Under 2026 genomför Google två förändringar som tillsammans utgör det allvarligaste hotet mot ett fritt och privat Android på flera år. De är separata tekniska beslut, men de pekar i exakt samma riktning: Google bestämmer vad du får installera, och Google bestämmer vilka webbplatser du får besöka.
Den här sidan förklarar vad förändringarna innebär, vem de drabbar, vad du kan göra och varför de sammantaget är ett strukturellt problem, inte bara ett bekvämlighetsproblem.
Google kräver att alla Android-apputvecklare registrerar sig centralt, betalar en avgift och lämnar ut legitimation. Appar från ej registrerade utvecklare blockeras automatiskt på alla certifierade Android-enheter, inklusive F-Droid, hobbyprojekt och intern företagsprogramvara.
Googles nya reCAPTCHA ersätter bildpussel med QR-koder som kräver Google Play Services version 25.41.30+. Har du inte det (GrapheneOS, CalyxOS, /e/OS) kan du inte verifiera dig och riskerar att stängas ute från stora delar av webben.
Från och med september 2026 blockeras alla Android-appar vars utvecklare inte registrerat sig centralt hos Google, godkänt Googles villkor, betalat en avgift och lämnat in ett statligt utfärdat ID-dokument. Det gäller alla appar, inte bara Play Store-appar.
Källan: Kampanjsajten keepandroidopen.org och Googles egna blogginlägg om Developer Verification.
För att kunna distribuera en app till en certifierad Android-enhet måste en utvecklare:
Lever inte en utvecklare upp till kraven blockeras deras appar tyst, utan notis till användarna, på alla certifierade Android-enheter i hela världen.
Google säger att "avancerade användare" fortfarande ska kunna installera ej verifierade appar. Men processen har gjorts medvetet krånglig och är uppdelad i två faser för att avskräcka vanliga användare:
Fas 1: Lås upp Utvecklarläget (Kan göras redan nu)
Fas 2: Aktivera sideloading (Triggers först när Googles nya system är live)
När du i framtiden försöker installera en extern APK-fil, eller när du går in i den uppdaterade utvecklarmenyn, måste du ta dig igenom resten av Googles säkerhetsspärr:
Obs: Genom att aktivera Utvecklarläget (Fas 1) redan nu har du gjort grundjobbet. När det nya systemet rullas ut globalt via Google Play Services slipper du åtminstone fundera på hur du får fram själva menyn, och kan starta den obligatoriska 24-timmarsklockan direkt när behovet uppstår.
Den här processen körs helt igenom Google Play Services, inte Android-OS:et. Det betyder att Google kan ändra, skärpa eller stänga den när som helst, utan att du behöver uppdatera din telefon och utan att du behöver ge ditt samtycke. Inget av det ovanstående finns i någon beta eller preview idag. Det existerar som ett blogginlägg och några mockups.
F-Droid, appbutiken för fri och öppen källkod med tusentals appar, har officiellt beskrivit det här kravet som ett existentiellt hot. F-Droid bygger på principen att vem som helst kan publicera och distribuera fri programvara. Det är oförenligt med ett system som kräver central registrering, avgifter och ID-kontroll.
En tonåring som bygger sin första app. En volontär som bygger ett integritetsverktyg. En kyrka som distribuerar sin app till sin församling. Ingen av dessa kan installera sina appar utan Googles välsignelse. Systemet diskriminerar systematiskt mot icke-kommersiella och icke-registrerade aktörer.
Interna beta-versioner, konfidentiella verksamhetssystem och skräddarsydd programvara som aldrig är tänkt att vara publik, allt kräver registrering. Alternativet är MDM (Mobile Device Management) och egna distributionspipelines, vilket är dyrt och komplext.
Appar för säker kommunikation distribuerade utanför Play Store av aktivister i auktoritära länder: blockerade. Verktyg som aldrig skulle godkännas av Play Store (eller blockeras på regimers begäran) kan nu inte ens nå sin målgrupp. EFF har kallat appgatekeeping "en ständigt expanderande väg till censur på internet."
| Scenario | Samsung/Pixel/OnePlus | GrapheneOS |
|---|---|---|
| Installera F-Droid | 24h väntetid + 9 steg | Fungerar normalt |
| Installera appar från F-Droid | 24h väntetid + 9 steg | Fungerar normalt |
| Aurora Store (Play-appar anonymt) | 24h väntetid + 9 steg | Fungerar normalt |
| APK direkt från utvecklare | 24h väntetid + 9 steg | Fungerar normalt |
| Play Store-appar | Opåverkat | Kräver sandboxed Play |
GrapheneOS och liknande AOSP-baserade system utan Google Play Services är helt undantagna från dessa regler. Blockeringen körs via Play Services-infrastrukturen och saknar helt handlingsutrymme på en enhet utan det.
GrapheneOS stödjer Pixel 6 och senare. Du behöver inte ge upp smidighet: du kan installera Sandboxed Google Play i en isolerad profil om du vill ha tillgång till Play-appar utan att ge dem systemrättigheter.
→ Vår guide: GrapheneOS – Nästa nivå
Om du har en vanlig Android-telefon: installera F-Droid och alla appar du behöver innan september 2026. Redan installerade appar påverkas sannolikt inte av blockeringen direkt utan det är installationsflödet som låses.
F-Droid: f-droid.org
Om du stannar på vanlig Android bör du aktivera Utvecklaralternativ redan nu. Det gör att du är halvvägs i mål. När Google väl aktiverar spärrarna globalt (planerat till hösten 2026) kommer ett helt nytt val att dyka upp i menyn som kräver en obligatorisk 24-timmars väntetid innan du får installera appar.
Steg 1: Gör detta redan nu (Aktivera Utvecklarläge)
Steg 2: Gör detta i höst (När Googles nya spärr dyker upp på din telefon)
När du efter augusti/september 2026 försöker installera en app utanför Google Play, kommer installationen att blockeras. Då måste du aktivera den nya sideloading-behörigheten inuti dina utvecklarinställningar:
Obs: Du behöver inte ha USB-felsökning aktiverat för detta. Hela denna process styrs i bakgrunden via Google Play Services, vilket innebär att Google kan rulla ut eller ändra dessa menyer på din telefon när som helst utan att du gör en vanlig systemuppdatering.
Kampanjsajten keepandroidopen.org samlar underskrifter och information. EFF, F-Droid och Privacy Guides uppmärksammar frågan.
Du kan också tipsa IMY – Integritetsskyddsmyndigheten (Sveriges GDPR-tillsynsmyndighet) om Cloud Fraud Defense och Developer Verification. Tips påverkar vilka företeelser IMY väljer att granska. Du behöver inte vara personligt berörd och kan vara anonym.
Skicka tips till:
E-post: imy@imy.se
Eller via brev: Integritetsskyddsmyndigheten, Box 8114, 104 20 Stockholm
imy.se – Lämna klagomål eller tips
Till: Integritetsskyddsmyndigheten (IMY)
Ärende: Tips – Google Cloud Fraud Defense och Android Developer Verification
Jag vill tipsa IMY om två förändringar som Google genomför under 2025–2026 och som bedöms ha allvarliga konsekvenser för personlig integritet och öppen mjukvarudistribution inom EU.
1. Google Cloud Fraud Defense (aktivt maj 2026)
Googles nya reCAPTCHA-system kräver att besökare verifierar sig via QR-kod som valideras
mot Google Play Services. Bakom kulisserna används Play Integrity API, hårdvaruattestation,
som kryptografiskt bekräftar att enheten kör ett Google-certifierat operativsystem. En lyckad
verifiering innebär att Google kopplar samman en specifik enhet med ett specifikt webbplatsbesök
vid en specifik tidpunkt. Miljontals webbplatser migrerades automatiskt utan opt-out.
Systemet uppnår i praktiken samma funktion som det avvisade Web Environment Integrity-förslaget (WEI),
men utan standardiseringsprocess och utan möjlighet till extern granskning.
2. Android Developer Verification (september 2026)
Från september 2026 blockeras Android-appar vars utvecklare inte registrerat sig centralt
hos Google, betalat en avgift och lämnat in statligt utfärdat ID. Det drabbar F-Droid,
hobbyprojekt och intern företagsprogramvara. Processen för att kringgå blockeringen
körs via Google Play Services, inte Android-OS:et, vilket innebär att Google ensidigt
kan skärpa eller stänga den utan OS-uppdatering.
Jag anser att båda systemen är relevanta ur GDPR-perspektiv (artikel 5, 6 och 25) samt ur ett konkurrensperspektiv, och uppmanar IMY att uppmärksamma frågan och vid behov samverka med övriga europeiska tillsynsmyndigheter.
Källor:
– keepandroidopen.org
– Googles blogginlägg om Developer Verification - https://android-developers.googleblog.com/2026/03/android-developer-verification.html
– PrivateCAPTCHA: Cloud Fraud Defense är WEI ompackad - https://privatecaptcha.com/blog/google-cloud-fraud-defence-wei/
Google annonserade Cloud Fraud Defense den 22 april 2026 på Google Cloud Next. Befintliga reCAPTCHA-kunder migrerades automatiskt utan varning och utan åtgärd. Det nya systemet är aktivt nu.
reCAPTCHA är Googles system för att skilja mänskliga besökare från automatiserade bottar. Tidigare innebar det att lösa bildpussel ("välj alla bilar", "välj alla trafikljus"). Tråkigt men universellt: det fungerade oavsett vilket operativsystem eller vilken telefon du hade.
Istället för bildpussel presenteras nu en QR-kod som du måste skanna med din telefon. Låter enkelt. Men tekniken bakom är en fundamental förändring:
I juni 2023 lanserade en Google-ingenjör ett förslag i Chromium-projektet kallat Web Environment Integrity (WEI). Idén: webbläsare ska begära en kryptografisk attestation från enhetens hårdvara som bevisar att webbläsaren är omodifierad och kör på Google-certifierad hårdvara.
Förslaget möttes av massiv kritik från webbläsartillverkare, integritetsförespråkare och standardiseringsorgan. Google la ned det.
Cloud Fraud Defense uppnår i praktiken samma sak men som en kommersiell produkt, via reCAPTCHA, utan att behöva gå via standardiseringsorgan, och utan att presenteras som ett webbplattformsförslag som kan granskas och avvisas.
Attestation (intygsgivning) innebär att din enhets hårdvara kryptografiskt bevisar att den kör ett certifierat, omodifierat operativsystem. Webbtjänsten får en signerad bekräftelse från Googles servrar: "den här enheten är godkänd." Enheter utan Google-certifiering (GrapheneOS, CalyxOS, anpassade ROM:s) kan inte skicka en sådan bekräftelse.
Det är inte en bugg. Det är avsikten med systemet.
| Operativsystem | Play Services? | reCAPTCHA QR | Konsekvens |
|---|---|---|---|
| Vanlig Android (Samsung, Pixel, OnePlus) | Ja | Fungerar | Dina webbplatsbesök kopplas till din enhet |
| GrapheneOS (utan Sandboxed Play) | Nej | Blockeras | Kan inte passera QR-verifiering |
| GrapheneOS (med Sandboxed Play) | Ja (sandlåda) | Fungerar troligen | GrapheneOS implementerar Play Integrity API via Sandboxed Play. Kräver att enheten har hårdvarubaserad nyckelintegritet (TEE) – gäller alla stödda Pixel-modeller. |
| CalyxOS | Nej (som standard) | Blockeras | Kan inte passera QR-verifiering |
| /e/OS | Nej | Blockeras | Kan inte passera QR-verifiering |
| iPhone (iOS) | N/A (Apple Attest) | Fungerar | Apple vet vilka webbplatser du besöker |
Även om du har en vanlig Android-telefon och QR-verifieringen "fungerar" skapar det ett allvarligt integritetsproblem:
Systemet är i praktiken ett globalt webbplatsbesöksregister kopplat till certifierade hårdvaruidentiteter, drivet av ett privat bolag utan reglerad åtkomst eller ändamålsbegränsning.
Molnlagringstjänsten MEGA, känd för att värna om användarintegritet, varnade sina användare explicit: de utan "certifierad enhet" kan inte längre verifiera via QR-flödet. MEGA flaggade också att Google kan ta bort de kvarvarande fallback-metoderna (de små ikonerna under verifieringsprompten) när som helst.
Under QR-koden visas i många fall fortfarande en liten länk eller ikon som leder till det gamla bildpusselsystemet. Klicka där. Det fungerar för nu men Google kan ta bort det utan förvarning.
Är det borta: prova att ladda om sidan, byta webbläsare (Brave, Firefox med uBlock Origin) eller använda Tor Browser.
Tor Browser förändrar din nätverksidentitet radikalt och undviker ofta att trigga "misstänkt trafik"-flaggor som utlöser CAPTCHA-utmaningar överhuvudtaget. Det löser inte attestationsproblemet fundamentalt men minskar exponeringen.
Det finns integritetsrespekterande CAPTCHA-alternativ som inte kräver Google Play Services:
Om du driver en webbplats: överväg att byta. Om du är kund någonstans som använder Google reCAPTCHA: kontakta dem och be dem byta.
Tjänster som privatecaptcha.com erbjuder drop-in-ersättningar för reCAPTCHA utan hårdvaruattestation. Sprid länken till webbplatsutvecklare i ditt nätverk.
Systemets räckvidd beror på adoption. Webbplatser som byter bort Google reCAPTCHA påverkar inte dig. Skriv till webbplatser du använder och berätta att de stänger ute integritetsmedvetna användare.
Hänvisa till: privatecaptcha.com/blog/google-cloud-fraud-defence-wei
Betraktat var för sig kan varje förändring förklaras bort med "säkerhet" och "skydda användarna". Betraktat tillsammans är mönstret tydligt:
Ars Technica sammanfattade det som: "Googles Apple-avundsjuka hotar att rasera Androids öppna arv." Det är en träffsäker formulering. Android såldes som det öppna alternativet till iPhone. Den loftet håller på att återkallas på hårdvara som redan finns i folks fickor.
Google bryter inte nödvändigtvis mot lag. Men de gör förändringar som retroaktivt förändrar villkoren för hårdvara du redan äger. Det är en affärsmodellsbeslut förpackat som säkerhetsfunktion. Du har rätt att rösta med dina köpbeslut och med vad du väljer att installera.
Det finns tre nivåer av svar, beroende på hur mycket du är beredd att göra:
Bra. Du är den grupp som inte drabbas av Developer Verification-blockeringen. Fokus för dig är reCAPTCHA-fallbacks och att använda Tor Browser eller Brave för webbsurfing, samt att kontakta webbplatser om CAPTCHA-problemet.