan ook niet door Google aangeboden wordt.

Het sideloaden van apps kan echter gevaarlijk zijn. Dit omdat er een groter risico is op bijvoorbeeld virussen en malware die zonder dat je het door hebt op je toestel worden gezet tijdens het installeren. Google heeft het bestand en de bron immers niet gecheckt. Sideloaden is dus geheel op eigen risico, en dat vergeten gebruikers nog wel eens.

Toch gaat Google zijn best doen om het proces iets veiliger te maken, of in ieder geval mensen die sideloaden bewuster te maken van de risico’s. Zoals Google zelf al aanhaalt, bleek uit een recent onderzoek dat 57 procent van de ondervraagden vorig jaar te maken heeft gehad met een scam. Voorzichtigheid is dus wel op zijn plaats.

Google gaat vanaf nu bijvoorbeeld onderscheid maken tussen drie verschillende soorten sideloading. Zo kan men een apk via geverifieerde ontwikkelaars downloaden, bijvoorbeeld via hun website. Dit is de meest veilige optie, omdat de ontwikkelaar in kwestie door Google is gecontroleerd. Het zal dan ook niet snel voorkomen dat het bestand of de app van deze ontwikkelaars kwaadaardig is.

Een andere optie is bestanden downloaden van ontwikkelaars die ‘gelimiteerde distributie-accounts’ hebben. Het gaat hier om zeer kleine ontwikkelaars – vaak mensen die het voor hun hobby doen – die er specifiek voor kiezen hun bestand met je te delen. De derde categorie is sideloaden via ongeverifieerde ontwikkelaars. Logischerwijs is dat de meest risicovolle optie.

Juist die derde optie krijgt nu extra stappen om zo het risico te verkleinen. De eerste stap blijft gelijk met nu: je moet via de instellingen naar het bouwnummer van je toestel gaan en daar zeven keer op klikken, waarna de ontwikkelaarsopties tevoorschijn komen. Android-gebruikers die al langer sideloaden zijn dit wel gewend, hoe random het misschien ook lijkt.

Wel nieuw is dat je vervolgens de vraag krijgt of je niet onder druk wordt gezet bij het aanzetten van deze functie. Nadat je hebt aangegeven dat dit niet zo is, moet het toestel opnieuw opgestart worden. Dit is gedaan om er zeker van te zijn dat scammers je niet verleiden om dit te doen.

Vervolgens moet je 24 uur wachten voordat je een app of bestand kunt sideloaden, waarna je bijvoorbeeld je vingerafdruk of pincode van het apparaat kunt gebruiken om te bevestigen dat je dit echt wil. Deze wachtperiode staat haaks op de urgentie die scammers vaak hebben, en moet ze dan ook afweren.

Je kunt daarbij ook kiezen voor de mogelijkheid dat de ontwikkelaarsopties na zeven dagen weer uitgezet worden en je toestel weer naar de normale modus gaat. Doe je dit niet, dan krijg je nooit meer de wachttijd van 24 uur. Die is dus maar eenmalig wanneer je de ontwikkelaarsopties ingeschakeld laat staan. Je hoeft zelfs wanneer je een nieuw toestel haalt het proces niet opnieuw te doorlopen, aangezien je je settings kunt meenemen naar je nieuwe toestel.

De wijzigingen die Google doorvoert zijn er dus eigenlijk vooral op gebrand mensen bewuster te maken van de risico’s van sideloaden. Ben je er al bekend mee en weet je de gevaren, dan zal er behalve de eenmalige wachttijd van 24 uur eigenlijk niet zoveel voor je veranderen. Naar verwachting zal dit nieuwe proces in augustus van dit jaar worden doorgevoerd.