Android geliştirici doğrulaması: tüm geliştiricilere genişletilmeye başlandı

 (android-developers.googleblog.com)
4 puan yazan GN⁺ 29 일 전 | 1 yorum | WhatsApp'ta paylaş
  • Google, Android geliştirici doğrulama programını tüm geliştiricilere genişleterek platformun açıklığını ve güvenliğini aynı anda güçlendiriyor
  • Yandan yüklenen uygulamalarda kötü amaçlı yazılım görülme oranı Google Play'e göre 90 kat daha yüksek olduğu için, anonim kötü niyetli aktörleri engellemek amacıyla ek doğrulama adımları devreye alınıyor
  • Doğrulama Play Console veya Android Developer Console üzerinden yapılabiliyor ve yıl sonundaki kullanıcı tarafı değişikliklerinden önce tamamlanması gerekiyor
  • Eylül 2026'dan itibaren önce Brezilya, Endonezya, Singapur ve Tayland'da uygulanacak, 2027'de ise dünya geneline yayılacak
  • Bu adım, kötü amaçlı yazılımın yayılmasını önlemek ve kullanıcı güvenini sağlamak için Android ekosistemindeki temel güvenlik güçlendirme aşamalarından biri

Android geliştirici doğrulama programına genel bakış

  • Android platformunun açıklığını ve güvenliğini aynı anda güçlendirmek için Google, Android geliştirici doğrulaması (Developer Verification) programını tüm geliştiricilere genişletiyor
  • Google'ın analizine göre, yandan yüklenen uygulamalarda kötü amaçlı yazılım görülme oranı Google Play'e kıyasla 90 kat daha yüksek; bu nedenle anonim kötü niyetli aktörleri engellemek için ek bir güvenlik katmanı olarak doğrulama süreci getiriliyor
  • Tasarım, toplulukla aylar süren iş birliği sonucunda iyileştirildi ve Android'in farklı kullanım biçimleri dikkate alınarak açıklık ile güvenlik arasındaki dengeyi koruyacak şekilde düzenlendi

Doğrulama sürecinin başlaması

  • Tüm geliştiriciler doğrulamayı Android Developer Console veya Play Console üzerinden başlatabiliyor
    • Uygulamasını Google Play dışında dağıtanlar Android Developer Console üzerinden hesap oluşturabiliyor
    • Google Play kullananlar, Play Console hesaplarında doğrulama durumunu kontrol edebiliyor; zaten doğrulanmışlarsa ek işlem gerekmiyor
  • Kullanıcı tarafındaki değişiklikler yıl sonundan itibaren başlayacağı için, doğrulama ve uygulama kaydının bundan önce tamamlanması gerekiyor

Kullanıcı indirme deneyimindeki değişiklikler

  • Doğrulama araçları hemen kullanıma sunulsa da kullanıcı indirme deneyimi Eylül 2026'dan sonra değişecek
  • Kullanıcı koruma özellikleri önce Brezilya, Endonezya, Singapur ve Tayland'da uygulanacak, ardından 2027'de dünya geneline yayılacak
  • Çoğu kullanıcı uygulamaları eskisi gibi yüklemeye devam edebilecek; yalnızca kayıtlı olmayan uygulamaların kurulumu sırasında ADB veya gelişmiş kurulum akışı (advanced flow) gerekecek
  • Böylece deneyimli kullanıcılara esneklik korunurken genel kullanıcı koruması güçlendirilecek

Geliştirici geri bildirimleri doğrultusunda yapılan iyileştirmeler

  • Geliştirici deneyimi sadeleştirilerek ve mevcut iş akışlarıyla entegre edilerek doğrulama süreci daha verimli hale getirildi

  • Android Studio geliştiricileri

    • Önümüzdeki 2 ay içinde, imzalı App Bundle veya APK oluştururken kayıt durumunu doğrudan Android Studio içinde kontrol etmek mümkün olacak

  • Play Console geliştiricileri

    • Play Console'da doğrulamayı zaten tamamlayanlar için Play uygulaması otomatik olarak kaydedilecek
    • Otomatik kayıt mümkün değilse manuel uygulama kayıt süreci izlenmeli; ayrıntılı yönlendirme konsol ve e-posta üzerinden sağlanacak
    • Play Console üzerinden Play dışı dağıtılan uygulamaların kaydı da yapılabilecek

  • Öğrenci ve hobi geliştiricileri

    • Resmî kimlik gerektirmeden ücretsiz kullanılabilecek sınırlı dağıtım hesabı (limited distribution account) sunulacak
    • Uygulamalar en fazla 20 cihaza kadar paylaşılabilecek ve yalnızca bir e-posta hesabıyla başlanabilecek
    • Haziran 2026'dan itibaren erken erişim davetleri gönderilmeye başlanacak

  • İleri düzey kullanıcılar (power users)

    • ADB veya yeni advanced flow aracılığıyla kayıtlı olmayan uygulamaları yükleme seçeneği korunacak
    • Böylece güvenlik ile serbest kurulum ortamı birlikte sürdürülecek

Takvim

  • Google, geliştiriciler, kullanıcılar ve iş ortaklarıyla birlikte çalışarak sistemi kademeli biçimde devreye alıyor
  • Nisan 2026: Android Developer Verifier sistem hizmeti Google sistem ayarlarında görünmeye başlayacak
  • Haziran 2026: öğrenci ve hobi geliştiricilere yönelik sınırlı dağıtım hesabı için erken erişim başlayacak
  • Ağustos 2026: sınırlı dağıtım hesabı ve advanced flow dünya genelinde kullanıma sunulacak
  • 30 Eylül 2026: Brezilya, Endonezya, Singapur ve Tayland'da yalnızca doğrulanmış geliştiricilerin uygulamaları yüklenebilecek ve güncellenebilecek; kayıtlı olmayan uygulamalar yalnızca ADB veya advanced flow ile kurulabilecek
  • 2027 ve sonrası: doğrulama gereksinimleri dünya geneline genişletilecek

Sonuç

  • Google, "açık ama güvenli bir Android ekosistemi" hedefini koruyor
  • Geliştiriciler developer guides üzerinden doğrulama sürecini hemen başlatabiliyor
  • Bu adım, kötü amaçlı yazılımların yayılmasını önlemek ve kullanıcı güvenini sağlamak için Android güvenliğini güçlendirmedeki temel aşamalardan biri

İlgili okumalar

1 yorum

 
GN⁺ 29 일 전
Hacker News görüşleri

  • Android’in geliştirici doğrulama süreci tam anlamıyla berbat bir deneyimdi
    Şirket için bir geliştirici hesabı açmaya çalıştım; DUNS numarasıyla işletme ödeme profilini doğruladım, pasaport ve banka ekstresiyle kimliğimi doğruladım, ama buna rağmen bir kez daha şirket belgeleriyle kimlik doğrulaması istendi
    E-postayı da defalarca doğruladım ama hâlâ “ek doğrulama gerekli” mesajı çıkıyor
    Her adım günler sürüyor ve başarısız olursa en baştan başlamak gerekiyor; bu yüzden süreç aşırı yavaş ve acı vericiydi
    Bu bana Android kullanmamamın nedenini yeniden hatırlattı. Tüm sürecin sorumluluğunu gerçekten kimsenin almadığı hissi veriyor

    • 10 yıl önce Android uygulaması yayımladığımda da benzerdi. Geliştirici topluluğunda sürekli “uygulamayı asıl Google hesabınla yayımlama” uyarısı vardı. Çünkü tüm hesap, belirsiz gerekçelerle botlar tarafından askıya alınabiliyordu
      Google geliştiricilerden hoşlanmıyormuş gibi davranıyor. Özellikle genç neslin büyük kısmının iPhone kullandığı bir dönemde bu gerçekten kötü bir strateji
    • Google Play deneyimi gerçekten korkunç
      Kısa süre önce bir uygulamam kumar uygulaması diye yanlış sınıflandırılıp reddedildi ve yeniden göndermem gerekti; yıllardır sorunsuz olan başka bir uygulamam için de hiçbir neden yokken yeni sürüm göndermem istendi
      Destek ekibi ve itiraz süreci tamamen anlamsızdı. Her seferinde ortada tek bir insan bile yokmuş gibi hissettiriyor
    • Apple Developer tarafında da neredeyse aynı deneyimi yaşadım
      Doğrulama bitmeden önce ücreti aldılar, sonra da yapay zeka yüzümle kimliğimi eşleştiremediği için geri ödemeyi reddettiler
      Bu tür yapay zeka tabanlı doğrulama sistemleri tam bir cehennem
    • Bu bir işletme hesabıysa neden pasaport istendiğini anlamıyorum
      Kişisel kartla ödeme yapılmasının özel bir nedeni olup olmadığını merak ediyorum
    • Her adım tek başına mantıklı görünüyor ama bütüne bakınca işin içinde fazla çok taraf var. Sanırım sistemi bu kadar dağınık yapan da bu

  • Google, “sideload edilen uygulamalarda 90 kat daha fazla zararlı yazılım bulunduğunu” iddia etti, ama gerçekte yaşlı insanların telefonlarının Google Play’den indirilmiş reklam uygulamalarıyla dolu olduğunu gördüm

    • Kesinlikle katılıyorum. Google “malware” tanımını kendi işine geldiği gibi değiştiriyor
      Reklam ve takiple doldurulmuş uygulamaları normal kabul ederek sadece hissedar değerini korumaya odaklanıyor
      Wikipedia, IBM, Cisco, Kaspersky gibi kaynaklardaki malware tanımıyla tamamen çelişiyor
    • İki şey aynı anda doğru olabilir. Sideload edilen uygulamaların riskli olma olasılığı daha yüksek olabilir ama fiilen kurulmuş çöp uygulamaların çoğu Google Play’den geliyor olabilir
    • Daha da kötüsü, insanları bu uygulamalara yönlendiren reklamların çoğunun YouTube uygulamasının içindeki reklamlar olması
    • “90 kat fazla” analizinin kaynağı ve doğrulaması hiç yok. “Biz inceledik, bize güvenin” türü açıklamalara güvenilemez
    • Ben de analiz yaptım ve Google’ın diğer şirketlerden 90 kat daha düzenbaz olduğu sonucuna vardım (tabii hiçbir kanıtım yok)

  • Android kullanıcılarının yüzde kaçı gerçekten böyle politikalar istiyor?
    2010’dan beri Android kullanıyorum ama giderek daha kapalı bir yöne gitmesinden nefret ediyorum
    Artık gerçekten bir Linux telefona geçme planı yapıyorum

    • Benim Android’e geçme nedenim de sideload özgürlüğüydü
    • Ama gerçekçi olmak gerekirse, ileri düzey kullanıcılar Android kullanıcılarının içinde neredeyse %0 seviyesinde
    • Apple APK yüklemeye izin verdiğini açıklasa, muhtemelen bu kez de “Apple kontrol etmeliydi” diyen insanlar çıkardı
      Epic vs Apple davası ya da Digital Markets Act tartışmaları sırasında da böyle çok kişi vardı
    • Play Store’daki zararlı uygulama sorununu anlıyorum ama bunun geliştirici doğrulaması sorunundan ayrı bir konu olduğunu düşünüyorum
    • Google’ın bu doğrulamayı sıkılaştırma nedeni, yapay zeka botlarının spam uygulamalar yüklemesini engellemek
      Kimlikle uygulamayı ilişkilendirince hukuki işlem yapmak kolaylaşıyor

  • “Android herkes için açık bir platformdur” cümlesini görür görmez, devamında gelecek şeyin kullanıcının aleyhine olacağını anladım
    Sideload edilen uygulamaları doğrulayan yazılım fikri kullanıcı karşıtı bir yaklaşım

    • F-Droid dışından uygulama yüklemem gerektiğinde her seferinde huzursuz oluyorum
      Play Store uygulamalarının arka planda ne yaptığını bilmek mümkün değil
    • “Sideload edilen uygulama” ifadesinin kendisi bile, Google ile Apple’ın kontrol etmek istediği uygulamaları damgalamak için kullandığı bir terim
      Sonunda Android dışındaki başka dağıtımlara bakmak gerekecek gibi
    • Bu, HR’ın “biraz konuşalım” demesi gibi; şimdiden iyi bir şey olmayacağını anlıyorsun
    • Sıradaki adım herhalde biyometrik örnek gönderme olur

  • Muhtemelen içeride “40M kişi kırılmış YouTube Premium kullanıyorsa ne yaparız?” diye bir konuşma geçmiştir

    • Evet. Bu politikanın uygulanacağı ülkeler muhtemelen kırılmış YouTube Premium’un yaygın olduğu bölgeler olacak
      APK kopyalama ve uygulama korsanlığı zaten iyice yaygınlaştı
    • Ben de YouTube Premium ödüyorum ama alternatif bir uygulama kullanıyorum. Resmî uygulamada arka plan oynatma sık sık duruyor
      Teknoloji sanki ilerlemek yerine geriye gitmiş gibi
    • NewPipe kırılmış bir uygulama değil. Açık kaynaklı bir alternatif
    • Google zaten bu tür uygulamaları malware olarak sınıflandırabilirdi
      Bu yeni doğrulama sistemi sadece polimorfik uygulama tespiti için kurulmuş bir mekanizma gibi görünüyor

  • Devlet tarafından verilmiş kimliği bir şirkete göndermek çok tuhaf hissettiriyor
    Özellikle Avrupa’da insanlara “devlet kimliğini kimseye gönderme” diye öğretilirken, şimdi bir hizmeti kullanmak için bunun normal bir talep hâline gelmesi garip
    Bu kişisel değil de şirket hesabıysa neden kişisel kimlik istendiği de ayrı bir soru
    Geliştirici ile şirket arasındaki ilişki koptuğunda ya da hukuki sorun çıktığında sorumluluğun kimde olduğu belirsiz kalabilir
    Serbest çalışanlar veya dış kaynak geliştiriciler söz konusu olduğunda da doğrulamayı kimin yapması gerektiği net değil

  • Google geliştirici doğrulamasını üstleniyorsa, buna karşılık sorumluluk da alması gerekmez mi diye düşünüyorum
    Bir kullanıcı dolandırıcı bir uygulama yüzünden mağdur olursa Google’a dava açabilir mi?

    • Google için antitröst yasalarının uygulanmasını tartışmanın zamanı gelmiş olabilir
    • Ama gerçek dünyada her zaman “sorumluluk aşağı doğru akar”

  • 9to5Google haberine göre
    Nisan ayından itibaren Android Developer Verifier bir sistem uygulaması olarak yüklenecek ve sideload edilen uygulamanın geliştirici kimliğinin doğrulanıp doğrulanmadığını Google sunucularına soracak

    • Bunu görünce doğrudan GrapheneOS’e geçmem gerektiğini düşündüm
      Tabii çoğu insan bunu yapamaz; üzücü olan da bu
      GrapheneOS’in Google Play sandbox’ında bu sistem uygulamasının nasıl çalışacağını merak ediyorum
    • Eskiden “debugger kullanmak için bile lisans gerekir” diye bir hiciv vardı; şimdi sanki o gerçek kullanım kılavuzu olmuş gibi

  • Google’ın giderek kapanan politikaları yüzünden yakın zamanda /e/OS’a geçtim
    Başta rahatsız ediciydi ama artık reklamlar için değil kullanıcı için yapılmış yazılım kullandığımı hissediyorum ve memnunum
    Android’de yavaş yavaş kaynayan sudaki kurbağa gibi alışmış olan benim için bu değişim temiz hava gibi geldi

  • Play Store dışında beşten fazla açık kaynak Android uygulaması kullanıyorum; böyle politikalar gelirse ileride zorlanacağım
    Üzerinde GrapheneOS hazır yüklü gelen bir Motorola telefon alırsam bu tür kısıtlamalardan kaçınabilir miyim diye merak ediyorum

    • Şu anki plan, Motorola’nın GrapheneOS’i doğrudan ön yüklü sunmaması, bunun yerine bazı amiral gemisi modellerde manuel kurulumu desteklemesi
    • GrapheneOS hâlâ APK yüklemeye izin veriyor