Google, doğrulanmamış Android uygulamalarını sideload etmek için yeni 24 saatlik süreci açıkladı

 (arstechnica.com)
4 puan yazan GN⁺ 2026-03-20 | 6 yorum | WhatsApp'ta paylaş
  • Google, 2026 Eylül'den itibaren geliştirici doğrulama programını uygulamaya koyarak doğrulanmamış uygulamaların kurulumunu sınırlamayı planlıyor
  • Deneyimli kullanıcılar doğrulamayı atlayıp uygulama kurabilecek, ancak bunun tam olarak etkinleşmesi için gizli bir ayar üzerinden 24 saatlik bekleme süresi gerekecek
  • Google, bu gecikmenin sosyal mühendislik saldırılarını önlemek için getirildiğini ve kullanıcıların düşünmeden kötü amaçlı uygulama yüklemesini engelleyecek şekilde tasarlandığını söylüyor
  • Bu değişiklik, Android ekosisteminde güvenliği güçlendirme ile kullanıcı tercih hakkı arasında denge kurmayı hedefliyor ve 2027'de dünya geneline yayılması planlanıyor

Android sideloading politikasındaki değişim

  • Google, 2026'dan itibaren Android genelinde kötü amaçlı yazılım yayılımını önlemeye yönelik büyük çaplı bir değişikliği hayata geçiriyor
    • Eylülden itibaren geliştirici doğrulama programı ile yalnızca doğrulanmış geliştiriciler uygulama dağıtabilecek
    • Doğrulama için kimlik doğrulaması, imzalama anahtarının gönderilmesi ve 25 dolarlık ücret gerekecek
  • Doğrulanmamış geliştiricilerin uygulamaları varsayılan olarak kurulamayacak
    • Ancak 'advanced flow' aracılığıyla istisnai olarak kurulabilecek

Advanced Flow nasıl çalışıyor

  • Bu özellik geliştirici ayarları menüsünün derinliklerine gizlenmiş durumda
    • Kullanıcının geliştirici seçeneklerini etkinleştirmek için About Phone bölümünde yapı numarasına 7 kez dokunması gerekiyor
    • Ardından "Allow Unverified Packages" seçeneğini bulup anahtarı açması, ayrıca PIN girişi yapması ve cihazı yeniden başlatması gerekiyor
    • Sonrasında 24 saat bekledikten sonra ayarlar menüsüne geri dönerek 'geçici izin (7 gün)' veya 'süresiz izin' seçeneklerinden birini seçebiliyor
  • 24 saatlik gecikme, ani kararlarla kurulum yapılmasını önlemeye yönelik bir güvenlik tasarımı
    • Google, bu sürenin sosyal mühendislik temelli dolandırıcılık saldırılarını engellemeye yardımcı olduğunu belirtiyor
    • Örneğin saldırganın "uygulamayı hemen kurmanız gerekiyor" diye baskı yaptığı durumları hafifletmeyi amaçlıyor

Güvenlik ile kullanıcı tercihi arasında denge

  • Google, 300 milyondan fazla aktif cihazı dikkate alarak platformun açıklığını ve güvenliğini aynı anda korumak zorunda olduğunu vurguluyor
    • Şirketin görüşü, "platform güvenli değilse ne kullanıcı ne de geliştirici kazanır" yönünde
  • Doğrulama süreci, uygulama içeriğini sansürlemek için değil kimlik doğrulama amacıyla tasarlandı
    • Böylece kullanıcılar uygulamanın kötü amaçlı yazılım dağıtıcısından veya taklitçiden gelmediğini doğrulayabiliyor
    • Kötü amaçlı yazılım, "kullanıcının niyeti dışında cihaza veya kişisel verilere zarar veren uygulama" olarak tanımlanıyor
  • Google, kişisel amaçlı root araçları veya reklam engelleyici uygulamaları doğrulama sorunu olarak görmüyor

Gizlilik ve hukuki kaygılar

  • Bazı gizlilik savunucuları, doğrulama veritabanının bağımsız geliştiriciler için hukuki risk yaratabileceğinden endişe ediyor
    • Google, haksız yargı emirlerine karşı kullanıcı verilerini koruduğunu söylüyor
    • Ayrıca geliştirici kimlik bilgilerini kalıcı olarak saklamayı planlamadığını belirtiyor
  • Yaptırım uygulanan ülkelerdeki (Küba, İran vb.) geliştiricilerin ücret nedeniyle doğrulama alamayabileceğine dair endişeler de var
    • Google, doğrulama sürecinin ülkeye göre değişebileceğini ve amacın belirli bölgeleri dışlamak olmadığını ifade ediyor

Kademeli uygulama takvimi

  • İlk uygulama 2026 Eylül'den itibaren Brezilya, Singapur, Endonezya ve Tayland'da başlayacak
    • Bu bölgelerde taklit ve phishing türü dolandırıcılıkların görece daha yaygın olduğu belirtiliyor
  • Ardından 2027'de dünya geneline genişletilmesi planlanıyor
  • Google, doğrulama özelliğini Android 16.1'e (2025'te piyasaya sürülecek) entegre etti ve
    desteklenen tüm cihazlarda aynı arayüz ile uyarı ekranlarını sunmayı planlıyor
  • Google, Play dışından uygulama kurulduğunda kötü amaçlı yazılıma yakalanma riskinin 50 kat daha yüksek olduğunu vurguluyor
    • 2023'te Play Store geliştirici kimlik doğrulamasının devreye alınması bu politikanın temelini oluşturdu
    • Bazı ülkelerde güvenlik sorunlarını çözmek için düzenleyici baskı bulunuyor

İlgili okumalar

6 yorum

 
monotyp3 2026-03-20

Kısıtlanacaksa, telefon içinde açılıp kapatılamayacak şekilde, adb ile etkinleştirilebilecek bir yöntemle daha sıkı kapatılmış olmasını isterdim.
Ama kişisel olarak, bu kadarı da yine de makul geliyor.
 
unsure4000 2026-03-20

> Bu akışın tamamı Android OS üzerinden değil, Google Play Services aracılığıyla sunuluyor; bu da Google’ın bunu herhangi bir OS güncellemesi olmadan ve herhangi bir kullanıcı onayı gerekmeksizin istediği zaman değiştirebileceği, kısıtlayabileceği veya kaldırabileceği anlamına geliyor. Gelişmiş akış hâlâ hiçbir Android beta, geliştirici önizlemesi ya da canary sürümünde görünmedi. Bu güncellemenin tarihi itibarıyla yalnızca bir blog yazısı ve UI maketleri olarak mevcut. Topluluktan, zorunluluk yürürlüğe girmeden beş ay önce bir ürün duyurusunu işlevsel bir güvenlik önlemi olarak kabul etmesi isteniyor.
> - https://keepandroidopen.org
 
unsure4000 2026-03-20

Sadece 24 saat beklemek yetiyormuş gibi sunulan oyalama taktiklerini istemiyorum. Cihazı satın aldığımda sahip olduğu işlevleri etkisizleştirmeye yönelik bu girişim hoşuma gitmiyor.
 
crawler 2026-03-20

Sonuçta apk tamamen engellenmiyor gibi görünüyor, buna gerçekten çok sevindim
 
lamanus 2026-03-20

Yine parayı böyle alıyorlar..
 
luiseok 2026-03-20

Artık phishing saldırısı kalıpları, tuzağı kurup biraz daha uzun süre bekleme yönünde değişecek gibi görünüyor.
Yine de bunun şu ankinden çok daha güvenli hale getiren bir politika olduğu kanaatindeyim.