Android uygulama yüklemelerinde, sideloading dahil tüm yöntemler için geliştirici doğrulaması zorunlu olacak

 (9to5google.com)
8 puan yazan GN⁺ 2025-08-26 | 4 yorum | WhatsApp'ta paylaş
  • Google, 2026'dan itibaren yalnızca geliştirici doğrulamasından geçmiş uygulamaların doğrulanmış Android cihazlara yüklenebilmesini sağlayacak bir değişiklik planlıyor
  • Bu politika tüm yükleme yöntemlerine uygulanacak; Play Store dışında üçüncü taraf uygulama mağazaları ve APK dosyasını doğrudan yükleme de buna dahil
  • Google, bu adımı sahte uygulamaların ve kötü amaçlı uygulamaların dağıtımını önlemek ve tekrarlayan kötü niyetli aktörleri engellemeyi güçlendirmek için getirdiğini açıklıyor
  • Ticari olmayan geliştiriciler (öğrenciler, hobi geliştiricileri) ile ticari geliştiriciler için ayrı doğrulama süreçleri hazırlanacak
  • Uygulama önce Eylül 2026'dan itibaren Brezilya, Endonezya, Singapur ve Tayland'da başlayacak, 2027'de ise dünya geneline yayılacak

Google'ın yeni Android uygulama geliştirici doğrulama politikasına genel bakış

  • Google, kötü amaçlı yazılımları ve finansal dolandırıcılığı önlemek için 2026'dan itibaren yalnızca doğrulanmış geliştiriciler tarafından yapılan uygulamaların doğrulanmış Android cihazlara yüklenmesine izin vermeyi planlıyor
  • Bu politika, Play Protect destekli cihazlar ile Google uygulamalarının önceden yüklü geldiği cihazlar için geçerli olacak; yalnızca Play Store'u değil, üçüncü taraf uygulama mağazalarını ve APK'nın doğrudan sideload edilmesini de kapsayacak

Politikanın ayrıntıları

  • 2023'te Play Store için benzer bir geliştirici doğrulama şartı zaten getirilmişti; bundan sonra ise tüm yükleme/dağıtım yollarına aynı şekilde uygulanacak
  • Google, bunu “havaalanındaki kimlik kontrolüne (ID check)” benzetiyor ve uygulamanın içeriğine ya da kökenine bakmaksızın yalnızca geliştiricinin kimliğini doğruladığını söylüyor
  • Amaç, kötü amaçlı uygulama dağıtan kişilerin bir uygulama kaldırıldıktan hemen sonra yeni zararlı uygulamalar yayımlamasını engellemek ve inandırıcı sahte uygulamaların verdiği zararı azaltmak
  • Google'ın araştırmasına göre internet üzerinden sideload edilen uygulamalardaki kötü amaçlı yazılım oranı, Play Store'a kıyasla 50 kat daha yüksek

Kullanıcılar ve geliştiriciler üzerindeki etkiler

  • Uygulama dağıtım özgürlüğü korunacak; geliştiriciler uygulamalarını kullanıcılara istedikleri yöntemle sunabilecek
  • Yalnızca Google Play dışında dağıtım yapan geliştiriciler için ayrı bir Android Developer Console oluşturulacak ve öğrenci/hobi geliştiricileri için ticari geliştiricilerden farklı bir doğrulama akışı sunulacak
  • Google Play üzerinden dağıtım yapan geliştiriciler, ilgili gereklilikleri büyük olasılıkla zaten Play Console üzerinden karşılamış olacak (kurumlar için D-U-N-S numarası gerekiyor)
  • Bazı geliştiriciler doğrulama sürecine Ekim 2024'ten itibaren başlayabilecek ve sistemin Mart 2026'da tamamen açılması planlanıyor

Takvim ve uygulanacağı ülkeler

  • Eylül 2026'da ilk uygulanacak ülkeler Brezilya, Endonezya, Singapur ve Tayland olacak
    Bunun nedeni, bu ülkelerde ilgili dolandırıcılık amaçlı uygulamalardan doğan zararın özellikle yüksek olması
  • 2027'den itibaren küresel ölçekte tam uygulama planlanıyor
  • Belirli bölgelerdeki doğrulanmış Android cihazlara yalnızca doğrulanmış geliştiriciler tarafından kaydedilmiş uygulamalar yüklenebilecek

Başlıca kurumlar ve hükümetlerin tepkileri

  • Endonezya İletişim ve Enformasyon Bakanlığı, bunun “Android'in açıklığını korurken kullanıcı korumasını dengeli biçimde sağladığını” değerlendirdi
  • Tayland Dijital Ekonomi ve Toplum Bakanlığı, bunu “olumlu ve proaktif bir güvenlik önlemi” olarak nitelendirerek ülkenin dijital güvenlik politikalarıyla uyumlu olduğunu belirtti
  • Brezilya Bankalar Federasyonu (FEBRABAN), bunu “kullanıcı koruması ve hesap verebilirliğin sağlanması açısından anlamlı bir ilerleme” olarak değerlendirdi

İlgili okumalar

4 yorum

 
bus710 2025-08-27

Ben audio share adlı bir uygulamayı F-Droid'den sadece APK olarak indirip kullanıyorum; bunun ileride ne olacağını merak ediyorum. Zira yan yükleme yaptığım tek uygulama bu...
 
unsure4000 2025-08-26

Eğer sideloading fiilen engelleniyorsa, bana göre iOS’a kıyasla sunduğu avantaj azalıyor. Bence ikisi de neredeyse benzer işlevler sunuyor ve UX tarafında iOS biraz daha üstün; çünkü sideloading’in Android’in büyük avantajlarından biri olduğunu düşünüyorum. Google Pixel’e GrapheneOS yükleyip kullanmak bir hayalimdi ama Pixel kaynaklarının kapatılmasından sonra şimdi de sideloading’in fiilen engellenmesi gündeme geliyorsa, benim açımdan Android kullanmak için bir sebep kalmıyor. Bu haliyle çıkarsa 2027’de tekrar iOS’a dönebilirim.
 
tribela 2025-08-26

Uygulamayı tek başına geliştirip kendi kullanan kişilerin de geliştirici doğrulaması alması gerekip gerekmediği konusunda endişeliyim..
 
GN⁺ 2025-08-26
Hacker News görüşü

  • Google'ın Android cihaz ekosisteminin tamamında uygulama dağıtan geliştiricilerin kimliğini doğrulama kararı, kabul etmesi son derece güç bir şey; bu, adeta Windows'ta bir program çalıştırmak için Microsoft'a kişisel bilgilerimi vermek zorundaymışım gibi. Böyle bir politikanın istenen yönde sonuçlanacağını sanmıyorum.

    • Bana göre yakın gelecekte, Google politika değiştirmeden önce bile Microsoft Windows'ta aynı yola girebilir; bu, kötü amaçlı yazılım sorunu, platform kontrolü ve devlet düzenlemelerinin birleştiği bir gelecek.
    • Hiçbir zaman “telefon” programlamasına ciddi biçimde girmedim ama piyasanın oturmasını bekledim; buna rağmen durum daha da kötüye gidiyor. Üstelik dünyada telefonu tek bilgi işlem cihazı olan çok insan var.
    • Google'ın tüm ekosistemi sıkıca kontrol ettiği hissine kapılıyorum. Son dönemde akıllı telefon üreticileri cihaz kilidini açmayı veya modifiye etmeyi giderek zorlaştırıyor; Google ve uygulama geliştiricileri de donanımsal TPM benzeri teknolojilerle cihazın Google tarafından onaylanmış bir sistem çalıştırıp çalıştırmadığını doğrulama yönünde ilerliyor. Alternatif platformlar uygulama ekosistemi açısından hâlâ onlarca yıl geride olduğu için, Google'ın böyle bir politikayı doğrudan dayatabileceğini düşünüyorum.
    • Microsoft Windows da aynı yöne gidiyor. Smart App Control özelliği bazı bölgelerde uygulanmaya başladı ve kod imzalama sertifikası olmadan .exe dosyaları çalışmıyor. Smart App Control hakkında daha fazla bilgi
    • Birçok kişi böyle politikalara karşı çıkabilir ama gerçekte seçenek çok az. iOS'a geçmek özgürlük getirmiyor, Linux telefonlar da henüz günlük kullanım için uygun değil; bu durumda uygulama yüklemenin bile zor olduğu eski tip telefonlara mı dönmek gerekiyor diye insan merak ediyor.

  • Son dönemde akıllı telefon işletim sistemi sadece iki tane iken böyle bir şeyin yaşanması son derece ciddi bir sorun. Şifrelemeyi tamamen yasaklamanın bir yolu olmadığı için, hükümetler güvenlik ve gizliliği bu tür kimlik doğrulama yöntemleriyle yavaş yavaş aşındırıyor. Google'ın resmi politika sayfasında da “resmi kimlik yükleme gerekli” ifadesi yer alıyor. Politika bilgisi Sonunda insanların öfkesi nedeniyle Google'ın ya da hükümetlerin bu politikaları geri çekmek zorunda kalacağını düşünüyorum; mümkün olduğunca alternatif mobil işletim sistemlerine geçilmesini tavsiye ederim.

    • Bunun halk öfkesine dönüşeceğini düşünüyorum ama pratikte buna ilgi duyan insan sayısı çok az olacaktır ve konunun büyümesi de zor görünüyor. Hatta mevcut uygulama sideloading davaları bile ancak Epic gibi büyük şirketlerin çıkarlarıyla doğrudan bağlantılı olduğu için mümkün olabildi.
    • Akıllı telefon pazarında yalnızca iki büyük işletim sistemi olması başlı başına sıra dışı bir durum değil. Masaüstü işletim sistemi pazarı da benzer yapıdaydı; sonuçta mesele kullanıcı beklentileri.
    • Play Protect sertifikası olmayan alternatif bir işletim sistemi yüklemenin tam olarak ne sorunu var, merak ediyorum.
    • Mevcut totaliter eğilimin kolayca sona ereceğini sanmıyorum.
    • Halk tepkisiyle böyle politikaların geri çekileceğine inanmak gerçekçi değil. Sonuçta oy vererek ya da başka yollarla etki yaratılabileceği söylense de, adayların çoğu Google gibi şirketlerin etkisi altında olduğundan yapısal sınırlar çok açık.

  • Son 10 yılda Android ve iOS'tan giderek daha fazla rahatsız olmaya başladım. Platformlar kullanıcıya daha düşmanca hale geliyor; uygulama mağazaları ise gizlilik ihlali, takip, reklam ve bağımlılık unsurlarıyla dolu düşük kaliteli uygulamalarla taşmış durumda. Erken dönem mobil uygulama inovasyonunu özlüyorum, Palm Pilot günlerini özlüyorum. Birinin gerçekten bu sorunu çözüp çözmediğini merak ediyorum; çünkü çok daha iyi bir dijital ortam kurabileceğimiz açık.

    • Gerçek değişimin başlaması için uygulama aboneliklerinden ziyade tek seferlik satın alma modeline dönmek gerekiyor diye düşünüyorum. Ama herkesin açgözlülüğü arttığı için bunun kolay olmayacağı da ortada.
    • Kişisel olarak GrapheneOS ve F-Droid kombinasyonunu kullandığımda gerçekten memnun oluyorum. Başkalarının akıllı telefonlarını kullanınca hep şaşırıyorum. GrapheneOS kendi cihazını çıkarırsa kesin alıp aktif şekilde tavsiye etmek isterim.
    • Almanya'daki Vollo, özel Android ve Ubuntu Touch'ı seçmeli olarak çalıştırabilen cazip cihazlar satıyor; Hollanda'da ise Fairphone gibi seçenekler var. Vollo Fairphone
    • Android ve iOS'un eski “nostaljik dönemini” bugün de yeterince yaşayabilirsiniz. Aynı zamanda LLM gibi yeni değişim çağının tadını da kısa süreliğine çıkarmak gerek.
    • Akıllı telefon platformları gerçekten çok ciddi bir durumda ve bazı kullanıcılar şimdiden akıllı telefonlardan uzaklaşmaya küçük adımlarla başlamış durumda. Yine de bunun kitleselleşeceğini sanmıyorum.

  • “Geliştiricilere sideloading ya da herhangi bir uygulama mağazası arasında seçim hakkı veriyoruz, açık sistemin tanımı budur” sloganına rağmen, gerçekte sistem giderek daha kapalı hale geliyor. Özellikle “Developer’s Alliance” gibi kuruluşların bu politikayı desteklemesi, gerçekten geliştiricilerin yararını düşünüp düşünmedikleri konusunda soru işareti yaratıyor. Bana göre bu tür politikalara olumlu destek veren kuruluşlar çoğu zaman büyük şirketler ya da hükümetlerle bağlantılı oluyor.

    • Developer’s Alliance'ın adresinin Washington DC'de bir ortak çalışma alanı olması, bunun politika PR'ı için kurulmuş bir vitrin organizasyon, yani teknik tabirle bir astroturfing girişimi olabileceği şüphesini güçlendiriyor.

  • Haberde hesap onay sürecine dair neredeyse hiç bilgi yoktu ama Google'ın uygulama dağıtımı için onayı keyfi biçimde verip geri çekebileceği bir yapıya dönüşeceği hissi var. Bu, açık bir platformda kapı bekçiliğinin başlaması anlamına geliyor. Benim kişisel görüşüm, imzasız uygulama yüklerken bir uyarı penceresine tıklamak ya da ayarı açmak gibi yöntemlerin yeterli olduğu yönünde. Windows da benzer şekilde imzasız çalıştırılabilir dosyalarda uyarı gösteriyor, imzalı olanları ise doğrudan çalıştırıyor.

    • Bunun Steam'de olduğu gibi NSFW uygulamaları yasaklamanın ilk adımı olmasından biraz endişe ediyorum.

  • Burada gizlilik sorunu da var ama asıl merak ettiğim, bu politika değişikliğinin açık kaynak projelerin yerel derlemelerini neredeyse imkânsız hale getirip getirmeyeceği. Eskiden yapının, geliştiricinin kendi anahtarıyla yerelde imzalayıp yüklemesine dayandığını hatırlıyorum; yeni politika ise paket adını kimlikle ilişkilendiriyor gibi görünüyor, bu da başka bir anahtarla imzalamayı imkânsız hale getirebilir. Acaba yanlış mı hatırlıyorum ya da süreç mi değişti, fikri olan var mı?

    • Depo sonuçta bir dosya dizini olduğu için ad alanını değiştirmek mümkün ama bu süreç başlı başına fazla zahmetli. Hem Android imzalama anahtarı hazırlamak hem de üstüne kimlik ibrazı istenmesi, kullanıcı deneyimini ciddi şekilde kötüleştiriyor. Sonuçta “onaylı kişi” değilseniz, Google sertifikalı cihazlarda doğrudan derlenmiş uygulamaları çalıştırmak da zorlaşacak.

  • Eğer bu politika gerçeğe dönüşürse mobil pazarda artık şu iki kategoriden hiçbiri kalmayacak: a) üçüncü taraflarla sözleşme yapmadan uygulama kurulabilen işletim sistemleri, b) ana akım güvenlik hassasiyetli uygulamaların, özellikle bankacılık uygulamalarının kullanılabildiği işletim sistemleri.

    • İleride masaüstünde bankacılık erişiminin yalnızca onaylı işletim sistemi ve tarayıcılardan mümkün hale gelmesi çok muhtemel.
    • Ben şahsen bunu kapatır ve bankacılığı web üzerinden yapabilen uygulamaları seçerim. Uygulamalarımın önemli bir kısmı sideloading ile kuruluyor, Play Store'da da çok sayıda uygulamam var; geliştiricilerin kendi bilgilerini doğrudan yüklemesi de zaten oldukça yaygın bir şey.

  • Resmî duyurular için şu bağlantılara bakılabilir: Google resmi blogu Politika ayrıntıları Google Play Yardım. Play Store'da kötü amaçlı uygulama çok fazla olduğu için mevcut doğrulama süreçlerinin pek etkili olduğunu düşünmüyorum. Bu yeni politika bana göre Google'ın Revanced gibi uygulamaları kalıcı olarak engellemek, yani gücünü artırmak için kullandığı bir araç. “Güvenlik” gerekçe olarak öne sürülüyor ama internete erişim izni gibi gerçekten önemli ayarların, kullanıcı reklam engelleyebilsin istemedikleri için gizlenmiş olması hayal kırıklığı yaratıyor. “Biz sadece geliştiricinin kim olduğunu doğruluyoruz, uygulamanın içeriğine bakmıyoruz” ifadesi bana mantıklı gelmiyor; sonuçta gerçek güvenlik için uygulamanın içeriğine de en azından bir ölçüde bakmak gerekmiyor mu? Play Protect'i kapatma gibi dolaylı yollar da resmi duyuruda anılmadığı için muhtemelen mümkün olmayacak. Bu yüzden artık sadece Linux ve Windows'un gerçekten özgür geliştirme platformları olduğunu düşünmeye başladım. Google hesabı olmadan geliştirme yapmak istiyorum.

    • Aslında internet izni olmasa bile veri dışarı aktarılabilir. Saldırganın kendi sitesine veri sorguları gönderen bir intent'i tarayıcıya iletmek yeterli olur.
    • Kısıtlamaların Play Protect kapatılarak aşılıp aşılamayacağı, politika gerçekten uygulanmadan bilinemez. Eğer mümkün olursa, Play Protect'in “izinli/notarized” uygulamalar dışındakileri engelleyecek şekilde çalışması muhtemel. Bu durumda mevcut tüm geliştiricilerin doğrulama sürecinden geçmesi gerekir. Duyurunun amacı da bunu yansıtıyor gibi görünüyor. Ancak kaç kullanıcının bu doğrulamayı kapatabileceği belirsiz.
    • İşin içinde gerçekten güvenlikten çok KYC ya da yaptırım benzeri bir politika unsuru olup olmadığından da şüpheleniyorum.
    • Kurumsal kimlik doğrulaması istenirse, banka gibi görünen sahte uygulamaları engellemede faydası olabilir. Paket adına göre açık anahtar kaydı yapmak da kötü amaçlı kod eklenmiş değiştirilmiş sürümlerin kurulmasını önlemede işe yarar. APKMirror da imza doğrulaması yapıyor ama gerçekten güvenilmez kaynaklardan uygulama indirmek zorunda kalınan bir durumda, dosyanın orijinal olup olmadığını anlamak için böyle bir sistem bir miktar gerekli olabilir. Uygulama içeriğini analiz etmese bile, web'deki EV SSL sertifikaları benzeri bir güvenlik modeliyle işletilebilir.
    • Android'de gizlenmiş internet erişim kontrol ayarları derken tam olarak neyi kastediyorsun, bunu biraz daha açıklamanı isterim.

  • Eğer bu politika Play Protect üzerinden zorunlu tutulursa, aşağıdaki komutla kolayca devre dışı bırakılabilir:

    adb shell settings put global package_verifier_user_consent -1

    Root yetkisi olmadan Play Protect'i kapatmak mümkün. Açık kaynak uygulama dağıtmak için ille de Google ile ticari bir ilişki kurmak istemiyorum. Bunun sonucu olarak uygulamalarımı yalnızca Play Protect'i küresel olarak kapatan kullanıcılar kurabilecekse, bunu da kabul ederim.

    • Google'ın bunu da yakında “dolandırıcıları engellemek” gibi bir bahaneyle kapatacağını tahmin ediyorum.
    • Bunun pratikte başka neleri bozacağını merak ediyorum.

  • İnsan ister istemez bu noktaya nasıl gelinmesine izin verildiğini soruyor. Aslında sayısız küçük kısıtlamaya boyun eğe eğe buraya geldik. Geçmişte çevremde bu tür kaygıları dile getirdiğimde çoğu insan “fazla hassassın, abartıyorsun, bir şey olmaz” diye gülüp geçiyordu. Sonunda işte böyle bir gerçekliğe geldik.

    • eternal september denilen şey gibi, bitmeyen bir değişim akışı bu.
    • “Beni ilgilendirmez” tavrıyla GrapheneOS ya da Calyx gibi alternatif işletim sistemleri kullanan bazı insanlar var ama sonuçta onlar da bu akışın downstream'inde yer alıyor. Android'in asıl değeri hem sıradan kullanıcılar hem de hackerlar için “arayüz standardizasyonu” olmuştu.
    • Bu durumu yaratan şeyde bizim hiçbir etkimiz olmadı; asıl sorumluluk Google'a ve oradaki çalışanlara ait. Onlar kâr ve kariyer uğruna kullanıcı özgürlüğünü pazarlık konusu yaptı. Şu an yaşananlar, geç kapitalizmin bir başka başarısızlık örneği gibi görünüyor.