Android, app da sviluppatori non verificati restano installabili via ADB

A fine agosto 2025, Google ha confermato l’introduzione di un cambiamento radicale che segnerà il futuro di Android: a partire da settembre 2026, con una distribuzione progressiva nel corso del 2027, solo gli sviluppatori che avranno completato un processo di verifica dell’identità potranno distribuire applicazioni installabili sui dispositivi certificati con Google Mobile Services (GMS). Chi non si adeguerà sarà escluso: le app provenienti da sviluppatori non verificati non potranno essere installate tramite la consueta procedura integrata a livello di sistema operativo.

La modifica, che in Italia entrerà in vigore proprio nel 2027, impatta quindi – pesantemente – sia sugli sviluppatori che sugli utenti finali che potranno effettuare sì il sideloading (installazione di app Android da sorgenti non ufficiali, diverse ad esempio dal Google Play Store). Tuttavia, i pacchetti APK caricati sul dispositivo Android in questo modo non potranno essere utilizzati se l’identità dello sviluppatore non risulta verificata.

Il perché e il quando sono chiari, ma resta il “come”

Secondo Google, l’obiettivo primario è ridurre il numero di software malevoli distribuiti tramite canali paralleli al Play Store, che sfruttano l’anonimato degli sviluppatori per truffe, phishing e abusi.

In tanti hanno però lamentato un impatto diretto sulla libertà degli utenti di decidere cosa installare sui propri smartphone e tablet. Da parte nostra abbiamo rilevato come il sideloading senza limiti sia una falsa verità che distoglie dal tema più importante ossia dall’approvazione di un modello condiviso che permetta di intervenire a basso livello sul software installato, con la possibilità di cambiare il sistema operativo preinstallato.

Tornando al tema del sideload, Play Protect, già oggi integrata su tutti i dispositivi Android certificati, sembrava il candidato naturale per assumere il ruolo di “guardiano” della verifica degli sviluppatori. Invece, Google ha scelto un approccio diverso: introdurre un nuovo servizio di sistema, chiamato Android Developer Verifier.

Android Developer Verifier: un nuovo tassello nell’architettura di Android

Android Developer Verifier sarà un’applicazione distinta da Play Protect, condivisa direttamente con i produttori (OEM), che saranno obbligati a preinstallarla sui dispositivi lanciati sul mercato con Android 16 QPR2 o successivi.

Se Google decidesse di rendere open source Android Developer Verifier, la comunità di sicurezza potrebbe condurre audit indipendenti, a differenza di quanto avviene oggi con Play Protect. Inoltre, ROM Android personalizzate ed ecosistemi alternativi potrebbero integrare la funzione, adattandola ai propri modelli di fiducia.

Al momento, però, in attesa di ulteriori chiarimenti, resta tutto sul piano teorico. Più concretamente, la decisione di separare i due strumenti sembra puntare a un obiettivo pragmatico: impedire agli utenti di disattivare i controlli, come oggi avviene con Play Protect, che può essere disabilitato manualmente.

Sideload via ADB: l’ultima frontiera della libertà su Android

In un documento di supporto (FAQ) destinato agli sviluppatori Android, ha nel frattempo offerto uno spunto interessante e ha di fatto confermato quanto scrivevamo nell’articolo sul funzionamento del blocco del sideload in Android dal 2026. Scrivono i tecnici dell’azienda di Mountain View:

L’installazione di app tramite Android Debug Bridge (ADB) funzionerà senza registrazione? In qualità di sviluppatore, sei libero di installare app senza verifica con ADB. Ciò è stato progettato per supportare le esigenze degli sviluppatori di sviluppare e testare app che non sono destinate o non sono ancora pronte per essere distribuite a una più ampia fascia di consumatori.

Era ovvio. ADB (Android Debug Bridge) è uno strumento da riga di comando incluso nel pacchetto di sviluppo di Android, che permette di stabilire una connessione diretta tra un PC e un dispositivo Android. Le sue funzioni principali sono eseguire comandi di shell remota, trasferire file, monitorare log e processi di sistema, installare e disinstallare pacchetti APK.

La possibilità di gestire i pacchetti Android tramite ADB si attiva previo accesso alle Opzioni sviluppatore. Google conferma che anche in futuro, sarà comunque possibile installare app via ADB bypassando tutti i controlli sull’identità dello sviluppatore.

Il motivo è evidente: gli sviluppatori devono essere in grado di testare applicazioni senza restrizioni. Ma è altrettanto scontato che questa modalità potrà essere usata dagli utenti normali. A meno che l’accesso alla sezione Opzioni sviluppatore del dispositivo mobile non diventi anch’essa possibile previa verifica dell’identità dello sviluppatore. Non diciamolo troppo forte…!

Come funziona e come si attiva il sideloading via ADB su Android

Inutile dire che il sideloading via ADB su Android non è cosa propriamente per tutti. Innanzi tutto, è necessario disporre di un PC al quale collegare il dispositivo Android (via cavo USB).

Come spiegato nell’articolo citato in precedenza, è necessario abilitare le Opzioni sviluppatore toccando almeno 7 volte di fila su Info sul telefono/tablet nelle impostazioni. Nelle Opzioni sviluppatore è quindi necessario attivare Debug USB: alla prima connessione compare una finestra che chiede di autorizzare la chiave RSA del PC. È indispensabile scegliere Consenti sempre da questo computer.

Avvalendosi del pacchetto SDK Platform Tools, che contengono anche ADB, si deve dapprima digitare adb devices per verificare che il dispositivo Android collegato via USB compaia in lista.

Per installare un’applicazione a partire dal corrispondente file APK, basta quindi impartire il seguente comando:

adb install nomefile.apk

Il file APK deve essere preventivamente copiato nella stessa cartella in cui risiede l’eseguibile di ADB.