Uygulama dağıtımı için geliştirici kaydının zorunlu hale getirilmesine ilişkin Google açık mektubu

 (keepandroidopen.org)
2 puan yazan GN⁺ 2026-02-25 | 1 yorum | WhatsApp'ta paylaş
  • Dünya genelinden 38 sivil toplum kuruluşu, kâr amacı gütmeyen kurum ve teknoloji şirketi, Google'ın Android uygulamalarının harici dağıtımı için geliştirici kaydını zorunlu kılan politikasına karşı çıktığını açıkladı
  • Bu kuruluşlar, Android'in halihazırda işletim sistemi düzeyinde güvenlik, uygulama imzalama ve Play Protect gibi çeşitli koruma mekanizmalarına sahip olduğuna dikkat çekti
  • Merkezi kayıt sisteminin yenilikçiliği ve rekabeti, gizliliği ve kullanıcı özgürlüğünü tehdit ettiğini, ayrıca Google'ın tüm uygulama dağıtımını kontrol edebileceği bir yapı oluşturduğunu eleştirdi
  • Ayrıca bu politikanın küçük geliştiriciler, açık kaynak projeleri, yaptırım uygulanan ülkelerdeki geliştiriciler ve insan hakları aktivistleri için giriş engellerini artıracağı uyarısında bulundu
  • İmzacı kuruluşlar Google'dan politikanın geri çekilmesini, açıklık ve tarafsızlığın yeniden tesis edilmesini ve toplulukla şeffaf istişare yürütülmesini talep etti

Politikaya muhalefetin arka planı

  • Google, bundan sonra uygulamalarını Play Store dışında dağıtmak isteyen tüm geliştiriciler için merkezi kaydı zorunlu hale getirmeyi planlıyor
    • Kayıt süreci kimlik belgesi sunma, şartları kabul etme ve ücret ödeme adımlarını içeriyor
  • İmzacı kuruluşlar, bu adımın Google hizmetleriyle ilgisiz alanlara kadar geçit bekçiliği yetkisini genişlettiğini belirtiyor
    • Google'ın dünya genelindeki uygulamaları keyfi biçimde devre dışı bırakma yetkisine sahip olacağı uyarısında bulunuyorlar

Giriş engelleri ve yenilikçiliğe darbe

  • Kayıt zorunluluğu bireysel geliştiriciler, küçük ekipler ve açık kaynak projeleri açısından dezavantaj yaratıyor
    • Kaynak yetersizliği, altyapıya erişim kısıtları ve yaptırım altındaki ülkelerde yaşama gibi nedenlerle kaydın zorlaştığı birçok örnek bulunuyor
  • Gizlilik odaklı geliştiriciler, insan hakları aktivistleri ve acil müdahale kuruluşları da risk altına giriyor
  • Bu tür idari yüklerin yazılım çeşitliliğinin azalmasına ve büyük şirket merkezli yoğunlaşmaya yol açabileceği belirtiliyor

Kişisel veri ve gözetim kaygıları

  • Google'ın kayıt sistemi, tüm Android geliştiricilerinin kişisel verilerinden oluşan bir veritabanı yaratıyor
    • Toplanan bilgilerin saklanma, kullanım ve devlet taleplerine yanıt verme biçimi konusunda kaygılar dile getiriliyor
  • Gizliliği koruyan ya da politik açıdan hassas uygulamalar geliştirenler için gereksiz gözetim riski doğuyor

Keyfi uygulama ve hesap askıya alma riski

  • Google'ın mevcut uygulama inceleme sistemi, şeffaf olmayan kararlar ve sınırlı itiraz süreçleri nedeniyle uzun süredir eleştiriliyor
    • Otomatik kararlar, açık gerekçe olmadan askıya alma ve siyasi ya da rekabetçi unsurların devreye girme ihtimali gibi sorunlar gündeme getiriliyor
  • Tüm dağıtım yetkisinin tek bir şirket tarafından kontrol edilmesi, sağlıklı bir rekabet ekosistemiyle çelişiyor

Rekabetin sınırlandırılması ve düzenleme sorunu

  • Google, kayıt sistemi üzerinden tüm uygulama geliştirme eğilimlerini ve rakip stratejilerini görme imkânı elde edebilir
    • Bunun pazar bilgisinde asimetri yaratacağı, ayrıca rekabetçi ürünlerin önceden engellenmesi veya kopyalanması riskini artıracağı ifade ediliyor
  • Avrupa Birliği, ABD ve diğer düzenleyici kurumlar halihazırda platform tekeli ve kendi ürünlerini kayırma uygulamalarını inceliyor;
    imzacı kuruluşlar Google'ın açıklık ve birlikte çalışabilirliği koruması gerektiğini vurguluyor

Mevcut güvenlik yapısının yeterliliği

  • Android zaten sandboxing, izin sistemi, imza doğrulaması ve sideloading uyarıları gibi güvenlik özelliklerine sahip
  • Bu yapı 17 yıldır kullanıcı korumasını sağlamayı sürdürdü;
    Google gerçekten güvenlik konusunda endişeliyse mevcut mekanizmaları güçlendirmeye odaklanması gerektiği savunuluyor

Ortak talepler

  • Üçüncü taraf dağıtım için geliştirici kaydı zorunluluğunun derhal geri çekilmesi
  • Sivil toplum, geliştiriciler ve düzenleyici kurumlarla şeffaf istişare yürütülmesi
  • Platform tarafsızlığının güvence altına alınması ve Google'ın ticari çıkarlarıyla platform işletiminin ayrıştırılması
  • Android'in açıklığının yeniden tesis edilmesi, özgür yazılımın ve dijital egemenliğin korunması çağrısı

İmzacı kuruluşlar

  • EFF, FSF, FSFE, F-Droid, Nextcloud, Proton, Vivaldi, Tor Project dahil 38 kuruluş yer alıyor
  • Bu kuruluşlar, Google'ın geliştirici doğrulama programını durdurması ve
    güvenlik ile açıklık arasındaki dengeyi birlikte araması gerektiğini savunuyor

İlgili okumalar

1 yorum

 
GN⁺ 2026-02-25
Hacker News görüşleri

  • Bu mektuptaki en tartışmalı kısım, "Existing Measures Are Sufficient" (mevcut önlemler yeterli) iddiası
    Google, 2025 Kasım duyurusunda resmi blogu üzerinden saldırı vektörünü açıkça anlattı
    Örneğin Güneydoğu Asya'da dolandırıcılar kurbanı arayıp “banka hesabınız hacklendi” diyerek korku yaratıyor ve güvenlik amaçlı bir “doğrulama uygulaması” yüklemesini istiyor. Bu uygulama aslında zararlı yazılım; bildirimleri ele geçiriyor, 2FA kodlarını çalıyor ve hesabı boşaltıyor
    Google, bu tür saldırıları durdurmak için geliştirici kimlik doğrulaması gerektiğini savunuyor. Kimlik doğrulama olmazsa zararlı uygulamaların sonsuza kadar yeniden üretildiği bir "köstebek vurma" oyunu yaşanacağını söylüyor
    Ben de zorunlu kaydın aşırı olduğunu düşünüyorum ama “şu an da sorun yok” tarzı bir tepki yerine daha iyi bir alternatife ihtiyaç olduğunu düşünüyorum. Örneğin yalnızca bildirim/SMS ele geçirme gibi hassas izinlerde kayıt zorunlu olabilir ya da kayıt olmayan geliştiricilerden pahalı sertifikalar istenebilir

    • Topluluğun neden farklı tepki vermesi gerektiğini anlamıyorum. Dünya zaten güvenli değil ve tam güvenlik ancak özgürlükten vazgeçme pahasına mümkün
      İnsanların kendi başına yanlış seçim yapma özgürlüğü de olmalı. Birinin dolandırıcının telefonuna inanıp uygulama yüklemesi bir saldırı vektörü değil, kişisel tercihtir. Bu yüzden kullanıcıların kendi cihazlarına uygulama yüklemesini engellemek, bankanın “parayı barda harcayacaksın diye para çekemezsin” demesinden farksız
    • Ben bu mektubun yazarı ve imzacı koordinatörüyüm. Burada “sorun yok” demiyorum; Android'in zaten kademeli güvenlik sıkılaştırması ile yeni tehdit modellerine yanıt verdiğine dikkat çekiyorum
      Örneğin Android 13~14'teki Restricted Settings, telefonla APK yükletmeye yönlendiren dolandırıcılıkları engelliyor; Android 15'teki Enhanced Confirmation Mode ise sistem ayarlarını manipüle etmeye çalışan zararlı uygulamaları önlüyor
      Bu özellikler zaten işe yararken Google'ın bir anda her şeyi kilitlemeye yönelmesi, önceki yönelimden kopuş anlamına geliyor. Zararlı yazılımlar her zaman vardı ve Play Store'un içinde de var. Mevcut aşırı önlemi haklı çıkaracak yeterli gerekçe yok
    • Geliştirici kaydı sorunun çözümü değil. Çalıntı kimlikler ucuza bulunabiliyor ve suçlular günde onlarca kez yeni uygulama yükleyebilir
      Asıl sorun teknik okuryazarlık eksikliği, insanların güvenme eğilimi, yetersiz kolluk gücü ve bazı ülkelerin dolandırıcılık çetelerine göz yumması
      Benim bankacılık uygulamam, arama sürerken ya da uzaktan kontrol açıkken çalışmıyor. Ama root'lu cihazlarda yapılabilecek bir şey yok. Sonuçta ülkelerin suçu sadece Google'a atması sorumluluktan kaçmak
      Bu tür kısıtlamalar birkaç gün içinde aşılacak ve yalnızca sıradan kullanıcılar daha çok zorlanacak
    • Birisi güvenlik uyarılarını görmezden gelmeye ikna edilebiliyorsa, o kişiye 2FA kodunu doğrudan söyletmek ya da başka phishing yöntemleri kullanmak da mümkündür
    • Bu sorunun kusursuz bir çözümü yok. Kullanıcılara doğrulanmamış uygulama yükleme izni verirseniz zararlı uygulama riski doğar; engellerseniz kullanıcı özgürlüğü kısıtlanır
      Karmaşık bir “kilit açma” süreci koymak da mümkün ama bu da sonuçta sıradan kullanıcıların resmi olmayan uygulamaları yükleyememesi anlamına gelir
      Dolandırıcılık sorunu gerçekten ciddi ama önerilen çözüm hastalıktan beter bir tedavi gibi görünüyor

  • Yargıç, Google'a fiilen “Apple kendi platformunda rakipsiz olduğu için antitröst ihlali sayılmaz” demiş oldu (Epic davasıyla ilgili)
    Google da bunu kelimesi kelimesine aldı. Şimdiki politikanın ortaya çıkma nedeni bu. Bana göre bu, son dönemdeki kararlar arasındaki en kötü kararlardan biri

    • Böyle meseleleri yargıçlar değil, yasama organı ele almalı. Telekom gibi herkesin bağımlı olduğu platformlar yasayla düzenlenmeli
      AB'nin Apple ve Google'ı geçit platformları olarak tanımlayan yaklaşımını çok daha iyi buluyorum. ABD Kongresi modern bir yaklaşım için gerekli yasal çerçeveyi kuramıyor
    • Birkaç gün önce de aynı yorumu yazdığını hatırlıyorum. Önceki yorum bağlantısı
    • Hangi karardan söz ettiğini biraz daha somut anlatabilir misin? O sonuca nasıl varıldığını merak ediyorum

  • Geliştirici kaydındaki sorun, Google ve hükümetlerin uygulamaları sansürleme yetkisine kavuşması
    Devlet “VPN uygulamalarını yasakla” derse Google kayıt şartlarını kullanarak bunu engelleyebilir

    • Zaten böyle bir yetkileri yok mu?
    • Bundan da ciddi. Kurulum yalnızca resmi yoldan yapılabilirse Google kimin hangi uygulamaları kullandığını takip edebilir
      Örneğin bir ICE takip uygulaması yükleyen kişi devlete bildirilebilir ve terörist listesine alınabilir

  • Kayıt sistemi, yalnızca binlerce meşru geliştiriciye sürtünme maliyeti yükleyecek; kötü niyetli aktörler ise paravan şirketler veya çalıntı kimliklerle geri dönmeye devam edecek
    Kimlik doğrulama ile suçu caydırmak aynı şey değil

    • Aslında bu sürtünme "güvenlik" için değil, kasıtlı tasarımın parçası. Google küçük geliştiricileri dışarı itmek istiyor
      Zaten Play Store'da bireysel geliştiricileri gerçek adlarını göstermeye zorluyor, uygulama görünürlüğünü düşürüyor ve “bu uygulama az yüklenmiş” gibi uyarılar çıkarıyor
      Sonuçta amaç büyük şirket uygulamaları merkezli bir ekosistem kurmak. Bakım yükünü azaltıp geliri artırmak istiyor
    • Elbette bu sürtünmenin hiç etkisi yok denemez. Çalıntı kimlikle binlerce hesap açmak zor ama zararlı uygulama varyantları üretmek çok daha kolay
      Bu dengenin değerli olup olmadığından emin değilim ama tamamen anlamsız olduğunu söylemek de zor
    • Google, Play Store'da bile zararlı uygulamaları düzgün biçimde ayıklayamıyor. Hâlâ sahte ve spam uygulamalar ortalıkta dolaşıyor

  • Google'a şunu söylemek istiyorum: Önce Play Store'daki zararlı yazılımları temizlesin, sonra sideloading hakkında konuşsun

  • Play Store dışından yüklemeyi yasaklamak ileri düzey kullanıcılara felaket olur
    Root'tan vazgeçtim ama reklam engelleme gibi şeyleri APK ile çözüyordum. Bu uygulamalar engellenirse Android kullanmak için sebep kalmaz

  • Bu imzacı listesi, Google'ın ortadan kaldırmak istediği grupların listesi gibi görünüyor

    • Aynen öyle. Google'ın sivil toplumla ilgisi yok; tek ilgilendiği şey kendi gücünü artırmak
      Umarım bu adım insanları Google'a alternatif aramaya yöneltir

  • Android ve iOS ikisi de kapalı hale gelirse ben her seferinde iOS'u seçerim
    Android kullanma nedenim açıklık. O da giderse Apple'ın akıcı UX'ini ve ekosistemini tercih ederim

    • Ben bir yıldır zorla iOS kullanıyorum ama hâlâ o akıcı UX'i ya da güçlü ekosistemi görebilmiş değilim

  • Dürüst olmak gerekirse, “marjinalleştirilmiş topluluklar üzerinde orantısız etki” ifadesinin hacker'lardan çok üçüncü dünyadaki yaşlı mağdurlar için geçerli olduğunu düşünüyorum
    Bunlar dolandırıcılık uygulamalarına kanıp birikimlerini kaybedebiliyor

  • “Don’t be evil” artık “devlet kimliğiyle kayıt olduktan sonra kötü olma”ya dönmüş gibi
    Google mahkemede Android'in açıklığını öne sürerek antitröst davalarına karşı savunma yaptı ama şimdi o kapıyı kendisi kapatıyor
    Güvenliği gerekçe gösteriyor ama gerçekte çözmek istediği sorun “kontrol edilemeyen geliştirici” değil, “gelire dönüştürülemeyen geliştirici