Google, Android'de sideloading'i kısıtlıyor

Aslında sideloading için yalnızca "güvenilir imzalayan sistemi" eklenip bunun DigiCert gibi üçüncü taraf sertifika otoritelerine açılması halinde, en azından APK’nin güvenilir olup olmadığı doğrulanabilir. Sorun, Google’ın bunu Play Store’a bırakacak şekilde tasarlamış olması. Ama Google Play Store kötü amaçlı uygulamaları gerçekten iyi yakalıyor mu derseniz, orası şüpheli; bir de Google Play politikalarına aykırı uygulamalar var....

Yazının kendisi niyet açısından şüphe uyandırıyor ama gerçek kullanımda giderek daha can sıkıcı hale geldiği de bir gerçek.
Zaten Galaxy cihazlarda kötü amaçlı olduğundan şüphelenilen uygulamaları engelleme gibi özellikleri artık kapatamayacak şekilde ayarlamışlar. Aşma yöntemleri var ama bu tür kısıtlamaları giderek artırıyorlar.
Hafif kullanıcılar sideloading’i neredeyse hiç kullanmadığı ve kötü amaçlı kodların çalıştırılmasını engelleyebildiği için bu iyi bir özellik olabilir, ama en azından kapatılabilir olması gerekmiyor mu?

Pixel’in resmi olarak satışa çıkmasını istiyordum ama Google da benzer şeyler yapıyorsa...

Hacker News görüşleri

• Böyle bir zamanda blog yazısı yayımlanmasının gerçekten garip bir zamanlama olduğu yönünde bir tepki var; belki de aylar önce hazırlanmış bir yazı ancak şimdi yayımlandı diye sorgulanıyor. Bu pilot programın 1 yıl 4 ay önce Singapur'da duyurulmuş olduğu bilgisi paylaşılıyor. Kapsamın Singapur'la sınırlı olduğu ve yalnızca belirli izinlere ihtiyaç duyan uygulamaları kapsadığı belirtiliyor (ör. RECEIVE_SMS, READ_SMS, BIND_NOTIFICATIONS, erişilebilirlik izinleri). Yalnızca uygulama mağazası dışından doğrudan indirilen uygulamalar etkileniyor; F-Droid veya adb ile kurulumun sorun olmadığı söyleniyor. Play Protect özelliğini kapatarak aşmaya çalışmanın mümkün olabileceği, ancak bunun Singapur'da gerçekten uygulanabilir olup olmadığının bilinmediği ekleniyor. Google'ın yaratıcı bir şekilde arama sırasında Play Protect'i kapatmayı engellediği ve bunun akıllıca bir karar olduğu övülüyor. Singapur polisinin açıklamasına göre bu yaklaşımın pratikte çok etkili olmadığı da alıntılanıyor; mağdurlara APK dosyası kurmadan önce Google Play Protect'i kapatmalarının söylendiği, hatta dolandırıcıların bankaların koruma teknolojilerini aşmak için VPN uygulamaları da yüklettiği örnek veriliyor (https://police.gov.sg/media-room/news/…)

  • Singapur halkının dolandırıcılığa özellikle açık olduğuna dair verilere değiniliyor. Geçen yıl on binlerce kişinin mağdur olduğu ve toplam 1,1 milyar Singapur doları kaybedildiği, bunun da bir önceki yıla göre %70 artış olduğu belirtiliyor. Global Anti-Scam Alliance istatistiklerine göre gerçek sayının bildirilen vakalardan da yüksek olabileceğine dair kişisel gözlem paylaşılıyor. Singapur'un neden hedef alındığı ise zenginlik, dijitalleşme ve kurallara uyma kültürüyle açıklanıyor (https://archive.is/fCmW1)

  • Purism blog yazısının neden şimdi yayımlandığının belirsiz olduğu söyleniyor; bunun sadece pazarlama amaçlı bir FUD (korku, belirsizlik ve şüphe) olduğu düşünülüyor. PureOS tabanlı Librem 5 ve Liberty Phones doğrudan anılıyor ve bunların APK çalıştırıp çalıştıramadığı sorgulanıyor. Bunun ancak Sailfish'te mümkün olduğu, onun da lisans konuları nedeniyle istisna olduğu ekleniyor. Purism'in Phosh gibi dokunmatik Linux geliştirmelerine çok yatırım yaptığı kabul edilse de Linux dokunmatik ortamının hâlâ çok zayıf olduğu vurgulanıyor. Yazının, doğrudan etkilenmedikleri bir konuda ana akım alternatifleri kötü gösterip kendi ürünlerini pazarlamaya çalışma amacı taşıdığı düşünülüyor.

  • Google'ın App Store ile ilgili davada aleyhine karar verilmesinden önce mi sonra mı olduğunun önemli olduğu söyleniyor. Kullanıcının hem korunup hem de özgür kalabileceği dengeyi kurmanın zor olduğu vurgulanıyor. Kullanıcıların güvenlik uyarılarına alıştıkça sonunda onları görmezden geldiği belirtiliyor. Play Store'un da tamamen güvenli sayılamayacağı, hatta kamuya açık Android kullanıcı GPS verilerinin bile resmî uygulamaların kötü niyetli davranışlarını gösterebildiği öne sürülüyor. Sonuçta kırılgan kullanıcılar için akıllı ve güvenilir bir üçüncü tarafın cihaz yöneticisi yetkisine sahip olmasının bir çözüm olabileceği düşünülüyor.

• Yazının dolu içerikten çok Purism reklamına benzediği görüşü var.

  • Bunun reklam olduğunu fark eder etmez tüm içeriği anlamsız bulduğunu söyleyen bir yorum var; daha iyi bir bağlantı isteniyor.

  • Upvote sayısına bakılırsa birçok kişinin Android'in gidişatı konusunda endişe duyduğu ve alternatiflerle ilgilendiği düşünülüyor.

• Bunun 2024'teki konu değil miydi diye soruluyor (https://techcrunch.com/2024/02/…)

• Singapur'da ilk kez uygulanan pilot program için, yalnızca belirli izinleri isteyen uygulamaların (SMS, erişilebilirlik) web tarayıcısı / mesajlaşma uygulaması / dosya yöneticisi üzerinden kurulması durumunda engellendiği açıklanıyor. Şartların çok ayrıntılı olması nedeniyle ileri düzey kullanıcıların istedikleri uygulamaları hâlâ kurabileceği söyleniyor. Bunun, ortalama kullanıcıların SMS veya erişilebilirlik izni isteyen riskli sideloading işlemlerini kolayca yapamaması için tasarlanmış bir önlem olduğu değerlendiriliyor. Singapur Siber Güvenlik Ajansı ile iş birliği içinde dolandırıcılık ve malware'i önlemek amacıyla uygulandığı ve bu yüzden yalnızca Singapur'da geçerli olduğu vurgulanıyor.

  • Bu tür kısıtlamaların pratikte kitlesel pazarda rekabet karşıtı işleyebileceği belirtiliyor. Teknik bilgisi olan azınlık kurulum yapabilse de çoğunluğun Google'ın kontrol ettiği bir “çitli alan” içinde kalacağı, Google ve Apple'ın da üçüncü taraf uygulamalar konusunda kullanıcıyı korkutan dil kullanarak bu bariyerleri psikolojik olarak güçlendirdiği söyleniyor. Bunun düzenlemeyle ortadan kaldırılması gereken bir tür “zihin kontrolü” olduğu savunuluyor.

  • “Yalnızca Singapur'da” ifadesinin öyle rahatlatıcı bir gerekçe olmadığı vurgulanıyor; tarayıcı ve dosya yöneticisinin sıradan dosya taşıma araçları olduğu, dolayısıyla bu şartın da pek güven vermediği söyleniyor.

  • ADB de engellenmedikçe “sideloading engeli” ifadesinin tam doğru olmadığı söyleniyor. Sonuçta kullanıcıyı malware'den korumakla, istediği uygulamayı kurma özgürlüğünü garanti etmek arasında denge kurulmasının şart olduğu belirtiliyor.

  • Bir yorumcu, Singapurlu bir müşteriyle çalışırken SingPass (ulusal dijital kimlik doğrulama sistemi) entegrasyonu yapmasının istendiğini hatırlatıyor; artık o müşteriyle çalışmasa da bunun kod tabanının bir yerinde hâlâ durduğunu söylüyor.

  • İstenirse başka bölgelerin de her an eklenebileceği, bu yüzden yalnızca Singapur'la sınırlı olmasına güvenilmemesi gerektiği söyleniyor. Google'ın bunun yerine uygulamalara “sahte izinler” verme teknolojisine yönelmesinin daha iyi olacağı, aksi hâlde suçluların başka yollar bulacağı savunuluyor.

• Yorumlarda gündem olan “sideloading sorunu GrapheneOS kurarak çözülür” iddiasının, çoğu sıradan kullanıcıdan kopuk bir cevap olduğu söyleniyor. HN kullanıcılarının donanım düzeyinde hata ayıklama bile yapabildiği, ancak normal insanların bu tür sistem düzeyi ayarları yapamayacağı hatırlatılıyor.

  • Bir kişi, bir zamanlar Linux forumlarında karmaşık CLI kullanımını doğal kabul eden cevaplar yüzünden afalladığını anlatıyor. Basit ve anlaşılır çözümler arayan acemiler için uzman toplulukların önyargılı bakışının yaygınlaşmayı zorlaştırabileceği söyleniyor.

  • Çoğu insanın “ortalama” deneyimin nasıl olduğunu aslında pek bilmediği, uzman topluluklarda bu algı bozulmasının daha da arttığı ve sonuçta çoğunluğun gerçek kullanımına uzak yorumlar ortaya çıktığı düşünülüyor.

  • Genel kullanıcıların çoğu sideloading yapmıyor; ihtiyaç duyduğu uygulamayı bir kez kurup sonra hep aynı uygulamaları kullanma eğiliminde oldukları söyleniyor.

  • Sıradan insanların SMS veya erişilebilirlik izni isteyen sideload edilmiş bir uygulamanın meşru olup olmadığını ayırt edemediği, dolayısıyla bu tür işlevlere yönelik engellemenin temel amacının “ortalama kullanıcıyı yanlış kullanımdan korumak” olduğu vurgulanıyor.

  • Google'ın DRM teknolojileri ve API'ler eklemesiyle birlikte gelecekte GrapheneOS kurmanın bile pratik bir alternatif olmaktan çıkacağı, o noktada alternatif bir OS kullanmak için Android ekosisteminden tümüyle ayrılmak gerekeceği konusunda kaygı dile getiriliyor.

• Bir yorumcu, normalde “telefon bana ait, istediğimi yapabilmeliyim” görüşünde olduğunu ama DJI drone'ları ve Air Units kullanırken uygulama sideload etmeye fiilen zorlanmanın kendisini sarstığını söylüyor. DJI'ın Play Store'da yer alamama nedeninin, uygulamanın kendi kodunu değiştirebilmesi olduğu anlatılıyor. Politik çatışma durumunda devlet kontrollü malware'in drone'u uzaktan yönetebilme riskine karşı uyarı yapılıyor. Milyonlarca kişinin durumun ciddiyetini tam anlamadan bu uygulamayı kurduğu vurgulanıyor.

  • Bu sorunun çözümünün, Google'ın göstermelik malware taraması değil, DJI uygulamasının gerçekte yapabileceği izin ve işlevleri daha güçlü şekilde sınırlamak olduğu savunuluyor. Google'ın asıl motivasyonunun güvenlikten çok kontrolü artırmak olduğu düşünülüyor.

  • Bu bağlamda gerçek “istediğimi yapabilme” özgürlüğünün yazılım için de geçerli olması gerektiği söyleniyor. Richard Stallman'ın 1988'de dile getirdiği “kaynak kodunu alıp değiştirebilme özgürlüğü”nün bugün de geçerli olduğu, ancak gerçekte yazılımın kullanıcıyı kontrol eden tarafa dönüştüğü ifade ediliyor. Devletlerin yazılım kodu üzerinde egemenlik kurmasının, yalnızca tüketici haklarını değil daha ciddi alanları da tehdit edeceği ileri sürülüyor.

  • Hatta ülkelerin OEM'ler üzerinden bu işlevi zaten yerleştirdiği söyleniyor; sideloading engelinin ise yalnızca hacker'ların bu gömülü malware'i devre dışı bırakmasını zorlaştırdığı savunuluyor.

  • Uygulamanın kendi kendini değiştirmesinin çok da anlamlı olmadığı, çünkü bir uygulamaya V8 motoru gömülerek zaten istenildiği kadar kod değiştirilebileceği örnek gösteriliyor. Buna rağmen Google'ın bu yaklaşımı sorun etmiyor oluşundaki ironiye dikkat çekiliyor.

  • DJI drone uygulamasının tehlikelerine dikkat çeken ilk yorumun neden eksi oy aldığının anlaşılmadığı söyleniyor. Yakın zamanda Çin yapımı güneş panellerinde gerçekten bir kill switch bulunduğu örneği verilerek, devletle yakın ilişkili Çinli şirketlerin donanım ve yazılımlarına şüpheli özellikler koyabileceği iddia ediliyor (https://reuters.com/sustainability/climate-energy/…, https://rickscott.senate.gov/2025/6/…)

• GrapheneOS kurulumunun sideloading kısıtlarını aşabildiği, ancak son dönemde Google'ın Play Integrity API üzerinden uygulama işlevlerini giderek yalnızca Play Store kurulumuna bağladığı belirtiliyor. GrapheneOS'ta bootloader kilitli ve Play Store kullanılıyor olsa bile Google'ın donanım doğrulama API kullanımını engellediği, bu yüzden bankacılık uygulamaları ve Google Wallet gibi işlevlerin çalışmadığı söyleniyor. Güvenlik güncellemelerini geciktiren kötü üreticilere göz yumulurken, güvenliği çok güçlü olan açık kaynak bir OS'nin dışlanması eleştiriliyor. Singapore Cyber Security Agency ile ortak çalışılıyor olmasının sadece bir tür meşruiyet sağlama aracı olduğu, örneğin Facebook/Instagram gibi uygulamaların da engellenmesi gerekirken neden engellenmediğinin sorulması gerektiği söyleniyor (https://localmess.github.io, https://grapheneos.social/@GrapheneOS/112878070618462132)

  • Google'ın üçüncü taraflara gevşek güvenlik uygulamalarını tolere ederken aslında asıl hedefinin güvenlik değil, doğrudan kontrol olduğu düşünülüyor.

  • GrapheneOS'un en büyük sorununun desteklediği cihaz sayısının çok az olması olduğu, belirli bir donanıma bağımlı kalmadan makul güvenlik sunan bir alternatife ihtiyaç bulunduğu söyleniyor.

  • Android anahtar doğrulama API'sinin GrapheneOS'ta da desteklendiği ve geliştiriciler tarafından entegre edilebildiği belirtiliyor (https://grapheneos.org/articles/attestation-compatibility-guide)

  • “GrapheneOS kurunca çözülür” iddiasına verilmiş doğrudan yanıtın zaten daha önce paylaşıldığı hatırlatılarak ilgili bağlantı veriliyor (https://news.ycombinator.com/item?id=32496220)

• Bu önlemin görme engelli topluluklar için ciddi zarar verebileceği endişesi dile getiriliyor. Android'in popüler, iPhone'un ise pahalı olduğu ülkelerde Commentary (Jieshuo) ekran okuyucusunun TalkBack'e göre daha iyi bir alternatif olduğu, ancak tekil Çinli geliştiricilerce yapıldığı için Play Store'da bulunmadığı belirtiliyor. Bu tür uygulamaların tüm ekranı okuyabilmek ve sistem arayüzünü kontrol edebilmek için çok geniş izinler istemesi gerektiği, hassas uygulamalara erişimleri engellenirse ekran okuyucu olarak varlık nedenlerinin ortadan kalkacağı söyleniyor. Google çalışanlarının Webaim verilerine bakıp kullanımın düşük olduğunu söyleyebileceği, ancak Webaim örnekleminin büyük ölçüde yüksek gelirli İngilizce konuşan kullanıcılardan oluştuğu ve küresel kullanım alışkanlıklarını temsil etmediği eleştirisi yapılıyor (https://webaim.org/projects/screenreadersurvey10/)

• Bu tasarım niyetinin aslında makul ve sağduyulu olduğu görüşü de var. ADB ile malware yüklenmesi hâlâ mümkün olsa da giriş eşiğinin yükselmesi sayesinde sıradan kullanıcılar için bir hız tümseği etkisi yarattığı, ayrıca haksız yere ayrımcılığa uğrayan çok bilinen bir sideloading uygulaması örneğinin de görülmediği söyleniyor.

  • Üçüncü taraf alternatif uygulama mağazalarının zaten bulunduğu hatırlatılıyor (ör. Epic v. Google). Android'in açıklık ve kullanıcı tercih özgürlüğüyle öne çıktığı düşünülünce, ADB temelli yaklaşımın Apple'ın sideloading modelinden bile daha kısıtlayıcı olabileceği söyleniyor. Apple bu yüzden eleştirildiyse burada da benzer bir sorun olduğu savunuluyor.

• Temelde neden gizlilik/kişisel veri izinleri isteyen uygulamaların (SMS, erişilebilirlik vb.) engellenmesinin önemli olduğu açıklanıyor. Yalnızca SMS izniyle OTP dahil birçok hizmetin giriş bilgileri çalınabilir; erişilebilirlik izniyle de bankacılık uygulamaları gibi kritik işlevler manipüle edilebilir. Singapur'da kimlik bilgilerinin alınıp satılması o kadar ciddi bir sorun ki, “tanımadığınız biri telefon numarası veya başka kimlik bilgilerinizi satın almak isterse 5 yıl hapis cezası vardır” şeklinde uyarılar bulunduğu söyleniyor. Banka hesabı ve kredi kartı bilgileri için de benzer durum geçerli. Sonuçta suçta kullanılan kimlik verileri bireyle bağlantılı olduğundan, buna bilerek yardımcı olanlara daha ağır cezalar uygulanıyor.