Android’deki sideloading kısıtlamaları şimdiye kadarki en tüketici karşıtı adım

 (makeuseof.com)
8 puan yazan GN⁺ 2025-10-14 | 5 yorum | WhatsApp'ta paylaş
  • Google, sideload edilen uygulamalara yönelik yeni kısıtlamalar getirerek geliştirici kimlik doğrulamasını zorunlu hale getiriyor
  • Bu kısıtlama Ekim 2025’ten itibaren yürürlüğe girecek ve Eylül 2026’da bazı ülkelerden başlayarak zorunlu uygulanacak
  • Yeni kurallara göre geliştirici kimliği doğrulamasından (devlet tarafından verilmiş kimlik temelinde) geçilmezse, GMS yüklü cihazlarda (Play Store dahil) uygulama kurulumu mümkün olmayacak
  • F-Droid gibi resmî mağaza dışında dağıtılan uygulamalar ile bireysel ve bağımsız geliştiriciler için ciddi bir darbe bekleniyor; anonim ve özgür dağıtım geleneğinin ortadan kalkma riski var
  • Google bunu “güvenliği artırmaya yönelik bir önlem” olarak savunsa da, mevcut Play Protect gibi korumalarla örtüşüyor ve gerçek güvenlik artışı sağlayıp sağlamadığı belirsiz
  • Bu adım, Android’in açıklığını ve yenilikçiliğini zedeliyor ve kullanıcıların özerk karar verme hakkını sınırlayan tüketici karşıtı bir hareket olarak, bağımsız ve özgür uygulama dağıtım ekosisteminin sonunu haber verebilir

Genel bakış

  • Android, açık bir platform olması; çok sayıda açık kaynak uygulamaya ve özgür sideloading imkânına sahip olmasıyla büyük çekicilik taşıyor
  • Ancak Google, Ekim 2025’ten itibaren yeni bir sideloading politikası getirerek geliştirici kimlik doğrulamasını zorunlu kılıyor ve böylece kullanıcının kimin uygulamasını kurabileceği üzerindeki kontrolünü artırıyor
    • Play Store erişimi olan tüm GMS yüklü cihazlarda geliştiricilerin devlet tarafından verilmiş kimlik veya iletişim bilgisi temelli bir kimlik doğrulama sürecinden geçmesi gerekecek
    • Doğrulama almayan uygulamaların kurulumu tamamen engellenecek; yalnızca custom ROM veya de-Googled cihazlar istisnai olarak bu etkinin dışında kalacak
  • Uygulamada bu zorunluluk Eylül 2026’dan itibaren bazı ülkelerde başlayacak ve 2027’de küresel olarak devreye alınacak
  • Birçok kullanıcı, Play Store’da olmayan NewPipe, Blokada gibi uygulamaları F-Droid gibi üçüncü taraf uygulama mağazalarından kuruyordu
  • Ancak bundan sonra kimlik doğrulamasını geçemeyen geliştiricilerin uygulamaları, çoğu Google Mobile Services (GMS) yüklü cihazda kurulamayabilir

Google’ın fiilen değiştirdiği şey: kurallar, takvim ve “doğrulama”nın anlamı

  • Google bu değişikliği “doğrulanmış (verified) geliştirici” söylemiyle açıklıyor
    • Bu durum havaalanında kimlik kontrolüne benzetiliyor; bir uygulamanın cihaza kurulabilmesi için geliştiricinin resmî kimlik veya iletişim bilgileriyle kimliğini doğrulaması gerekecek
    • Kademeli dağıtım Ekim 2025’te başlayacak
    • Zorunlu uygulama Eylül 2026’da bazı ülkelerde başlayacak
    • 2027’de tüm dünyaya yayılacak
  • Doğrulanmamış geliştiricilerin uygulamalarının neredeyse tüm ana akım cihazlarda engellenmesi bekleniyor
    • İstisna olarak, custom ROM veya de-Googled cihazlar gibi Google’ın sertifikasyon testlerinden geçmemiş çok az sayıdaki cihaz etkilenmeyecek
  • Google sideloading’i tamamen yasaklamıyor, ancak Google’ın kontrol ettiği merkezi bir kontrol noktası ekleyerek Android ekosistemine katılımın sınırlarını yeniden çiziyor
  • Sonuç olarak anonim/takma adlı geliştiriciler ve özgür açık kaynak dağıtımı için alan ciddi biçimde daralıyor

Güvenlik gerekçesi, peki gerçek etkisi ne?

  • Google, yeni kısıtlamaların kullanıcıları kötü amaçlı uygulamalardan ve sahte kimlikler üzerinden doğan zararlardan korumak için gerekli olduğunu savunuyor
    • Oysa Android’de zaten Google Play Protect gibi mevcut güvenlik sistemleri bulunuyor
    • Google Play Protect, sideload edilen uygulamalar için otomatik tarama ve risk tespiti özelliklerine sahip
  • Bu nedenle kimlik doğrulamasının ne kadar ek güvenlik faydası sağladığı şüpheli
  • Kimlik doğrulaması kullanıcı güvenliği ile eş anlamlı değil; geçmişte Play Store’da bile doğrulanmış uygulamalar üzerinden kötü amaçlı yazılım yayılması örnekleri görüldü
  • Bu politikayla birlikte, cihaz içindeki güvenlik uyarıları ve kullanıcının kendi değerlendirmesi yerine, Google’ın doğrulama süreci yeni güven temeli haline geliyor
  • Bu düzenleme, kullanıcıların özerkliğini ve seçim hakkını zedeliyor ve Google’ın sideloading’e yönelik eleştirileri bertaraf etmeye çalıştığı şeklinde yorumlanabilir

Yan etkiler ve ikincil zararlar bekleniyor

  • Açıklığa dayanan özgür APK ekosistemlerinin en büyük darbeyi alması bekleniyor
    • F-Droid, Play Store’da sunulmayan çok sayıda uygulamaya ev sahipliği yapıyor
    • Bu araçların önemli bir kısmı, Google’ın kontrolü dışında çalışması gerektiği düşünüldüğü için var
    • Güvenli uygulamalar olsalar bile ana akım cihazlarda kullanılamaz hale gelebilirler
  • Bağımsız geliştiriciler ve hobi amaçlı geliştiriciler de risk altında
    • Bazı uygulamalar, kimlik doğrulaması için gereken zaman, emek ve mahremiyet ödününü haklı çıkaramayabilir
    • Tek seferlik projeler ve küçük topluluklara yönelik uygulamalar bu kategoriye girebilir
    • Sonuçta ekosistem küçülürse bütün kullanıcılar zarar görür
  • Yenilikçilik en büyük kurban olabilir
    • Android’in gücü esnekliğinde yatıyor ve bu herkes için bir ekosistem
    • Tek bir merkezi bekçinin dayatılması, tabandan gelen yeniliği bastıracaktır
    • Herkesin katkı sunma isteği ya da imkânı olmayacak ve bu durum Android’de görülen yeniliğin hızını ve kapsamını kaçınılmaz olarak etkileyecek

Android kullanıcılarını bekleyen yeni gerçeklik

  • Google bunu güvenlik için bir önlem olarak sunsa da, gerçek kullanıcı açısından özerklik kaybı ve kullanım zorluğu olarak hissedilebilir
  • Resmî mağaza dışındaki uygulamaları sık kullanan bağımsız geliştiriciler ve küçük kullanıcı toplulukları büyük darbe alacak
  • Dolaylı yollar (sertifikasız cihaz kullanımı, APK’ları doğrudan yedekleme, alternatif uygulama mağazaları arama vb.) varlığını korusa da, bunlar teknik zorluk veya güvenlik riski taşıyor
  • Android’in açıklığının zayıfladığı açık; hatta bir gün tamamen kapalı bir ekosisteme dönüşebileceğine dair kaygılar büyüyor

İlgili okumalar

5 yorum

 
ndrgrd 2025-10-14

Bari tüm Android cihazlarda Google'ın sürekli gözetlediği bir ekran kaydediciyi hep açık tutmalarını söylesinler. O zaman bütün 'güvenlik tehditleri' ortadan kalkar.
 
unsure4000 2025-10-14

Windows'taki gibi, gerçekten de yapabilirler hahahaha
 
ndrgrd 2025-10-14

En azından o kapatılabiliyor; Windows'un daha iyi göründüğü absürt bir durum.
 
GN⁺ 2025-10-14
Hacker News görüşü
  • Play Store dışından istediğim uygulamaları kurabilmek Android’i seçmemin en büyük nedeniydi; çevremdeki insanların neredeyse hepsi iPhone kullanıyor ama bu özgürlük de giderse sırf iMessage ve FaceTime kullanabilmek için iPhone’a geçmeyi düşünürüm.
    • Bu, Android’e özgü farkın ortadan kalktığı an olurdu; bundan sonra teknolojiye hakim kişilerin teknik olmayan insanlara telefon önerirken büyük bir değişim yaşanacak gibi görünüyor. Bugünlerde her şey fazla sıradanlaştı. Google artık “ineklerin” ağızdan ağıza pazarlama etkisine güvenmiyor gibi; pazar doygunluğa ulaşınca ilk kullanıcıları artık umursamıyor. Youtube da benzer; reklam engelleme sayesinde doğal bir pazarlama oldu ama pazar doyunca şimdi o kullanıcıları dışlamayı seçiyor.
    • iMessage ve FaceTime istediği için iPhone’a geçeceğini söyleyen görüşe katılıyorum; ben de tedarikçi kilidinin (vendor lock-in) cazibesini anlayabiliyorum.
    • UbuntuTouch’a da bakmanı tavsiye ederim; çok ferah hissettiriyor ve geliştirici topluluğu da aktif. Mutlaka iki kötü seçenekten daha az kötü olanı seçmek zorunda değilsin.
    • Şu anda kalan en büyük oyun değiştirici galiba Firefox ya da alternatif tarayıcılar.
    • Ben de bu haber yüzünden bu kez iPhone’a geçtim; sideloading Android’in temel çekiciliğiydi.
  • Bu alanda rekabet karşıtı düzenlemeler kesinlikle gerekli; satın aldığım donanıma yazılım kurmak için üreticiden izin almak zorunda olmam çok tuhaf. Apple ya da Google ekosistemlerinden çıkmayı sağlayacak gerçek bir alternatif de yok. Bu iki şirketin mobil platformları bu kadar aşırı kontrol etmesine izin verilmemeli.
    • Üretici hangi kilidi koyarsa koysun, kullanıcının bunu doğrudan ve koşulsuz biçimde aşabileceği bir yolun zorunlu olması gerekir. Güvenlik ihtiyacını anlıyorum ama kendi cihazımda güvenliği kapatma hakkımın bende olması mantıklı. Defalarca tıklatıp uyarı gösterebilirler, sorun değil. Teknik olarak Android’de hata ayıklama araçlarıyla hâlâ her uygulamayı kurmak mümkün. Çizginin burada çekilmesinin doğru olup olmadığından emin değilim.
    • Sorun özellikle de bu tekelci yapıya katılmadan bankacılık, devlet hizmetleri, temel iletişim gibi günlük yaşamın mümkün olmaması.
    • Tekeller ABD’de inovasyonun önünü kesiyor ve başarılarının ekmeğini sonsuza kadar yemeye devam edemezler.
    • Donanım izin gerektirmiyor, değil mi? Kendi işletim sistemini kurarsın.
  • İşin ironik yanı, Play Store’un kendisi de gerçek zamanlı olarak casus yazılım ve kötü amaçlı yazılımla dolu; resmi uygulama gibi görünen adlarla (“Gallery”, “Messages”, “Text Messages”) bulunuyorlar. Hatta Google içindeki kanallar üzerinden bile bu sorunlar bildirildi ama pratikte hiçbir şey değişmedi. Sorun sideloading değil, bizzat Google’ın kendisi. Bu, hem cihaz kullanıcılarına hem de geliştiricilere son derece düşmanca bir davranış. Artık istihbarat kurumlarının ya da devletlerin cihazları düşmanca biçimde kontrol ettiği bir döneme giriyoruz gibi görünüyor; örneğin devletin mobil kimlik dayatması ya da istemci tarafı tarama getirmesi gibi. Yaş küçüldükçe daha ağır kimlik doğrulama şartları istiyorlar ve bunun için Play Integrity zincirini kullanmaya çalışıyorlar. Bununla ilgili olarak Reddit’teki Magisk topluluğuna ve o uygulamalara bakılabilir. Root/üçüncü taraf topluluklarında uygulama çalıştırma konusunda şimdiden türlü sorunlar var. Bazı uygulamalar sırf SuperSU uygulaması yüklü diye çalışmayı tamamen reddediyor (sandbox’a almayı bile denemiyor).
    • Bunun yaşanmasının sebebi gerçekten her şeyin kendilerine ait olduğuna inanmaları. RMS (Richard Stallman) gibi isimler bu geleceği çok önceden öngörmüştü; şimdi o öngörü gerçeğe dönüştü ve artık çok geç.
  • “Sideloading” yerine “özgür yazılım kurulumu” dememiz gerektiğini düşünüyorum. “Sideloading” sanki bir tür hile veya hack’miş gibi hissettiriyor ama satın aldığım cihazıma istediğim yazılımı kurmak aslında bilgisayarlarda her zaman yaptığımız doğal şeydi. Bu artık sadece bir ‘telefon’ değil, telefon biçiminde bir bilgisayar ve parasını ödeyip satın aldığımız bir bilgisayar. İstediğimizi kurabilmeliyiz.
    • Başka bir başlıkta biri “doğrudan kurulum” (direct install) terimini önermişti; bu hoşuma gitti.
    • “Sideloading” ifadesinin ne zamandan beri kullanıldığını merak ediyorum. Android’in kendisi APK dosyası açıldığında sadece “yükle” diyor; “sideloading” kelimesi görünmüyor.
    • “Kurulum” demenin bile yetmediği kadar kötü bir noktaya geldik; artık birinin neyi kurabileceğini tamamen kontrol etmenin varsayılan kabul haline gelmesi normalleşti.
    • “Sideloading”deki “side” sadece resmi uygulama mağazası dışından geldiği anlamına geliyor. Olumsuz bir çağrışımı yok; ‘backloading’ gibi bir ifade olsa neyse, ama bence terim tartışması anlamsız bir yan konu.
    • Asıl olumsuz adlandırılması gereken, telefon işletim sistemi sağlayıcısının kaşıkla beslediği uygulama kurulum modeli. Buna “Lameloading” gibi alaycı bir ad vermek eğlenceli olurdu.
  • Eskiden açık kaynak bir uygulamaya istediğim özelliği kolayca ekleyip doğrudan telefonumda test etmiştim. Android geliştirme açısından yaptığım ilk ve son iş buydu ve sadece birkaç saat sürmüştü. Resmi Android geliştirici sertifikası falan gerekmemişti. Bu değişiklikle artık bunu yapamayacak mıyız? Sadece kendim kullanmak için yaptığım bir şeyi bile telefonuma kurmak için resmi bir programa kaydolmak zorunda mıyım? Apple’ın bile bunu yapmadığını sanıyordum.
  • Google’ın özgürce yazılım kurulabildiği yönünde aldatıcı reklamlar yapıp bunun sayesinde rakip açık seçenekleri ortadan kaldırdığı noktasına odaklanılırsa, Google’a baskı kurmak için yeterli hukuki dayanak olabilir diye düşünüyorum.
    • Hangi ülkenin bunu talep ettiğini merak ediyorum. ABD’de bir şirketin geçmişte verdiği tüm reklam sözlerine sonsuza kadar bağlı kalma zorunluluğu yok. Bir şirket ürün özellikleri hakkında yalan reklam yapmış olsa bile, ürünü reklamla birebir uyumlu hale getirmek gibi bir yasal yükümlülük doğmuyor. Telafi genelde reklamı düzeltmek veya cihaz iadesi olur. Yıllar önce var olan bir özelliğin sonra kaldırılması da başlı başına yasa dışı değil.
    • Aynı mantık tekrar ediliyor ama eleştirel bakınca ayakta kalmıyor; buna burada zaten cevap verilmişti. Sonuçta mevcut ABD yasalarıyla Google’ı bu yüzden cezalandırmanın bir dayanağı olmadığı, dolayısıyla yeni yasa gerektiği sonucundan başka bir şey çıkmıyor. Ama sanırım bunun Apple’a da aynı şekilde uygulanacağını ve bunun da “dünyanın sonu” anlamına geldiğini düşünüyorlar. Gerçek çözüm muhtemelen iki partinin de destekleyebileceği bir App Store Freedom Act benzeri olur; bağlantı burada: https://www.congress.gov/bill/119th-congress/house-bill/3209/text. (Gerçi Apple/Google lobisi yüzünden bu tasarının da ölmesi ya da sayısız istisna maddesiyle budanması muhtemel.)
    • Bu çok abartılı bir iddia. Gerçek reklamlarda böyle açık bir mesaj yoktu. Ayrıca reklamların sonsuza kadar geçerli olması da beklenemez; örneğin Red Lobster artık “sınırsız yengeç bacağı” sunmuyor diye ömür boyu sorumlu tutulmaz.
    • AB, yasal dayanak olmasa bile Google’ı durdurabilir. Hatta AB’nin bu tür politikaları genel bir gözetim sistemi kurmayı kolaylaştırdığı için sevdiğini düşünüyorum.
  • Bu durum değişmezse, er ya da geç sadece dizüstü bilgisayar, sıradan bir telefon ve hotspot ile dolaştığım bir yaşam tarzına geçebilirim. İnternet gerekiyorsa yolculuktan önce hazırlığımı yapar, yapamadıysam başka bir yol bulur ya da o işi hiç yapmam. Aslında bunu neden şimdi yapmadığımı da bilmiyorum; kulağa oldukça eğlenceli geliyor.
  • F-Droid, FSF ya da benzer bir kuruluşun ABD’de veya Avrupa’da buna resmen itiraz etmesini umuyorum. Böyle bir amaç için bağış kampanyası açılırsa memnuniyetle desteklerim.
  • Play Store’da “tarihin en iyi doğrulaması”ndan geçmiş kötü amaçlı yazılımlar defalarca bulundu; ama bence “o halde doğrulama işe yaramıyor” argümanı zayıf. Ne kadar doğrulama yapılırsa yapılsın sorun çıkıyor diye “o zaman hiç doğrulama yapmayalım” demek ikna edici değil. Daha iyi karşı argümanlar başka yorumlarda zaten var (“benim cihazım, benim kurallarım” gibi). Bu çizgi pek güçlü değil.
  • Android ya da iPhone aldığında temel donanım üzerinde bile neredeyse hiç denetimin kalmıyor; pratikte seçilebilecek alternatiflerin ne olduğunu merak ediyorum. PinePhone’um var ama donanım geliştirmesi neredeyse durmuş gibi görünüyor, Librem’i de biliyorum. Bunların dışında piyasada gerçekten kullanılabilir alternatifler var mı?
    • Linux tabanlı telefonlara umut bağlıyorum. Henüz hazır değiller ama Android iOS kadar kapalı hale geldiğinde gerçekçi bir alternatif olabilirler. Sorun bankacılık uygulamaları vb.; ama ikinci el bir iPhone’u lockdown mode ile kullanırsan EoL sonrasında da sorun yaşamazsın gibi geliyor.
 
cuj1559 2025-10-14

"Biraz güvenlik uğruna özgürlükten vazgeçen bir toplum, ne güvenliği ne de özgürlüğü hak eder." - Benjamin Franklin.

Elbette bu durumda söz konusu olan, bir şirketin keyfi davranışı.