Sideloading hakkında konuştuğumuzda neyi kast ediyoruz | F-Droid

 (f-droid.org)
1 puan yazan GN⁺ 2025-10-29 | 1 yorum | WhatsApp'ta paylaş
  • Google’ın yeni geliştirici kayıt politikasının Android kullanıcılarının cihaz özgürlüğünü ve yazılım seçme hakkını kısıtladığı yönünde eleştiriler var
  • Google, “sideloading ortadan kalkmayacak” diye savunsa da, gerçekte tüm uygulama dağıtımının Google’ın onay sürecinden geçmesi gereken bir yapıya dönüştüğü belirtiliyor
  • Bu politika, kullanıcıların uygulamaları doğrudan yükleme veya F-Droid gibi açık kaynak depolarını kullanma özgürlüğünü fiilen ortadan kaldırıyor
  • Google bunu güvenliği artırma gerekçesiyle savunuyor, ancak Play Store’daki zararlı uygulama vakaları tekrarlandıkça güvenilirlik tartışması sürüyor
  • Küresel Android ekosisteminin açıklığını ve dijital egemenliğini korumak için toplumsal ve politik karşılık verilmesi gerektiği vurgulanıyor

Google’ın “sideloading ortadan kalkmayacak” iddiasına itiraz

  • Google, Android Developers Roundtable videosu ve blogu üzerinden “sideloading Android’in özüdür ve ortadan kalkmayacaktır” diye açıkça belirtse de, F-Droid buna katılmıyor
    • Yeni geliştirici doğrulama kararnamesi (developer verification decree), bireylerin istedikleri yazılımı özgürce yükleme hakkını fiilen sona erdiriyor
  • “Sideloading” teriminin kendisinin yapay biçimde üretilmiş olduğu, aslında bunun yalnızca ‘kurulum (installing)’ eylemi olduğu anlatılıyor
    • Google Play Store veya Apple App Store gibi aracı pazar yerlerinden geçmeden doğrudan kurulum yapmanın çarpıtılarak olumsuz algılandığı belirtiliyor
  • Wikipedia tanımına göre sideloading, “tedarikçinin onaylamadığı web kaynaklarından uygulama aktarma eylemi”; Google tüm kaynakların onayını zorunlu kılıyorsa, bunun artık sideloading olmadığı savunuluyor
    • Geliştiricilerin Google’a kayıt ücreti ödemesi, kimlik kanıtı ve imza anahtarı bilgilerini sunması, ardından Google’ın onayını beklemesi gerekiyor

Kullanıcıların, geliştiricilerin ve ülkelerin haklarına etkisi

  • Kullanıcılar Android cihaz satın alırken ‘açık platform’ vaadine güvendi, ancak gelecekteki güncellemelerle geri döndürülemez kısıtlamaların dayatılacağı belirtiliyor
    • Yapının, hangi yazılıma güvenilebileceğine Google’ın karar verdiği bir modele dönüştüğü söyleniyor
    Reklam
  • Geliştiriciler artık uygulamaları özgürce üretip doğrudan dağıtamayacak; önce Google’dan onay almak zorunda kalacak
    • Android’in açıklığı, iPhone’dan ayrıştığı temel noktalardan biriydi; ancak şimdi bu ilkenin terk edildiği ifade ediliyor
  • Ülke düzeyinde de vatandaşların dijital egemenliğinin şirketlere bağımlı hale gelme riski var
    • Google’ın geçmişte otoriter hükümetlerin talepleri doğrultusunda yasal uygulamaları kaldırdığı örnekler bulunduğu için, kamusal yazılım işletimi açısından da bu durum bir risk olarak görülüyor
  • Bu politika yalnızca Google Play Store için değil, Android Certified olan tüm cihazlar için geçerli olacak; böylece F-Droid veya Epic Games Store gibi alternatif mağaza kullanıcıları da aynı kısıtlamalara maruz kalacak

Google’ın öne sürdüğü “daha güvenli ortam” söyleminin sorunları

  • Google, “internetteki sideloading kaynaklarında bulunan kötü amaçlı yazılımın Play Store’a kıyasla 50 kat fazla olduğu” yönündeki kendi analizini alıntılayarak politikayı meşrulaştırıyor
    • Ancak F-Droid bu analiz verisini hiç görmediğini söylüyor ve bunu dayanaksız bir rakam diye eleştiriyor
  • Yakın zamanda 224 zararlı uygulamanın reklam dolandırıcılığı kampanyası nedeniyle Play Store’dan kaldırıldığı örneği anılarak, Google’ın dış toplulukları suçlamak yerine kendi güvenlik sistemini iyileştirmeye odaklanması gerektiği belirtiliyor
  • Başka bir habere göre Play Store’da 19 milyondan fazla kez indirilmiş zararlı uygulamalar bulundu; bu da zararlı yazılım tespitinin tek bir şirketin kararına bırakılmasının güvenilir olmadığını düşündürüyor
    • Google’ın ticari çıkarlarının kullanıcı korumasının önüne geçebileceğine dair kaygılar dile getiriliyor
    Reklam

Ne yapılabilir

  • Google’ın aşırı politika kontrolüne yönelik eleştiriler uzun süredir vardı ve son dönemde daha da hızlandı
    • 2024’te Chrome’da Manifest v3 ile reklam engelleme işlevleri zayıflatıldı,
    • 2025’te ise Android Open Source Project (AOSP) geliştirmesi kapalı hale getirilerek bu doğrulama altyapısının gizlice inşa edildiği belirtiliyor
  • Geliştirici doğrulama sistemi, F-Droid gibi özgür yazılım dağıtım platformları ve Play Store’un ticari rakipleri için varoluşsal bir tehdit olarak görülüyor
    • Kullanıcıların, geliştiricilerin, medyanın ve sivil toplum kuruluşlarının tepkisi büyüyor; ancak politika yapıcıların farkındalığının artması hâlâ gerekli
  • Tüketiciler, keepandroidopen.org üzerinden temsilci kurumlara görüş iletebilir ve açık Android ekosisteminin korunması için harekete geçebilir
  • Geliştiricilere, mevcut aşamada Google geliştirici kayıt programına katılmaları tavsiye edilmiyor
    • F-Droid bu zorlayıcı sistemi açıkça reddettiğini ilan ediyor
  • Dünya genelinde insanların yarısından fazlası Android akıllı telefon kullanıyor ve cihazın sahipliği Google’a değil kullanıcıya aittir
    • Kullanıcıların kime güveneceklerine ve yazılımı nereden edineceklerine kendilerinin karar verme hakkına sahip olması gerektiği vurgulanıyor

İlgili okumalar

1 yorum

 
GN⁺ 2025-10-29
Hacker News yorumları

  • Yazının yazarı benim. Birçok yorumun agresif tonuna ve samimiyetsizlikle suçlanmama epey şaşırdım
    ‘sideload’ teriminin kökenini tartışmak önemli değil. Bu kelimeyi kullananlar genelde bunu hackersi ve olağandışı bir davranış gibi hissettirmek istiyor
    Linux, Windows ve macOS’ta buna ‘sideload’ değil, sadece ‘install’ deniyor
    Bilgisayarıma ya da cebimdeki bilgisayara istediğim herhangi bir yazılımı kurma hakkım olduğuna inanıyorum. Bu, sonuna kadar savunacağım bir ilke

    • Bu toplulukta da otoriter kontrolü seven insanlar var. Apple ya da Google Play’in bizi koruduğuna inanıyorlar ve bunun savunulması gerektiğini düşünüyorlar
      Bu tutum, mobil cihazların kapalılığı gibi konularda sık sık ortaya çıkıyor. Ama bu insanlar sadece sesi çok çıkan küçük bir azınlık
    • Bence projeyi tamamen bırakmak daha iyi. Daha önce bir gizlilik projesine katkı vermiştim ama YouTube’daki ‘creator’ları zarara uğrattığım söylenerek suçlanınca bir şey fark ettim. İnsanlar Google tarafından sömürülürken bile bundan memnun. Ruh sağlığım için bıraktıktan sonra çok daha fazla zamanım oldu
    • F-Droid’in aslında Google Play Store’dan daha güvenli olduğu da savunulamaz mı? Google, sideloading’i bir ‘malware’ sorunu gibi sunuyor ama gerçekte daha fazla zararlı uygulamayı yayan taraf Play Store olabilir. Hatta küçük ve bağımsız bir uygulama mağazası daha iyi yönetilebilir
    • Sorun daha geniş alanlara yayılıyor. Artık sadece yazılım değil, egzersiz ekipmanları gibi donanımlar da abonelik modeline bağlanıyor. Eskiden bir kol ile ayarlanan direnç, artık ayda 30 dolar ödemeden kullanılamıyor. Bu, 1920’lerdeki ampul kartelinin planlı eskitmesinden bile daha kötü. Piyasanın bunu hâlâ taşıyor olması moral bozucu ama tekel yapıları yerleşince bu tür desenler ortaya çıkıyor
    • Ben de aynı düşünüyorum. Yalnız olmadığını bilmeni istedim

  • Tartışmayı daha üst bir düzleme taşımak gerek. ‘sideloading’ tartışması ikincil önemde. Asıl mesele cihaz sahipliği ve işlemin sınırları
    Ben bir cihazı satın aldığım anda işlem bitmeli ve sonrasında kontrol %100 bende olmalı. Üreticide ya da OS geliştiricisinde ise %0 olmalı

    • İlk yapılması gereken şey DMCA reformu. Şu anda kullanıcıların kendi cihazlarını kontrol etmesini sağlayacak araçlar ya da bilgileri sunmak bile federal yasayı ihlal edebiliyor
      EFF’nin ilgili yazısına bakın
      Bu tür yasalar şirketlerin devlet gücünü kullanarak insanları korkutmasına yol açıyor. Buna karşılık, bu hükümler kaldırılırsa tüketiciler kendi lockpick araçlarını geliştirebilir
    • Ama bu ideal pratikte imkânsız görünüyor. Sonunda büyük teknoloji şirketlerinin izin verdiği cihazları kiraladığımız bir dünyaya gidiyoruz. Tüm kod çalıştırma hakkı sadece onaylı geliştiricilere veriliyor ve tüm veriler gözetleniyor. Tam merkeziyetçilik geldiğinde sonrasında ne olacağını düşünmek korkutucu
    • Ancak kusursuz yazılım donanımın üzerinde çalışabiliyorsa o cihaz gerçekten benim olur. Aksi halde o sadece ‘üzerinde onların yazılımı olan benim cihazım’dır
    • “Peki güncellemeleri nasıl yapacaksın?” sorusu gelebilir. Ama esas nokta, güncellemelerin yalnızca kullanıcı istediğinde yapılmasını sağlayan özerklik

  • Platformların davranışı sadece bir semptom, temel sorun değil

    1. Telefonum bana ait ve istediğim uygulamayı kurabilmeliyim
    2. Resmî mağaza gibi doğrulanmış kanallar güvenlik açısından faydalıdır
      İkisi de doğruysa, resmî mağaza dışından kurulum yapılırken sadece “sorumluluk size aittir” uyarısı gösterilmesi yeterli olur. Çoğu kullanıcı zaten resmî mağazayı kullanacaktır
      Ama Apple ve Google, uygulama içi işlemlerden komisyon (vig) aldığı için bunu yapmıyor. Platform vergisi kalkarsa sideload meselesi de ortadan kalkar
    • Önemli olan ‘resmî’ olması değil, ‘güvenilir bir kanal’ olmasıdır. F-Droid böyle bir kanal ama Google Play değil. Google hatta bu tür güvenilir kanalları yok etmeye çalışıyor
    • Android zaten “sorumluluk size aittir” uyarısını gösteriyor. Google şimdi sadece kayıtlı geliştiricilerin uygulama dağıtabilmesini istiyor
    • Uyarı penceresi zaten var ama insanlar yine de tıklayıp geçiyor. Güvenlik mühendisliğinin gerçeği, kullanıcıların bu uyarıları anlamamasıdır. Sadece “uyardık, artık sorumluluk bizde değil” tavrı, zararın telafisine hiçbir katkı sağlamıyor
    • Android’de bu özellik zaten vardı ve şimdi kaldırılmak üzere
    • Ben de Google Play Store’a güvenmiyorum

  • root yetkisine bile sahip olmadığımız bir dünyada yaşamamız çılgınlık. Sideload kısıtlamaları bunun distopik bir simgesi sadece

    • LineageOS yüklü bir Poco F3’te root erişimini koruyorum. Ama donanım attestation standart hâline gelirse bu özgürlük de kaybolur diye endişeleniyorum. Root ve sideload engellenirse Android’in artık bir değeri kalmaz
    • Bu tür kontrolün sonucu olarak Apple ve Google, hangi teknolojilerin ve hizmetlerin pazarda büyüyebileceğine de karar vermiş oluyor

  • Bir iOS kullanıcısı olarak Apple’ın kapalı politikalarından bıkıp Android cihaz aldım ve PoC uygulamaları geliştirdim. Hâlâ çeşitli cihazlara F-Droid üzerinden uygulama kuruyorum. Bu engellenirse cihazlarım işe yaramaz hâle gelecek

    • Bu yıl iOS’ta SideStore’u keşfettim; otomatik yenileme özelliği harika. Kendi yaptığım iki iOS uygulamasını her gün keyifle kullanıyorum. Google’ın yeni politikası sayesinde bir süre Android’e geri dönmeyeceğim gibi görünüyor

  • Birçok yorum, yazının ana fikrinden çok kelimenin anlamına takılıyor

    • F-Droid makaledeki ‘coined’ kelimesini sadece ‘popularized’ ile değiştirirse HN’in hoşuna gideceği yönünde şaka yapmak istiyorum
    • HN’de bu çok olur. Uzun bir yazıda tek bir kelimeye saplanıp ormanı göremiyorlar

  • Google gerçekten güvenlik gerekçesiyle bu politikayı dayatıyorsa, o zaman sandbox kullanıcı hesabı oluşturup resmî olmayan uygulamaların onun içinde kurulmasına izin verebilir. Ama bunu isteyen kullanıcı sayısı o kadar az ki Google muhtemelen umursamayacaktır. Bizim gibiler de gidip Çin telefonunu ithal ederek kullanır

    • Ama Brezilya gibi ithalat kısıtlamaları olan ülkelerde sertifikasız telefon getirmek mümkün değil
    • Aslında sideload yasağının amacı güvenlik değil, NewPipe ya da Vanced gibi uygulamaları engellemek
    • Belki Termux ile doğrudan ADB çalıştırıp F-Droid uygulamasını kurmanın bir geçici çözümü bulunabilir. Ama Google bunun gibi girişimleri yakında kapatacaktır
    • Zaten kullanıcı tabanı çok küçük olursa geliştiricilerin uygulama yapması için bir neden kalmaz

  • Raymond Carver’dan hiç söz edilmemesi biraz üzücü
    En bilinen eserine bakınca, bugünkü mobil OS durumunun o kadar karanlık olduğu hissine kapılıyorum. Shortcuts filmini de tavsiye ederim

    • Evet, biraz konu dışı ama Carver harika bir yazar

  • ‘sideload’ kelimesi baştan beri bir şeyi gizli ve tehlikeli bir eylem gibi göstermek için türetilmişti
    Eskiden Rapidshare ya da Megaupload gibi dosya barındırma servislerinde de ‘sideload’ diye bir özellik vardı; bu, dosyaları doğrudan sunucuya aktarmak anlamına geliyordu

  • macOS, internetten indirilen uygulamaları çalıştırırken sadece “Bu uygulamayı açmak istiyor musunuz?” diye soruyor. Kurulumu tamamen engellemiyor. Telefonlarda da böyle olmalı

    • Ama pratikte durum daha karmaşık. Örneğin benim derlediğim bir golang ikilisini başka birine gönderirsem macOS bunu “bozuk uygulama” diye işaretleyip çalıştırmayı engelliyor. Bunun teknik olmayan kullanıcıları dışarıda tutmak için tasarlanmış olduğunu düşünüyorum
    • Bu güncelleme ise kullanıcının kurup kurmamaya karar verme yetkisini tamamen ortadan kaldırıp, yalnızca kayıt olup ödeme yapan geliştiricilerin uygulama kurabilmesine doğru gidiyor. Sonuçta bu, kapalı ekosisteme yönlendirme anlamına geliyor
    • macOS uyarı gösteriyor ama kullanıcıya bunu görmezden gelip çalıştırma seçeneği bırakıyor. iOS’ta bu yok ve Google da o yolu izlemek istiyor
    • macOS, App Store dışı uygulamalarda her seferinde uyarı gösteriyor ama kullanıcı kendi derlediği uygulamaları ya da quarantine bayrağını kaldırdığı uygulamaları çalıştırabiliyor
    • brew gibi bir paket yöneticisiyle kurarsanız bu uyarı bile çıkmıyor