Alternatieve appstores zien machtsgreep in Googles verificatie van appmakers

Alternatieve appstores zien grote problemen in de identiteitscheck die Google verplicht voor appmakers buiten de Play Store. Dit breekt kritieke functionaliteit, eventuele workarounds zijn onveilig en het riekt naar een machtsgreep, zeggen Accrescent en Obtainium tegen Tweakers.

Accrescent en Obtainium zijn het in grote lijnen eens met de kritiek van F-Droid op de plannen van Google. Alle drie de alternatieve appstores zien fundamentele problemen in het aangekondigde beleid waarbij appontwikkelaars hun identiteit bij Google moeten verifiëren, ook voor apps die niet via Googles Play Store worden gedistribueerd. Apps die hier niet aan voldoen, draaien straks niet meer op Android-toestellen.

Google verklaart hiermee de beveiliging van Android te verbeteren. De redenering is dat makers van malware en apps voor financiële fraude zich niet meer kunnen verschuilen achter anonimiteit of een valse identiteit. Voor hobbyisten belooft het bedrijf een uitzondering op het nieuwe beleid, dat in september volgend jaar van kracht wordt. Tweakers heeft Google vorige week gevraagd om een reactie op de kritiek en dat verzoek nog herhaald.

Alternatieve appstores maken zich zorgen

Naast F-Droid slaan andere alternatieve appstores nu ook alarm: zij zien niet alleen hun eigen functioneren en voortbestaan bedreigd. Ze maken zich ook zorgen over de gevolgen voor appontwikkelaars, eindgebruikers en Android als algemeen platform. Obtainium en Accrescent reageren wel op vragen van Tweakers.

"Ik ben het behoorlijk eens met het artikel van F-Droid", antwoordt softwareontwikkelaar Imran Remtulla van Obtainium. Hij meent dat Google met dit nieuwe beleid in wezen general-purpose computing in de ban doet 'voor de rest van de smartphonegebruikers in de wereld'. De maker van de alternatieve appstore voor Android stelt dat iPhone-gebruikers nooit zo'n algemeen platform hebben gehad.

Volgens Remtulla wil Google het meer winstgevende bedrijfsmodel van Apple emuleren. Een model 'waarbij niemand apps kan distribueren of draaien zonder een flinke vergoeding voor een developeraccount, plus 30 procent van alle apptransacties'.

Obtainium

Hoofdontwikkelaar Logan Magee van Accrescent laat zich subtieler uit, maar maakt zich ook 'ernstige zorgen' over Googles nieuwe beleid. Zoals dat er nu voor staat, breekt dat volgens hem kritieke functionaliteit en eventuele work-arounds zijn onveilig voor zowel appstores als appmakers als Android-gebruikers.

Appstores hebben volgens hem geen gedocumenteerde manier om vooraf te controleren of de identiteit van een appontwikkelaar wel of niet is geverifieerd. Daardoor kunnen zij straks hun gebruikers geen goede, gefilterde appoverzichten geven. Consumenten zouden daardoor apps wel kunnen downloaden, maar mogelijk niet gebruiken. Dit kost appstores en gebruikers bandbreedte en geeft gebruikers een slechte ervaring, aldus Magee. "Dat ondermijnt de levensvatbaarheid van Accrescent en andere Android-appstores."

AccrescentAndroid Debug Bridge

"De enige work-around die Google biedt, de Android Debug Bridge (ADB), is gevaarlijk en onveilig en dus niet acceptabel voor alle gebruiksgevallen", aldus Magee. Hij wijst erop dat Googles documentatie voor ontwikkelaarsverificatie nu stelt dat ADB wordt ondersteund voor het installeren van apps zonder dat die verificatie nodig is. Die optie is volgens de maker van Accrescent alleen bedoeld voor ontwikkeldoeleinden en enkele beperkte gevallen van apparchivering.

Magee ziet gevaar in het toekennen van ADB-privileges op een persoonlijk Android-apparaat aan een ander apparaat of app. Daarmee geeft een gebruiker namelijk vergaande rechten die 'alleen noodzakelijk zijn voor het ontwikkelen op een daarvoor bestemd apparaat of emulator'.

In theorie zou Google een api kunnen opzetten om alternatieve appstores een verificatiecheck bij Google uit te laten voeren, geeft Magee nog aan. Zo'n toegangsmiddel zou echter hoge kosten voor die dataverzoeken opleggen aan alternatieve appstores. De maker van Accrescent vindt dat dan ook 'geen acceptabele oplossing'.

Vooralsnog lijken alternatieve appstores dus geen andere keuze te hebben dan zich aan de volgens hen verregaande identificatieplicht te houden. Het sentiment onder de ontwikkelaars van deze platforms is echter eensgezind: Google zou de macht van zijn Play Store-ecosysteem verder vergroten en alternatieve appstores daarmee dwarsbomen. Vanaf september 2026 zal blijken in hoeverre het nieuwe beleid van Google alternatieve appstores hindert en of er inderdaad minder oplichters zich in het Android-ecosysteem weten te forceren.

Door Jasper Bakker

Nieuwsredacteur

07-10-2025 • 07:28

32

Reacties (32)

Sorteer op:

Weergave:

Het idee opzich vindt ik eigenlijk niet zo vreemd, en zelfs enigesinds bijzonder dat het nog niet gebeurd.

Ik snap ook niet helemaal wat de kritiek is van de alternatieve app stores. Ja developers moeten zich nu identificeren bij Google, maar ze moesten toch al de development tools van Google downloaden om überhaupt een app te kunnen bouwen.

Na identificatie kunnen ze de app publiceren waar ze willen en hoeft dat niet perse via de play store?
Ik snap je redenering, maar de kritiek van alternatieve app stores zoals F‑Droid is wél degelijk terecht als je het artikel goed leest. Het gaat namelijk niet alleen om identificatie voor gebruik van Google’s tools, maar om verplichte centrale registratie van álle app developers, inclusief uploaden van persoonlijke ID-documenten én het vastleggen van de "application identifiers" van apps – zelfs als je ze buiten de Play Store verspreidt.

Dat is een forse stap verder. F‑Droid waarschuwt terecht dat dit:
  • de onafhankelijkheid van alternatieve app stores ondermijnt (zoals F‑Droid zelf),
  • anonieme of privacybewuste developers uitsluit (bijv. vanwege politieke redenen of open source principes),
  • Google de mogelijkheid geeft om controle te krijgen over welke apps überhaupt kunnen bestaan of updates krijgen, ook buiten hun eigen ecosysteem.
Met andere woorden: het gaat hier niet alleen om "veiligheid" of "transparantie", maar ook om macht en controle over het hele Android ecosysteem. Zelfs als je een app buiten Google Play verspreidt, zou je alsnog afhankelijk worden van hun toestemming – en dat is precies waar de zorgen zitten.
Heb je het artikel wel gelezen?

Appstores hebben volgens hem geen gedocumenteerde manier om vooraf te controleren of de identiteit van een appontwikkelaar wel of niet is geverifieerd. Daardoor kunnen zij straks hun gebruikers geen goede, gefilterde appoverzichten geven. Consumenten zouden daardoor apps wel kunnen downloaden, maar mogelijk niet gebruiken. Dit kost appstores en gebruikers bandbreedte en geeft gebruikers een slechte ervaring, aldus Magee. "Dat ondermijnt de levensvatbaarheid van Accrescent en andere Android-appstores."
Zeker, dat punt over gebruikservaring en transparantie is ook belangrijk – en Magee benoemt dat inderdaad expliciet. Het probleem dat hij schetst, is dat alternatieve appstores (zoals Accrescent) straks niet kunnen controleren of een ontwikkelaar zich wél of niet bij Google geregistreerd heeft, en daardoor niet vooraf kunnen filteren op bruikbare apps.

Maar dat bevestigt juist de kritiek van F-Droid:
Als functionaliteit van een app afhankelijk wordt van registratie bij Google, dan heeft Google effectief controle over welke apps bruikbaar zijn op het hele Android-platform, ook buiten de Play Store.

De "goede gebruikerservaring" van alternatieve appstores komt dan in gevaar — niet omdat zij iets fout doen, maar omdat Google die afhankelijkheid afdwingt. Dat maakt alternatieve distributiekanalen kwetsbaar voor beleidswijzigingen van een dominante spe
Kunnen we niet gewoon stoppen met apps en weer gewoon responsive websites gaan gebruiken? Veel apps zijn al niet meer dan een wrapper om een responsive website heen. Apps ondermijnen onze vrijheid als consument en binden je nodeloos aan een Amerikaans platform. Met webapps maakt het niet meer uit welk OS je draait.

Die hele shift naar apps was altijd al een aanfluiting. Een stap terug naar het Windows monopolie dat we op desktops hadden, ditmaal op mobiel. Windows is ondertussen allang al nergens meer voor nodig, aangezien een hoop functionaliteit op de desktop zich naar het web heeft verplaatst, maar blijkbaar leert men niks van fouten uit het verleden en doen we hetzelfde voor mobieltjes?
Nog los van alle nadelen aan functionaliteit die alleen online functioneert, wat denk je hiermee op te lossen? Wie gaat dat hosten en wie garandeert veiligheid? En wat denk je van privacy als hele apps online draaien en al je data buiten je apparaat terecht komt? Alsjeblieft zeg, laten we blij zijn met native apps.
Wat jij native apps noemt maakt ook gewoon gebruik van online accounts en dergelijke. De app is vaak enkel de voorkant, er wordt alsnog vaak een API gehost. dus nee ik ben het niet met je eens.
Als je om je privacy geeft, moet je juist geen native apps hebben. Die dingen kunnen bij veel te veel informatie die je niet kunt blokkeren. Ze integreren vaak SDK’s van Google, Meta en andere spyware toko’s en er is niks wat je kunt doen om die tegen te houden. Iets wat in een browser draait heb je controle over, via addons die bv de tracking scripts blokkeren. En het draait in een browser sandbox, afgezonderd van je systeem. Dus als je om je privacy geeft, gooi je al die apps er weer af en ga je de browser versie gebruiken.

En het online gedeelte is geen argument. Tegenwoordig kunnen browsers webapps gewoon offline cachen. Plus dat de meeste apps überhaupt niet werken zonder internet, dus of je dan de hele UI van het internet laadt, of alleen het API gedeelte op de achtergrond, doet er niet toe.
Deels waar. Maar een app die offline draait (dus geen internet connectie kan gebruiken) is natuurlijk ook veilig.

Het probleem is dat je niet fijnmazig genoeg kan instellen welke access een app mag hebben (en dat apps claimen dat ze meer nodig hebben dan voor de echte functionaliteit noodzakelijk is).

Websites hebben natuurlijk altijd de mogelijkheid om gebruikersdata op te slaan aan de server-kant...
Het klinkt bijna als clickbait maar als het sirieus is:
"Alsjeblieft zeg, laten we blij zijn met native apps." -> want? die drie lokale apps die enkel lokaal opereren zijn steeds minder aanwezig bijna iedere app verzamelt gegevens en bijna allemaal hebben een online connectie nodig...

Je gegevens en privacy zijn allang om zeep, de store checkt enkel of het binnen de perken blijft zodat ze voldoen aan wetgevingen.
zijn steeds minder aanwezig bijna iedere app verzamelt gegevens en bijna allemaal hebben een online connectie nodig...
Daarom juist zoek ik mijn applicaties op de smafo bij voorkeur in f-droid. Zonder er echt op te letten is het grote merendeel puur lokaal, met de uitzonderingen programmas die daadwerkelijk online wat te zoeken hebben, zoals een podcast-programma dat de feed bijwerkt of een weerapplicatie die recente weergegevens binnenhaalt.

Ik zou zeggen: neem eens een kijkje in f-droid, dan zal je zien dat het er meer dan drie programmas zijn die lokaal draaien, geen datagraaien, en niks aansmeren.

[Reactie gewijzigd door AnonymousGerbil op 7 oktober 2025 08:41]

Ik ben me heel bewust dat ik geen expert ben, maar met de juiste rechten per website (zoals je dat nu per app regelt), ben je toch redelijk zeker dat je niet onbedoeld bijvoorbeeld locatiedata online gooit op een dodgy website? En de meeste privacy-gevoelige dingen doe je toch al online: bankieren, verzekeren, pensioensopbouw, salarisstrookjes, autohuur, etc. Alles staat al in clouds en of dat nu via een app op mijn apparaat of via de website van de verzekeraar of bank loopt, zou niet zoveel moeten uitmaken, toch?

Maar misschien mis ik iets...?
Het gaat veel verder dan 'toegang tot je foto's/locatie/enz.'
Geïnstalleerde apps kunnen gigantisch veel data van een telefoon uitlezen waar de gebruiker geen invloed op heeft. (Zo kan op Android, iedere app een complete lijst van alle geïnstalleerde apps inzien. PWAs kunnen dit niet.)

Het grootste 'voordeel' van de huidige mobiele platformen is, is dat de appmarktplaatshouders (App Store van Apple en Play Store van Google) een malware-scan doen van de apps, en bijhouden 'wie' welke app maakt. Dit systeem is uiteraard niet feilloos (het is tenslotte meermalen gebeurd dat appontwikkelaars malware toevoegde aan hun apps via derdepartijbibliotheken die 'gehackt' waren (of al dan niet bewust, malafide code hebben laten toevoegen via pull requests e.d.) en dat dit niet gedetecteerd werd.
Maar er is dan in elk geval nog 'een controle' en dat is allicht beter dan 'geen controle'.

Er worden zeer regelmatig (ernstige) kwetsbaarheden in browser-engines gevonden. PWAs kunnen daar relatief makkelijk misbruik van maken. Het enige dat ze hoeven te doen is de code aan hun kant aan te passen de gebruiker installeert/gebruikt het automatisch. Zeker als gebruikers zaken als DoH uit hebben staan, dan kunnen DNS-verzoeken omgeleid worden, en weet je nooit zeker dat je daadwerkelijk op de juist site uitkomt. (uiteraard is er dan al iets van malware op de telefoon zelf of elders aanwezig, die dit doet.)
De meeste apps werken niet eens offline en deze vereisen ook allemaal een account. Allemaal zaken die beter werken als je een website gebruikt. Het idee dat je denkt dat een app inherent beter is voor privacy terwijl je net veel minder controle hebt, is dan ook gewoon absurd. Bij een website hoef je geen schrik te hebben dat je na een update te snel op akkoord drukt en je de website toegang hebt gegeven tot je foto's of contacten.

En net toegang tot al die zaken krijgen is vaak de hoofdbedoeling van die nutteloze apps die beter zouden werken als website.
Zo'n webapp kan prima offline werken. Heb dit jaren geleden al eens gemaakt voor android en ios. Werkt prima. Die hoeft enkel "gehost" te worden om te installeren, meer niet. Dus technisch kan het. De enige beperking wordt opgelegd door de OS makers.
Het zou mooi wezen als de komende jaren PWA zich verder ontwikkelt, waardoor je niet meer afhankelijk bent van het installeren via een app-store, maar gewoon via de browser de website als app kan toevoegen. Wellicht kan dat ook ruimte geven tot alternatieve OS'en.

Zolang Apple en Google geen baat hebben bij alternatieve appstores zullen ze blijven tegenwerken. En bij elke nieuwe regelgeving zullen ze weer een geitenpad vinden om die te gebruiken.
Hier ben ik het veelal mee oneens.

Ik ben ben het eens daf PWAs voordelen en bepaalde gemakken biedt als ontwikkelaar, maar het ook met genoeg nadelen. Alles draait feitelijk in een browser en dat vreet genoeg batterij. Je hebt altijd te maken met web APIs en WebGL/GPU als je iets met het systeem wilt doen en dat is zeker niet altijd wenselijk.

Uiteindelijk zou ik zelf mogen beslissen welke code en welke apps draaien op mijn toestel, hij is zeker niet het eigendom van Google. PWAs zie ik in dit probleem niets meer dan een pleister op een wond die niet dichtgaat.
Het voornaamste probleem voor ontwikkelaars is dat PWAs veel minder toegang hebben tot het systeem. Ze kunnen veel minder zinvolle data vergaren van de gebruiker.

Laten we eerlijk zijn. Een app voor een webwinkel voegt in de praktijk helemaal niets toe, boven een PWA, voor de gebruiker. Alleen de webwinkel kan beter aan datamining doen.

Zeker op Android kunnen appmakers heel veel zinvolle info uitlezen, waar de gebruiker geen invloed op heeft. (Zaken als geïnstalleerde apps en zo)
Het is zeker jouw toestel, want dat heb je gekocht. Alles wat je erop zet is niet van jouw, dat is het hele probleem. Je huurt dat van bedrijven doordat je maandelijks huur overmaakt (bij Netflix, Spotify, google cloud, etc) of doordat je je gegevens deelt. Maar huren is op hun voorwaarden. Net zoals een huurhuis, daar mag je ook niet zomaar een muur uitslopen.

Dus als je andere voorwaarden wil, zal je een andere verhuurder moeten zoeken.
Apple blokkeert al jaren verschillende webstandaarden om PWAs volwaardiger te maken op iOS. En blijkbaar hebben de andere browser makers niet bijzonder veel interesse in hun browser engine op iOS te krijgen in Europa.

Maar behalve dat, voor redelijk wat zaken zijn PWAs niet echt een optie. Voor bijvoorbeeld spellen is een browser runtime niet heel geschikt.
En blijkbaar hebben de andere browser makers niet bijzonder veel interesse in hun browser engine op iOS te krijgen in Europa.
Dan zien we toch dat een browser-engine een bijzonder complex ding is, en dat alleen de EU mogelijk toch een te kleine markt. In de praktijk zien we dat de meeste tech-bedrijven heel erg VS-georiënteerd zijn. (Dus stel dat Apple hetzelfde in de VS moet doen of gaat doen, dan zal er wel meer aandacht voor komen, verwacht ik.)
En juist ondersteuning van PWA door de browser en in t OS is ook in handen van Google en Apple.

Zie bijv de lange lijst van wijzigingen in IOS die niet altijd een vooruitgang waren. https://brainhub.eu/library/pwa-on-ios
Ik had altijd het idee dat Android meer vrij is dan Apple. Ik geloof dat dat op de dag van vandaag nogsteeds zo is. Maar ik maak me wel zorgen voor de toekomst en hoop dat de EU dit ook nauwlettend in de gaten houd. En waar nodig ingrijpt...
Dit is geen klein nieuws — dit raakt de kern van wat Android ooit was: een open platform. Door alternatieve appstores te ondermijnen met extra drempels (zoals hun eigen verificatieproces), verlegt Google stilletjes de machtsbalans nog verder in hun voordeel. En dat onder term van 'veiligheid' wat totale nonsens is.

Kan de EU hier niet dingen in afdwingen? De DMA is er voor dit soort misbruik van marktmacht toch.
Google is geen neutrale partij. Zoals je voor je auto een nummerplaat nodig hebt lijkt het mij goed dat je als dev jezelf moet identificeren. Maar zoals je dat voor je auto niet bij de grootste fabrikant doet zou dat hier ook bij een neutrale partij moeten zijn.

Ik hoop ook op een sterke reactie vanuit de EU.

[Reactie gewijzigd door NoTechSupport op 7 oktober 2025 08:38]

Precies. Het is nu één partij die alles voor het zeggen heeft. Misschien wettelijk geen monopolie, maar in de praktijk komt het op hetzelfde neer.
Het probleem is dan ook dat Google probeert Android gesloten te krijgen, zodat Google kan bepalen wat wel en niet mag draaien op 'hun' systeem. Het Apple model dus.

Het was juist goed dat er naast het gesloten Apple systeem een open Android was. Dat geeft keuze. Als we twee gesloten systemen hebben, is het kiezen tussen door de kat of de hond te worden gebeten.

Dit geeft mogelijkheden voor wie een nieuw open systeem op de markt wil zetten. Het zou me niets verbazen als de Chinezen dat gat gaan opvullen. Uit Europa hoef je niets te verwachten. Wij consumeren alleen maar. En als er al iets wordt ontwikkeld dat aanslaat, wordt het snel verkocht aan een Amerikaan.
Appstores hebben volgens hem geen gedocumenteerde manier om vooraf te controleren of de identiteit van een appontwikkelaar wel of niet is geverifieerd.
Bovenstaande is eigenlijk wat mij betreft het meest kwalijke stuk. Ik ben er persoonlijk een voorstander van dat Google de appmaker van gedistribueerde apps 'kent', juist om zaken als malware en andere zaken. Maar voor de andere appmarktplaatsen moet er dan wel een methode komen om te detecteren dat bepaalde appmakers hier niet aan voldoen. Je komt als appmarktplaats natuurlijk niet heel betrouwbaar over als je aangeboden apps onbruikbaar zijn, omdat de ontwikkelaar zich weigert bekend te maken. Dat geeft toch een beperkt vertrouwen in die appmarktplaats.
Beetje schijnheilig van Google. Hun eigen store zit ook gewoon vol malware die zij approved hebben met hun automatische scanner. Bij Apple word het tenminste nog handmatig nagekeken
Precies. Deze actie verkopen onder het motto van 'tegengaan van malware' terwijl de eigen store helemaal er vol mee hangt. Als iets een plek is waar we de broncode makkelijk kunnen toetsen is het een store als F-droid wel.
Buiten het feit dat ik het met je eens ben dat EU hier veel steviger in moet staan, is het ook misschien een idee om een petitie te starten waarin we dit gedrag van Google in tegengaan.


Om te kunnen reageren moet je ingelogd zijn