Alles ala PlayStore geht doch über eine App, welche mit höheren Rechten installiert ist, womit sie dann quasi die Sicherheitseinstellungen umgehen kann.

Installieren über eine URL startet doch auch nur ein lokales Programm, was das dann installiert und da gilt das dann als "unbekannte" Quelle.
Alwo wenn, dann müsste dieses "Programm" dann doch irgendwie über bekannte Domains oder mit bestimmten Signaturen dazu überredet werden, daß es sich hierbei um eine "bekannte" Quelle handelt.