Android geliştirici doğrulaması: Erken erişim başladı

 (android-developers.googleblog.com)
3 puan yazan GN⁺ 2025-11-14 | 1 yorum | WhatsApp'ta paylaş
  • Android geliştirici doğrulama sistemi resmen devreye alındı ve Play dışında uygulama dağıtan geliştiriciler için erken erişim programı başlatıldı
  • Bu sistem, dolandırıcılık ve kötü amaçlı yazılım dağıtımını önlemek için ek bir güvenlik katmanı olarak tasarlandı; geliştiricilerin gerçek kimlik tabanlı doğrulama sürecinden geçmesini isteyerek saldırganların hareket maliyetini artırıyor
  • Öğrenci ve hobi geliştiricilere yönelik hesap türü eklendi; bu sayede sınırlı sayıda cihaza uygulama dağıtabilmeleri için daha hafif bir doğrulama süreci sunuluyor
  • İleri düzey kullanıcılar için kurulum akışı da geliştiriliyor; kullanıcıların riski anlayarak doğrulanmamış uygulama kurulumunu doğrudan seçebilmesini sağlayan bir özellik içeriyor
  • Google, topluluk geri bildirimlerini yansıtarak doğrulama sürecini iyileştiriyor ve Android ekosisteminde güvenlik ile erişilebilirlik dengesini koruyacak şekilde geliştirmeyi sürdürüyor

Android geliştirici doğrulama sisteminin amacı

  • Yeni geliştirici doğrulama gereksinimleri, Android kullanıcılarını korumak için ek bir savunma katmanı olarak tasarlandı
    • Google, farklı kullanıcı türlerini dikkate alan dengeli bir güvenlik yaklaşımını hedefliyor
    • İlk duyurunun ardından öğrenciler, hobi geliştiriciler ve ileri düzey kullanıcılardan geri bildirim toplandı
  • Dolandırıcılık ve dijital sahtekarlığı önleme, uzun süredir Android güvenliğinin temel konularından biri
    • Google Messages’daki dolandırıcılık tespiti, Google Play Protect ve gerçek zamanlı spam arama uyarıları gibi mevcut özelliklerle bağlantılı
  • Son dönemde çevrimiçi dolandırıcılık ve kötü amaçlı yazılım kampanyaları daha saldırgan hale geliyor
    • Özellikle dijitalleşmenin hızla ilerlediği bölgelerde bunun etkisi daha ağır görülüyor

Doğrulamanın gerekliliği ve gerçek örnekler

  • Teknik koruma mekanizmaları tek başına tüm sosyal mühendislik saldırılarını engellemekte yetersiz kalabiliyor
    • Saldırganlar, kullanıcıları güvenlik uyarılarını görmezden gelmeye zorlayan baskıcı sosyal mühendislik teknikleri kullanıyor
  • Güneydoğu Asya’da gözlemlenen bir örnekte saldırgan, kurbana banka hesabının hacklendiğini söyleyip
    “doğrulama uygulaması” kurmasını sağlıyor, ancak gerçekte iki aşamalı doğrulama kodlarını çalan bir kötü amaçlı yazılımı yükletiyor
  • Doğrulama süreci olmazsa saldırganlar anında yeni kötü amaçlı uygulamalar üretip dağıtabiliyor
    • Geliştiricinin gerçek kimlikle doğrulanması, kötü niyetli aktörlerin faaliyet maliyetini artırıyor ve saldırıların yayılmasını zorlaştırıyor
    • Bu yaklaşım Google Play’de etkisini zaten kanıtladı ve şimdi Android ekosisteminin geneline genişletiliyor

Öğrenci ve hobi geliştiricilere destek

  • Bazı geliştiriciler, aile veya arkadaş gibi küçük bir hedef kitleye dağıtılacak uygulamalar geliştirirken giriş engelinden endişe duyuyordu
  • Bunun üzerine öğrenci ve hobi geliştiricilere özel hesap türü getirildi
    • Bu hesapla uygulamalar sınırlı sayıda cihaza dağıtılabiliyor ve tam doğrulama sürecinden geçmek gerekmiyor

İleri düzey kullanıcı yetkilerinin güçlendirilmesi

  • Güvenlik riskini üstlenmeye istekli deneyimli kullanıcılar için yeni bir kurulum akışı geliştiriliyor
    • Kullanıcıların doğrulanmamış uygulama kurarken riski açıkça anlaması için uyarı mesajları gösterilecek
    • Sistem, zorlama veya dolandırıcılık durumlarında bile kolayca aşılamayacak şekilde tasarlanıyor
    • Şu anda tasarıma ilişkin ilk geri bildirimler toplanıyor; ayrıntıların ileride paylaşılması planlanıyor

Erken erişim programı başladı

  • Play dışında uygulama dağıtan geliştiriciler için Android Developer Console üzerinden geliştirici doğrulama erken erişim davetleri gönderilmeye başlandı
    • Play Console davetleri daha sonra sunulacak
  • Yeni konsol deneyimini gösteren video ile kılavuz ve SSS belgeleri yayımlandı
  • Google, geliştirici geri bildirimlerini yansıtarak doğrulama deneyimini sadeleştirmeyi ve güvenli bir ekosistem oluşturmayı sürdürdüğünü belirtiyor

İlgili okumalar

1 yorum

 
GN⁺ 2025-11-14
Hacker News görüşleri

  • Google’ın onayı olmadan F-Droid gibi alternatif uygulama mağazalarından uygulama yükleyip otomatik güncelleme almak istiyorum
    adb ile elle yüklemeye izin verilmeli ama bu yeterli değil
    Google’ın “kullanıcı koruması”nın aslında reklam geliri kontrolü için olduğunu düşünüyorum. Örneğin SimpleMobileTools olayı gibi, uygulama satıldıktan sonra yeni sahip kullanıcı aleyhine güncellemeleri zorla dağıtabildi
    Buna karşılık F-Droid bu tür sürümleri engelledi ve açık kaynak fork olan Fossify Apps’i önerdi (ilgili yorum)

    • Sonuçta meselenin özü kontrol bence. Platformu ve erişimi kontrol edersen dünyayı yönetebilirsin
      Bizim yapmamız gereken şey sonraki nesle FOSS öğretmek. Çünkü küçük yaşta edinilen alışkanlıklar ömür boyu sürer. Geliştiriciler okullarda bu konular üzerine konuşma yapmak için gönüllü olmalı
    • Otomatik güncellemeye izin verip aynı anda kötü niyetli geliştirici değişimini engellemek çelişkili
      Ne Google ne de F-Droid geliştiricinin hesabı ve anahtarları devredip devretmediğini tespit etmekte zorlanmadan bunu anlayabilir
    • “Kullanıcıları güvende tutmak en büyük öncelik” diyorsunuz ama ben Big Brother tarafından korunmak istemiyorum
    • Otomatik güncellemeler varsayılan olarak kapalı olsaydı SimpleMobileTools gibi bir sorun yaşanmazdı
      Kararı kullanıcı vermeli. Ben tüm uygulamalarda internet erişimini varsayılan olarak engelliyorum.
      Sonuçta Android’in kendisi gözetim işi yapan bir şirket tarafından yapılmış, kullanıcıya düşman bir işletim sistemi
    • Komik olan şu ki Google Drive’ı macOS’e kurmak için .pkg dosyasını elle indirmen gerekiyor
      Apple Store’da da yok; peki Android’de neden buna izin verilmiyor? Çifte standart değil mi?

  • Google bu politikayı ilk duyurduğunda bazı ülkelerde bunun devlet baskısından kaynaklandığını ima etmişti
    resmî blog yazısına göre Brezilya, Endonezya, Singapur ve Tayland’da uygulanacakmış
    Devletler dolandırıcı uygulamalar yüzünden Google’ı sorumlu tuttuğu için, teknik olmayan kullanıcıların “doğrulanmamış uygulamaları” kolayca yükleyebileceği bir yol var olamaz
    Ama bu yaklaşım pek çok kişi için temelden kabul edilemez

    • Devlet baskısı iddiasına inanmıyorum. Asıl sorun, uygulamaların kişisel verilere erişebilmesini mümkün kılan yapı
      Google bu karmaşık kontrol yöntemlerini mahremiyet ihlali temelli iş modelini sürdürmek için oluşturdu
      Sonuçta bu, sideloading yasağını “kurbağayı yavaş yavaş haşlama” yöntemiyle meşrulaştırma süreci
    • Google, YouTube ReVanced gibi uygulamaları ortadan kaldırmak istiyor
      yt-dlp engelleme örneğine bakınca bu açıkça görülüyor
    • Bu daha çok devlet baskısı değil, Google’ın öncülük ettiği bir politika
      Devletlerin ve şirketlerin yasal süreci atlayarak gücü merkezileştirmesi demokratik olmayan bir tutum
    • Donanımı ben satın aldıysam onu değiştirme ve onarma konusunda doğal hakkım vardır
    • “Doğrulanmamış uygulamaları” engellemek biraz ortakların trajedisi gibi
      Dolandırıcılığı önlemek için kullanıcı eğitimi ve bilgi sağlama da birlikte yürümeli

  • “Sideloading” kelimesinin kendisi sorunlu
    Sistemin desteklediği bir yöntemle kod çalıştırmak sadece normal çalıştırmadır
    Bu tür kelimeler insanların algısını çarpıtıyor

    • Kelimeyi ortadan kaldıramayız, o yüzden yeniden tanımlamak gerekir. Biz de şu anda Hacker News’e “sideload edilmiş tarayıcı” ile yazıyoruz
    • Ben f-droid’den uygulama kuruyorum, “sideloading” yapmıyorum
    • Benim için sideloading, apk’yı fiziksel olarak yandaki başka bir cihazdan aktarma eylemiydi
    • Bu terim zaten 2006’dan beri kullanılıyor. CNET kitap bağlantısı

  • Google’ın yeni politikasında “öğrenci/hobi geliştiriciye özel hesap” geleceği söyleniyor ama sonuçta bu ölçek sınırı koymak demek
    Küçük uygulamaların riskli olduğu mantığına dayanıyorsa bu kendi içinde tutarsız

    • Sonraki bölümdeki “uzman kullanıcılar için gelişmiş akış” asıl önemli nokta
      Doğrulanmamış uygulamaların yüklenmesine izin veriyor ama riski üstlenmeniz gerekiyor
    • Ama neden sadece işletim sistemine “riski anlıyorum” diye işaretlemeye izin verilmediğini merak ediyorum
    • Az yüklenen uygulamalar riskliyse, küçük ölçekli dağıtımı kolaylaştırmak çelişkili

  • Google’ın politika değişikliğine yanıt olarak F-Droid kurdum
    Güvenlik beklediğimden daha iyi çıktı. “Diğer uygulamaları yüklemeye izin ver” ayarını her uygulama için ayrı ayrı açmanız gerekiyor
    NewPipe’ı kurduktan sonra sistem düzeyindeki sideloading’i kapatsam da sorunsuz çalışıyor
    Yani rastgele uygulama yükleme riski abartılıyor
    Play Store’da da çok sayıda kötü amaçlı uygulama var; Google’ın yeni politikası sonuçta sadece kontrolü artırmak anlamına geliyor

  • Google “uzman kullanıcılar için gelişmiş akış” hazırlıyormuş,
    tek seferlik bir ayar olursa iyi olur. Ama bunu Apple’ın macOS’te yaptığı gibi can sıkıcı hale getirmelerinden endişeliyim

    • “Sideloading” kelimesinin olumsuz çağrışımı var, o yüzden yeni bir terim gerekiyor
    • Bir kere ayarlanabilen bir bekleme süresi olsa nasıl olur?
    • Bu akışın imzasız ikili dosyalara da izin verip vermeyeceğini merak ediyorum
    • Asıl mesele, uzman kullanıcılara yetişkin gibi davranılıp davranılmadığı

  • Mevcut yöntem her iki taraf için de en kötü seçenek
    Kötü amaçlı apk’lar hâlâ yayılabiliyor ve ölçek büyüdüğünde doğrulama gerekiyor
    Aslında Google geliştirici doğrulaması istese ama F-Droid gibi üçüncü taraf mağazalara izin verse daha iyi olurdu
    Böylece kullanıcılar apk’yı doğrudan kötü niyetli sitelerden almak zorunda kalmazdı
    Ama bu tür dengeli çözümler tartışılmıyor, sadece duygusal tepkiler var

    • Gerçekte iki değişiklik var
      1. öğrenci/hobi geliştiriciler için doğrulama
      2. uzman kullanıcılar için gelişmiş akış
        İkincisinin F-Droid’i destekleyecek kadar güçlü olup olmayacağı belirsiz
    • Kendi cihazımda uygulama geliştirirken internet bağlantısına ihtiyaç duymadan bunu yapabilme özgürlüğü istiyorum
    • Sahip olduğum telefona uygulama kurmak için neden bir mağazaya ihtiyaç duyayım?
    • F-Droid kurulum sayısını izlemeyi reddediyor. Çünkü bu mahremiyet ihlali
      Google uygulama mağazasını doğrulayacaksa bu da başka bir kapı bekçiliği olur

  • Google “kullanıcı koruması en büyük öncelik” diyor ama gerçekte hesap güvenliği ya da bildirim kontrolü sorunlarını ihmal ediyor
    Kötü amaçlı bir uygulama bildirimleri ele geçirebiliyorsa bu sandbox’ın zayıf olduğu anlamına gelir
    Sonuçta Google merkezi kontrolle sonradan engelleme yapan bir yapıya sahip
    Asıl sorun izolasyonun başarısız olması ve yamaların gecikmesi

    • Bu tür açıklamalar aslında güvenlik mimarisindeki açıkları ele veriyor
      Hassas izinlere ihtiyaç duyan uygulamalar için ayrı doğrulama yeterli olurdu
    • Şirket dili hep aynı. Ölüm, vergi ve kurumsal laf cambazlığı
    • Onların asıl önceliği gelir elde etmek
    • Gerçekte amaç YouTube ReVanced ya da uBlock Origin gibi uygulamaları engellemek
    • Elbette Google’ın güvenliğe büyük yatırım yaptığı da bir gerçek. Ama somut iyileştirmeler gerekli

  • “İzin ver (Allow)” ifadesi sorunun özünü gösteriyor
    Benim para verip satın aldığım cihazda Google’ın neye izin verdiğinden söz edilmesi saçma
    Bu yüzden GrapheneOS’a geçmeye hazırlanıyorum. Google kamuoyu sakinleşince kilitleme politikasını tekrar sıkılaştıracak
    Artık Google’dan uzaklaşmak şart diye düşünüyorum

    • Ben de Google servislerini azaltıyorum. Drive ve Photos verilerimi taşıyorum
      E-postayı da kendim yönetmek istiyorum. Google spam filtresini berbat hale getirdi ve fiyatı da artırdı
      Yapay zeka özelliklerini zorla pakete ekleyip ücreti yükselttiler ama ben bunu istemiyorum
      postmarketOS ve GrapheneOS test edeceğim
      YouTube’daki AI dublaj özelliği de aşırı rahatsız edici, bu yüzden alternatif arıyorum
    • UbuntuTouch da değerlendirilebilir. Android apk’larını da çalıştırabiliyor

  • Google zorunlu doğrulama sürecini gevşettiğini açıkladı
    Uzman kullanıcıların riski kabul ederek doğrulanmamış uygulamaları yükleyebilmesi için bir “gelişmiş akış” geliştiriliyormuş

    • Ama sideloading süreci zaten karmaşık; daha da zorlaştırılmasından endişeliyim
      Yine de tamamen engellenmeyecekse temkinli bir iyimserlik taşıyorum
    • Gerçekten güvenlik en büyük öncelik olsaydı bu süreci en baştan oluştururlardı
      Yine de bu değişiklik olumlu bir işaret gibi görünüyor
    • Ama bu yalnızca kullanıcı tarafıyla ilgili bir konu,
      geliştiricilerin uygulamalarını üçüncü taraf mağazalarda ya da web sitelerinde dağıtabilmeleri için hâlâ doğrulama sürecinden geçmeleri gerekiyor