Последствия для ВК от деплатформинга Google

Последствия для ВК от деплатформинга Google

@zatelecom

Контекст на сегодня: Google Play пока не трогал ни VK, ни MAX — оба остаются в каталоге, обновления и пуши работают в штатном режиме. Apple этот путь уже прошла: в начале июня 2026 MAX исчез из App Store, 25 июня — вся экосистема VK (Дзен, VK Видео, VK Музыка, VK Мессенджер, Одноклассники, Mail.ru), и оба раза Apple ссылалась на соблюдение санкционных требований, не уточняя каких именно Apple объяснила удаление Max из магазина приложений соблюдением санкций, не уточнив, каких именно; позже по той же причине из App Store пропали все приложения VK.

Сегодня, 13 июля, ситуация обострилась: Совет ЕС включил в санкционный список саму VK и её дочернюю Коммуникационную платформу — юрлицо MAX, с начала 2026 года переименованное в ООО Max санкции вводятся против компании Коммуникационная платформа, которая в начале 2026 года сменила наименование на ООО Max. Это первый случай санкций против самой VK как компании, а не только персонально против её гендиректора это первый случай, когда под прямые санкции Евросоюза попала сама компания VK; ранее холдинг не находился под западными санкциями, хотя гендиректор VK с 2022 года подпадал под персональные ограничения.

VK утверждает, что на работе сервисов это не сказывается в VK заявили, что санкции ЕС не влияют на работу VK и Max, приложения и сервисы доступны пользователям в привычном режиме — но опыт Apple показывает, что это описание текущего момента, а не гарантия на будущее.

По пунктам — что технически произойдёт, если Google повторит путь Apple.

1. Дистрибуция и обновления — самое безобидное звено

В отличие от закрытой iOS, потеря Google Play на Android не создаёт тупика. Остаются RuStore (российская инфраструктура, санкциям не подчиняется), Huawei AppGallery, Samsung Store, Xiaomi Store и прямой APK с официального сайта даже в самом неблагоприятном сценарии MAX нельзя удалить с Android полностью: RuStore и APK остаются рабочими альтернативами, не зависящими от решений Google.

Более того, реверс-инжиниринг MAX в мае 2026 обнаружил встроенный механизм принудительного обновления с собственных серверов в обход Google Play исследование выявило систему принудительного обновления программы с собственных серверов в обход Google Play, что нарушает правила магазина, но обеспечивает защиту от потенциальных блокировок — команда уже заранее заложила устойчивость именно к этому сценарию.

2. Push-уведомления — реальная уязвимость, но не автоматическая

Ключевое разграничение: листинг в каталоге Google Play и доступ к Firebase Cloud Messaging — разные системы. FCM привязан к проекту конкретного разработчика в Firebase/Google Cloud, а не к статусу приложения в сторе. Само по себе удаление из каталога пуши не ломает.

Проблема наступит, только если Google отдельным решением отключит проект MAX/VK от Firebase — именно это дало эффект на iPhone push-уведомления на Android работают через Firebase от Google; если Google когда-нибудь отключит MAX от Firebase, уведомления перестанут приходить — как это уже произошло на iPhone после удаления из App Store. То есть блокировка пушей — не следствие делистинга, а отдельный, более жёсткий шаг, которого пока не было. Но именно этот шаг теперь подкреплён свежими санкциями: они прямо запрещают юрлицам ЕС предоставлять подсанкционным структурам деньги и экономические ресурсы гражданам и организациям из стран ЕС запрещено предоставлять этим организациям денежные средства и другие экономические ресурсы — под это же основание Apple убрала приложения из стора, и формально оно применимо и к обслуживанию Firebase-проекта ирландским юрлицом Google.

3. DRM (Widevine) — VK Видео

Лицензирование Widevine — тоже отдельная система: доступ к облачному сервису лицензирования выдаётся по отдельному соглашению и организационным credentials, не связанным с Play Console напрямую доступ к облачному сервису лицензирования предоставляется только через уникальные учётные данные конкретной организации-лицензиата. Делистинг из каталога сам по себе Widevine-лицензию не отзывает. Но если Google остановит именно этот договор — параллельно с блокировкой Firebase, тем же решением о прекращении обслуживания подсанкционного юрлица — защищённый контент VK Видео (платные фильмы, лицензионные трансляции, всё, что требует DRM по условиям правообладателя) перестанет открываться в защищённом режиме: устройство не получит ключ дешифровки, и часть каталога отвалится независимо от наличия приложения в Google Play.

4. Play Integrity API — антифрод и платёжные функции

Play Integrity (преемник SafetyNet) проверяет три вещи: целостность бинарника, лицензирован ли аккаунт через Google Play, и не модифицировано ли устройство API помогает проверить, что действия пользователя и запросы к серверу исходят от подлинного неизменённого бинарника, установленного через Google Play и запущенного на подлинном сертифицированном Android-устройстве. Если приложение установлено не через Play, вердикт appLicensingVerdict возвращает UNLICENSED когда appLicensingVerdict возвращает значение UNLICENSED, это означает, что аккаунт не устанавливал и не покупал приложение через Google Play Store — а дальше сам разработчик решает, блокировать функцию или нет.

Для MAX это напрямую касается денежной части суперапп-стратегии (MAX уже продаёт билеты Аэрофлота внутри приложения): при массовом переходе аудитории на RuStore/APK каждый такой пользователь систематически будет получать UNLICENSED, и если антифрод в платёжных сценариях завязан на этот вердикт, его придётся либо ослаблять, либо заменять собственной аттестацией.

5. Прочие встроенные Google-сервисы

Google Sign-In, Maps SDK, reCAPTCHA и другие API на ключах того же аккаунта разработчика в Google Cloud Console технически не привязаны к Play Store, но привязаны к тому же юрлицу. При полном отключении аккаунта (а не только делистинге) они откажут одновременно. Google Play Billing для российского рынка неактуален уже с 2022 года — здесь терять нечего.

6. Подпись приложений и Android Developer Verification — ответ на главный вопрос

Здесь важно развести два механизма. Обычная криптографическая подпись APK собственным ключом разработчика никак не завязана на Google и не меняется: даже если VK/MAX используют Play App Signing (когда Google хранит финальный ключ для сборок из Play), у них остаётся отдельный upload-ключ для сборок под RuStore и прямой APK — этот канал Google в принципе не контролирует.

Проблема в другом — в новом слое, который Google накатывает поверх этого с 2026 года: Android Developer Verification. Здесь верифицируется не приложение, а сам разработчик как юрлицо: юридическое имя, адрес, часто госномер, плюс подтверждение владения пакетом через APK, подписанный собственным приватным ключом разработчики должны подтвердить владение своими приложениями, отправив APK-файлы, подписанные их закрытыми ключами, что позволяет Google связать пакеты приложений с верифицированными аккаунтами разработчиков. Фоновый сервис Android Developer Verifier проверяет это при установке независимо от источника — хоть Google Play, хоть сторонний магазин, хоть ADB сервис устанавливается на телефоны с Android 8 и новее начиная с июня 2026 года и подтверждает, что приложение зарегистрировано у верифицированного разработчика, перед тем как разрешить установку.

Сроки: с 30 сентября 2026 это обязательно только в четырёх странах — Бразилия, Индонезия, Сингапур, Таиланд — и только для перечисленных участвующих магазинов (Google Play, магазины Samsung, Xiaomi, OPPO, vivo, Honor, Transsion) Google установила 30 сентября 2026 года днём начала принудительной верификации разработчиков в первых четырёх странах, и крупнейшие магазины устройств-производителей участвуют с самого начала. России в этом списке нет. Глобальный охват — уже на уровне устройства, для всех приложений на сертифицированных устройствах — запланирован на 2027 год после первого этапа с партнёрами защита будет расширена глобально на все приложения на сертифицированных Android-устройствах в 2027 году.

Дальше — развилка, которая и определяет судьбу MAX/VK. Регистрация разработчика не привязана к наличию аккаунта в Google Play: есть отдельная бесплатная Android Developer Console для тех, кто распространяется только вне Play разработчики, которые распространяют приложения только вне Google Play, могут зарегистрироваться через Android Developer Console уже сегодня. Формально ничто не мешает VK/MAX зарегистрироваться там независимо от судьбы их аккаунта в Play Console — если Google не откажет им в этом отдельно. Делистинг из каталога и отказ в верификации разработчика — два разных решения Google, но при последовательном соблюдении санкций логично ожидать обоих. Если Google откажет, пакеты ВКонтакте, VK Видео, MAX и прочих на всех сертифицированных устройствах после глобального раската 2027 года будут считаться неверифицированными везде — включая RuStore и прямой APK, а не только Google Play.

Практическое следствие для рядового пользователя — не блокировка, а резко возросшее трение: установка одним касанием заменяется либо на ADB, либо на специальный продвинутый сценарий — включить режим разработчика, перезагрузиться, подождать 24 часа, пройти повторную аутентификацию эта процедура заставляет пользователя включить режим разработчика, перезагрузиться, подождать 24 часа и пройти повторную аутентификацию перед установкой приложения от неверифицированного разработчика. Для мессенджера, который позиционируется как национальный стандарт для массовой аудитории, это серьёзная практическая проблема — обычный пользователь, включая нетехнических и пожилых, такой квест не пройдёт.

Отдельно про RuStore: в объявленном списке участвующих магазинов первой фазы (Play, Samsung, Xiaomi, OPPO, vivo, Honor, Transsion) RuStore не фигурирует, и Россия не в четвёрке стран запуска — этой осенью его напрямую не задевает. Но раз глобальная фаза 2027 года описана именно как проверка на уровне устройства для всех приложений на сертифицированных устройствах, а не только для перечисленных магазинов, вопрос, останется ли RuStore исключением, содержательно открыт. Официального ответа Google на это пока не давал; утверждения о том, что RuStore автоматически заблокируют вместе с VK и MAX под угрозу автоматической блокировки попадает и российский магазин приложений RuStore, — это интерпретация авторов конкретного разбора, а не подтверждённая политика Google.

7. Принудительное отключение уже установленных копий — вероятно, нет

У Play Protect технически есть механизм удалённого отключения приложений, подтверждённо применявшийся к настоящему вредоносному ПО. Но использование этого механизма против легитимного, не вредоносного бизнес-приложения исключительно по санкционным основаниям — качественно другой уровень эскалации, прецедента которому пока нет. Утверждение, что уже установленные VK/MAX могут быть принудительно удалены или заблокированы к запуску уже установленные программы система защиты может принудительно удалять или запрещать к запуску, — прогноз конкретного автора, а не объявленная функция верификации разработчиков. Опыт Apple здесь показателен от противного: даже там уже установленные приложения VK и MAX продолжили нормально работать, пострадали только новые установки и обновления пресс-служба Max подтвердила, что установленное ранее приложение продолжит работать на устройствах пользователей в обычном режиме.

Итог

Разница с iOS принципиальна: закрытая экосистема Apple делает удаление из стора почти фатальным событием сразу по всем направлениям, потому что там всё завязано на один канал. На Android сам делистинг из каталога Google Play — наименее опасное звено: RuStore и APK закрывают дистрибуцию. Настоящие риски лежат не в делистинге, а в трёх отдельных, более жёстких решениях Google, ни одно из которых пока не объявлено: отключение Firebase-проекта (пуши), отзыв Widevine-лицензии (DRM VK Видео) и отказ в статусе верифицированного разработчика в рамках Android Developer Verification, который бьёт по установке через любой канал начиная с 2027 года. Юридическая база для всех трёх решений уже есть — сегодняшние санкции ЕС против самой VK и её дочерней структуры дают Google формальные основания поступить так же, как уже поступила Apple.

Report Page