Android geliştirici doğrulaması hakkında rahatsız edici sorular

Hacker News görüşü

• Bu, sadece soru sormak değil; düpedüz karşı durmayı gerektiriyor.
  En ufak bir taviz verilirse tüm hakların bir anda elden alınma ihtimali var.
  Stallman’ın 1997’deki The Right to Read’de öngördüğü “2047’de debugger yalnızca numaralandırılmış ve resmen sertifikalandırılmış programcılara dağıtılacak” uyarısı aklıma sürekli geliyor.

• Neden düzgün bir açık kaynak mobil OS’e sahip olmak bu kadar karmaşık, anlamıyorum.
  Ben hem kişisel hem iş için yalnızca Linux PC’ler kullanıyorum (laptop, sunucu).
  İş için MS365, Google Workspace, Zoom vb. gerekiyor ama en azından tarayıcı üzerinden erişebildiğim için kapalı ekosistemi bir ölçüde engelleyebiliyorum ve bu beni tatmin ediyor.
  Mobil tarafta PostmarketOS, Phosh, Ubuntu Touch var ama günlük hayatta gerçekten hiç kullanmadım.
  Bunun benim sorumluluğum olup olmadığını da düşünüyorum ama bizim devlet de kimlik doğrulama uygulamasını yalnızca iOS/Android’de destekliyor.
  Doğrusu sadece web üzerinden direnmek gerek ama rahatlık yüzünden sonunda uygulama kullanan kendimin zayıf olduğunu hissediyorum.
  Ubuntu Touch ve bir iPad’im olsa, en azından kişisel verilerimi benim kontrol edebildiğim cihazlar olur gibi geliyor.
  Sonuçta çanta taşımadan yanında götürebileceğin gerçek bir ‘kişisel bilişim platformu’ lazım.
  GrapheneOS’in bile geleceğinin o dev rakibin (kullanıcı kontrolünden hoşlanmayan şirketin) elinde olması üzücü.

• Yakın gelecekte kapalı akıllı telefon ve tabletlerin sıradan masaüstü/laptoplardan daha fazla olacağını düşünüyorum.
  Çoğu insanın tamamen açık bir cihaza sahip olma fırsatı bile olmayacak.
  Hatta laptopların bile kapanması mümkün.

• Şu anda tamamen açık RISC-V çipleri satın alıp istediğin gibi debug edebiliyorsun.
  x86 da neredeyse tamamen açık (XBox, PS5 vb. istisnai olarak kapatma girişimleri dışında).
  Bu yüzden Stallman’ın “okuma hakkı” anlatısının henüz erken bir abartı olduğunu düşünüyorum.

• Stallman’ın atladığı mantık, tüm sistemlerin kusursuz olduğu, asla kırılamayacağı ve insanların yazılım ile sistemler hakkında kusursuz anlayışa sahip olduğu varsayımıdır, ister iyi ister kötü olsun.
  Eğer debugger kısıtlanırsa, sonunda herkes korsan debugger kullanmaya başlayacaktır.
  İnsanların büyük çoğunluğu (%99,9) OSS ile hiç ilgilenmiyor.
  İnsanların önemsediği şey, telefonlarını kötü amaçlı uygulamalar/istenmeyen uygulamalar/reklam uygulamaları olmadan istedikleri gibi kullanabilmek.
  Ayrıca yayımlama ile geliştirme birbirinden ayrı faaliyetlerdir.

• Herhangi bir uygulamayı sideload ederken doğrulamayı zorunlu kılmak faşizan bir kontroldür.
  Google ve Apple adına utandım; uzun zamandır nihai hedefleri zaten buydu.
  Bir sonraki adım hoşlarına gitmeyen uygulamaları keyfî şekilde silmek olacak ve biz bunu engelleyemeyeceğiz.
  Stallman’ın uyarısı doğru.

• PC’nin açık olmasının tek sebebi IBM’in bunu öngörememiş olması.
  IBM kontrol etmeye çalıştığında artık çok geçti.

• “Sideload” kelimesinin kendisinin bile sorunlu olduğunu düşünüyorum.
  Neden buna “program çalıştırma” demek yerine “sideload” deniyor?
  İstediğim programı çalıştırmama izin vermeyen bir OS saçmalıktır.

• “Stallman was right”ın ne anlama geldiğini öğrenmek için bir LLM’ye sordum ve kabaca anladım ama bunu doğrudan açıklayabilir misiniz diye merak ediyorum.
  Böyle şeyleri anlamaya çalışırken yalnızca LLM yanıtlarını dinlemek beni rahatsız ediyor; o yüzden doğrudan sormak istedim.

• Bu tür önlemlere kararlılıkla karşıyım ve bu yüzden hayatım boyunca Apple ürünlerini ideolojik olarak boykot ettim.
  Ama her şeye “faşist” demenin kavramı aşındırdığını düşünüyorum.
  Umarım bu hamle Google’a büyük bir geri tepme olarak döner ve LineageOS gibi ROM’lar eski popülerliğine kavuşur.
  Root tespiti atlatma özellikleri de gelişsin de bankacılık uygulamaları vb. rooted telefonlarda da normal çalışsın isterim.
  Geliştirici sertifikasyonu gibi karmaşık ID gereksinimleri Apple kadar kötüdür.
  Bu yüzden Apple ürünleri kullanan geliştiriciler bana hiçbir zaman gerçekten ciddi görünmedi.

• Bu kesinlikle kabul edilemez.
  Bir cihaza sahipsen, kullanıcı olarak istediğini çalıştırabilmelisin.
  Parasını verip aldığın bir ürüne erişimi sınırlamak veya onu kilitlemek, gerçekte sahiplik olmadığı anlamına gelir.
  Bu, cihazı kiralamaktan farksızdır.
  Bir otomobil üreticisinin belirli bölgelere sürüşü yasaklaması halinde insanların bunu kabul edip etmeyeceğini hayal etmeye bile gerek yok.

• Öte yandan VW, yıllık abonelik ödemesi durursa beygir gücünü sınırlama işini gerçekten yapıyor.
  Şirketlerin açgözlülüğü ve kullanıcıların bilgisizliği yüzünden bu durum zaten gerçek hayatta yaşanıyor.

• Steam’de video oyunu lisansı satın alıp özgürce mod kurabiliyorsun.
  Kiralama modelinin zaten birçok yerde sinsice var olduğunu gösteriyor bu.

• Eskiden telefonda Hail’i (uygulama dondurma aracı) kullanmak için Shizuku kullanıyordum.
  Ama kredi kartı bankam yakın zamanda USB debugging varlığını kontrol etmeye başladı, ben de artık kullanmaktan vazgeçtim (3DS OTP’yi de artık SMS ile almak zorundayım).
  Şu anda Tayland’da yalnızca iki kadar banka bunu kontrol etmiyor ama yakında hepsinin engelleyeceğini hissediyorum.
  Sonunda Dhizuku’ya geçtim; kurulum biraz karmaşıktı ama bir kez bitince her seferinde Shizuku’yu uğraştırıcı biçimde başlatmaya gerek kalmıyor, adeta tam bir untethered jailbreak gibi.
  Dhizuku temelde şirket telefonu gibi çalışıyor ama tek fark sahibi benim.
  “Ana profili yönetmek” için Android hesap sistemindeki tüm hesapları silmek ve uzun bir ADB komutu girmek gerekiyor; bu yüzden kötüye kullanımı mümkün değil.
  İleride F-Droid kullanmak isteyenler için bu yöntem mühendisler arasında standart hâline gelebilir.

• Bankanın web sitesini kullanmayı önermek isterim.
  Ben telefona bankacılık uygulaması kurmuyorum; transfer gerektiğinde bilgisayar başına oturup oradan yapıyorum.

• Bu cihaz açıkça benim ve onu istediğim gibi kullanabilmeliyim.
  Ama adı geçen bu araçların (Shizuku, Dhizuku) kullanımının gerçekten cihaz güvenliğini etkileyebileceğini ve saldırıları kolaylaştırabileceğini de hesaba katmak gerekir.
  DeviceOwner yetkisini geçici olarak başka uygulamalara ödünç vermek de dâhil, yetki kötüye kullanımı risklidir diye düşünüyorum.
  Üstelik GrapheneOS gibi güvenlik sistemleri de bu tür yapılandırmaları engellemeye başlarsa sorun büyür.
  Root tespiti, call stack incelemesi vb. de pratikte kolayca aşılabildiği için etkileri sınırlı.

• Görüş bildirmek isteyenler için bir geri bildirim formu hazırlanmış.
  Google geri bildirim formu bağlantısı
  İlgili tartışma

• Bu politikanın Çinli OEM’lere uygulanmayacağını düşünüyorum.
  Çin cihazları Google Mobile Services varsayılan olarak devre dışı şekilde çıkıyor ve kullanıcıya yönelik Play Store uygulaması da yok.
  Şirket içi uygulama geliştirme için Google onayı istemek mantıksız olur.
  OEM başına ayrı bir debugging lisans hizmeti kurmak zorunda kalırlar ve bu da Google tabanlı uygulama debugging’ini o ölçüde zorlaştırabilir.

• Zaten birçok Çinli OEM Google sertifikası almıyor; bu yüzden politikanın gerçekten onlara uygulanmayacağını düşünüyorum.
  Bazılarının (Huawei) zaten kendi uygulama mağazası ve Google hizmetleri yerine geçen çözümleri var.
  Fiilen de-googled cihazlar ama bunun yerine çoğu zaman karşı kampın spyware’ı yüklü geliyor; bu da üzücü.

• Uygulama yüklemeye (sideloading) izin verilip verilmeyeceğine cihaz sahibi kendisi karar verme hakkına sahiptir.
  Telefonda bootloader unlock ayarının yapılabilmesi gibi, böyle temel bir özellik de kullanıcı tarafından ayarlanabilmelidir.
  Bundan daha temel bir ilke olamaz.

• Rahatsız edici sorular olabilir ama bu sorularla Google’ı rahatsız edebileceğini düşünmek fazla iyimser.
  Google bu tür meseleleri hiç umursamıyor.

• PR departmanları zaten bu tür rahatsız edici soruları ustaca savuşturmak için maaş alıyor.
  Hatta bu tür iletişimler Google açısından “iş birliği hâlindeyiz” görüntüsü üretmek için kullanılıyor.

• Bu yüzden Android kullanmamın, iPhone yerine onu seçmemin başlıca nedenlerinden biri ortadan kalkıyor.

• Hatta bence bu, Apple’ın yaptığı politikalardan daha kötü.
  iPhone kullanıcıları üçüncü taraf uygulama yükleyememeyi bir özellik gibi görüyor.
  Ben katılmıyorum ama Apple, kullanıcıların kendi cihazları üzerinde kontrol sahibi olmadığını en başından beri dürüstçe söylüyordu.
  Bu deneyim benim için itici ama en azından dürüst.
  Google ise açık platform söylemiyle kullanıcıları çekip sonra sırtından vuran bir yem ürün gibi.

• Android ile iPhone ilk zamanlarda rekabet ederken, Android’in en büyük avantajı Google’ın izni olmadan istediğin uygulamayı kurabilmendi.

• Belki de bu (Google’ın politikasını kapatması) sonunda Google’ın kendi başını derde sokar diye düşünüyorum.
  Eğer Android de iOS gibi kapalı ve sıkı kontrollü bir yöne giderse, neden Android kullanalım ki sorusunun cevabı kalmaz.

• Bu hamlenin Epic gibi şirketlere Google’a karşı dava zemini sağlayıp sağlamayacağını merak ediyorum.
  İlgili dava açıklaması
  Eğer Google doğrulama sürecini tekelleştirirse, Epic Store üzerinden dağıtılan Android uygulamalarında dağıtım yetkisi Epic’te değil Google’da olur.

• Bu yüzden ABD’de (ve başka nedenlerle AB’de de) Google’ın bu politikayı gerçekten uygulayamayacağını düşünüyorum.
  Açıkçası böyle bir şeye kalkışmayı bile düşünmezler sanıyordum ama artık her şey mümkün gibi geliyor; bu yüzden tahmin yürütemiyorum.

Geliştiricinin APK’yı doğrudan dağıttığı bir uygulamaysa, mümkünse Obtainium ile kurun. Github, Gitlab gibi yaygın dağıtım platformlarındaysa bir iki dokunuşla kurulabiliyor ve otomatik güncelleme de alıyor.
Google ile ilgili kodlar da dahil olmuyor ve her açıdan daha iyi.

Geliştiriciye güvenmiyorsanız zaten en başta uygulamayı kurmamanız gerekir.