- F-Droid, Android Developer Verification (ADV) özelliğinin Android 8 ve üzeri cihazlara zaten dağıtıldığını ve Google tarafından onaylanmayan geliştiricilerin uygulamalarının çalışmasını engelleyen merkezi bir kontrol mekanizmasına dönüşebileceğini savunuyor
- Google bunu kötü amaçlı yazılım yayılımını engelleme gerekçesiyle sunuyor, ancak F-Droid'ye göre ADV, ilk dağıtımı engellemekten ziyade yeniden suç işleyen geliştiricilerin yeniden kayıt olma maliyetini artırmakla sınırlı kalıyor
- Geliştirici kaydı için hesap oluşturma, ücret ödeme, kişisel bilgiler ve devlet tarafından verilmiş kimlik sunma, uygulama tanımlayıcıları ile imza anahtarlarını kaydetme ve Android Developer Console şartlarını kabul etme gerekiyor
- Şartlarda kötü amaçlı yazılımın açık bir tanımı yoksa, Google'ın ticari nedenler veya devlet baskısıyla engel kapsamını genişletebileceği endişesi öne çıkıyor
- Uygulama 30 Eylül 2026'da Brazil, Indonesia, Singapore ve Thailand'da başlayacak; F-Droid uygulaması, bu yolla kurulan uygulamalar, uygulama verileri ve Google doğrulama telemetrisi üzerindeki gerçek etkiler ise hâlâ belirsiz
F-Droid neden ADV'yi kötü amaçlı yazılıma benzetiyor?
- F-Droid, Android Developer Verifier (ADV) hizmetinin Android 8 ve üzeri cihazlara kurulu olduğunu ve uzaktan etkinleştirilmeyi beklediğini düşünüyor
- ADV'nin en fazla 4 milyar Android telefon ve tablete çoktan dağıtıldığı, dolayısıyla dünya nüfusunun yaklaşık yarısının etkilenebileceği tahmin ediliyor
- Bu sistem hizmeti arka planda çalışıyor ve F-Droid'ye göre engellenemiyor, devre dışı bırakılamıyor veya kaldırılamıyor
- Play Protect, Android Certified cihazlarda genel kötü amaçlı yazılımları tespit edip bunlara karşı önlem alan bir hizmet; ancak F-Droid, ADV'nin Play Protect üzerinden yayılıp kurulduğunu öne sürüyor
- Etkinleştirildikten sonra ADV'nin amacının, Google tarafından merkezi olarak onaylanmamış geliştiricilerin yazılımlarının çalışmasını engellemek olduğu düşünülüyor
Kötü amaçlı yazılım önleme gerekçesine itiraz
- F-Droid, Android Developer Verification ile ilgili endişelerini ilk kez Eylül 2025'te F-Droid and Google’s Developer Registration Decree yazısında gündeme getirdi
- Google'ın merkezi geliştirici kaydı zorunluluğu, kötü amaçlı yazılım yayılımını engelleyen bir önlem gibi sunuluyor; ancak F-Droid, bu sistemin kötü niyetli aktörlerin ilk dağıtımını durduramadığını savunuyor
- Gerçek etkisi, daha önce tespit edilmiş tekrar suç işleyenlerin yeni imza anahtarlarıyla kötü amaçlı yazılım dağıtmayı sürdürmek istemeleri halinde yeni hesap açmak veya satın almak zorunda kalmaları nedeniyle süreçlerini yavaşlatmaya daha yakın
- Daha az zorlayıcı alternatiflerin de mümkün olduğu belirtiliyor
- Play Protect, yüksek ayrıcalık isteyen yeni kurulan uygulamaları veya şüpheli yollardan edinilen uygulamaları daha yakından inceleyebilir
- DCM: A Developers Certification Model for Mobile Ecosystems örneğinde olduğu gibi, kullanıcıların güvenecekleri doğrulayıcıları ve otoriteleri doğrudan seçtiği bir federatif doğrulayıcı modeli de mümkün olabilir
- F-Droid, Google'ın dar bir tehdit vektörünü gerekçe göstererek Android ekosistemini yeniden tasarlamaya ve hangi uygulamaların var olabileceğine karar veren tek kapı bekçisine dönüşmeye çalıştığını savunuyor
Geliştirici kayıt süreci ve şart riskleri
- F-Droid'nin tavsiyesinin aksine, geliştiriciler Google'a “verified” geliştirici olarak kaydolursa şu adımlardan geçmek zorunda kalıyor
- Hesap oluşturma ve ücret ödeme
- Ayrıntılı kişisel bilgi verme
- Devlet tarafından verilmiş kimlik yükleme
- Şu anda ve gelecekte dağıtılacak uygulamaların tanımlayıcıları ile imza anahtarlarını kaydetme
- En büyük tartışma noktası, Android Developer Console Terms of Service belgesinin zorunlu olarak kabul edilmesi
- Şartların 6.5 maddesinde, geliştirici şartları ihlal ederse ya da kötü amaçlı yazılım veya harmful application dağıtırsa Google'ın ADC erişimini sonlandırabileceği yazıyor
- F-Droid, bu belgede hiçbir yerde “malware” için resmi bir tanım, ölçüt veya yönerge bulunmadığına dikkat çekiyor
- Tanım boş bırakıldığında “malware”, Google'ın öyle adlandırdığı yazılım haline geliyor ve kapsam ticari motivasyonlara veya güçlü devlet baskısına göre değişebiliyor
Reklam engelleyici örneğinin gösterdiği engelleme kapsamı sorunu
- F-Droid, tartışmalı terimlerin farklı çıkarlara sahip taraflardan biri tarafından tanımlanmasına izin vermenin tehlikeli olduğu uyarısında bulunuyor
- Temsili örnek olarak kişisel içerik filtreleme aracı olan ad blocker gösteriliyor
- ad blocker uygulamalarının geçmişte Play Store'dan yasaklandığı örnekler bulunuyor
- Bazı örnekler malware olarak sınıflandırıldı
- F-Droid, Google'ın tüm reklam engelleme yazılımlarını malware ilan edip dünya genelindeki Android Certified cihazlarda kurulumlarını engelleyebileceğinden ve ilgili geliştiricileri malware üreticisi olarak sınıflandırabileceğinden endişe ediyor
- Bunun, Google'ın reklam teknolojisi iş motivasyonları ve Android Developer Console şartlarındaki ifadelerle uyumlu olduğunu düşünüyor
Benimsenme iddiası ve karşı hareket
- Google kısa süre önce Play geliştirici uygulamalarının %99'dan fazlasının kayıt olduğunu açıkladı; ancak F-Droid, bunun ADV'nin geniş ölçekte benimsendiğinin kanıtı sayılamayacağını savunuyor
- F-Droid'ye göre bu geliştiriciler, mevcut Play Store sözleşmelerine bağlı oldukları için yeterli ön onay olmadan otomatik olarak sisteme dahil edildi
- ADV'ye karşı hareket de sürüyor
- ADV karşıtı dilekçeyi yüz binlerce kişi imzaladı
- keepandroidopen.org üzerindeki Open Letter, EFF, FSF, FSFE, ACLU, Forbrukerrådet dahil dünya çapında 70'ten fazla kuruluş tarafından imzalandı
- Programı savunmaya çalışan geliştirici yuvarlak masa videosunda izleyicilerin %90'ının dislike verdiği belirtiliyor
- F-Droid, yasa koyucuların ve düzenleyici kurumların şimdiye kadar bu tepkiye karşılık vermediğini söylüyor
- F-Droid'nin açık kaynak şeffaflığına dayanan güvenlik modeli, kapalı ticari uygulama mağazalarının güven modeliyle temelden çatışıyor
30 Eylül uygulaması öncesinde kalan belirsizlikler
- ADV etkinleştirildiğinde 30 Eylül 2026'da hangi arıza modlarının ortaya çıkacağı henüz tam olarak bilinmiyor
- Google'ın kamuya açık takvimine göre ilk uygulanacağı ülkeler Brazil, Indonesia, Singapore ve Thailand olacak
- Bu dört ülkede toplam 580 milyon kişinin yaşadığı belirtiliyor
- Küresel dağıtımın ise “2027 sonrası” için planlandığı ifade ediliyor
- Uygulamanın geçerli olacağı bölgelerde kullanıcılar için hâlâ yanıt bekleyen sorular var
- F-Droid uygulamasını kurmaya veya çalıştırmaya çalıştıklarında ne olacağı bilinmiyor
- F-Droid üzerinden kurulan uygulamaların devre dışı bırakılıp bırakılmayacağı veya silinip silinmeyeceği belirsiz
- Bağımlı olunan bir uygulama aniden kaybolursa içindeki verilere erişimin sürüp sürmeyeceği bilinmiyor
- Tüm yazılım kurulumları ve çalıştırmaları Google doğrulaması için raporlandığında hangi telemetri bilgilerinin dahil olacağı bilinmiyor
- F-Droid, konuyla ilgili sorular gönderdiğini ve kilitleme uygulanmadan önceki haftalar ve aylarda etkilenecek kullanıcılara ek rehberlik ve destek sağlayacağını belirtiyor
2 yorum
Aslında alternatif bir OS olduğu için sorun yok demenin pek bir anlamı yok.. Şu anda Galaxy'ye başka bir OS kurmak için donanım güvenlik çipini devre dışı bırakmanız gerekiyor; bunu yaparsanız da muhtemelen ödeme ya da banka uygulamaları gibi şeyleri kullanamazsınız.
Hacker News yorumları
Şu anki sorunu çözmüyor ama bu gidişatı durduramazsak diye, gerçek mobil Linux OS seçeneklerinin epeyce olduğunu bilmekte fayda var
SailfishOS Linux tabanlı ve topluluğu da oldukça kapsayıcı görünüyor, ancak UI yığını kapalı kaynak. Android uygulamalarını emülasyonla resmen çalıştırabilen tek seçenek; eski, hafif ve bu listedeki en kararlı ve en az hatalı seçenek gibi görünüyor
Ubuntu Touch tamamen açık kaynak ve topluluk odaklı; güvenlik için snap paketleri kullanıyor ve Android uygulamalarını da çalıştırabiliyor olabilir. En son denediğimde de oldukça kararlıydı
PureOS tamamen açık kaynak ve gizlilik odaklı. Librem 5 ile birlikte çıkanlar arasında, donanım entegrasyonunda tescilli ikili blob’lardan kaçınabildiğini bildiğim tek seçenek. SailfishOS veya Ubuntu Touch’a göre daha az kararlı görünüyor; kullanmak için de oldukça pahalı ama eski bir Librem 5 almak gerekiyor
PostmarketOS tamamen açık kaynak; hafifliğe ve eski telefonları yeniden hayata döndürmeye odaklanıyor, çok sayıda test edilmiş cihaza sahip ve Alpine tabanlı
Mobian, Debian’ın mobil sürümü ve bu listede nispeten yeni. Bunların dışında daha fazla mobil Linux OS var, ancak bildiğim kadarıyla başlıca seçenekler bunlar; bazılarını uzun zaman önce test ettiğim için bilgilerim hatalı olabilir, son ikisini ise gerçekten hiç kullanmadım
Üzerinde çalışan uygulamalar Linux çekirdeğinden daha güçlü değil, daha zayıf şekilde izole ediliyor. Gizlilik ve güvenliğe önem veriyorsanız bu işletim sistemleri, Android Open Source Project’e kıyasla çok daha az gizli ve çok daha az güvenli. Eksiksiz ve çalışan bir uygulama sandbox’u ya da izin modeli yok; modern açık azaltma önlemleri yok; veri çıkarılmasını engellemek için gereken ciddi donanım tabanlı şifreleme özellikleri de yok
İyi donanım üzerindeki AOSP tabanlı bir işletim sistemi iPhone’a alternatif olabilirken, bunlar gizlilik ve güvenlik açısından ciddi bir alternatif değil. Bu uyarı Google Mobile Services OS’ye ekleniyor ve Android Open Source Project tabanlı diğer işletim sistemlerini olumsuz etkilemiyor
Linux demek otomatik olarak GNU/Linux veya systemd/Linux demek değildir; glibc, systemd, GNU coreutils, Bash, GNOME vb. kullanıldığı anlamına da gelmez. AOSP ve GrapheneOS dahil Android tabanlı işletim sistemleri de Linux dağıtımıdır. Alpine glibc kullanmaz, SailfishOS’un da kendine özgü açık/kapalı yazılım birleşimi vardır. Tipik masaüstü Linux kullanıcı alanı yığınını kullanıp kullanmamak, bir şeyin Linux olup olmadığını belirlemez; masaüstünde bile kullanım yapılandırmaları tutarlı değildir
Kişisel olarak Librem 5’te Android uygulamaları kullanmıyorum, ancak PureOS deposunda Waydroid var. Waydroid, Wayland tabanlı masaüstü ortamı kullanan genel GNU/Linux sistemlerinde tam bir Android sistemini başlatan konteyner tabanlı bir yaklaşım
PureOS, Phosh aracılığıyla convergence da sunuyor. Burada convergence, aynı uygulamaları hem telefonda hem büyük ekranda kullanmak ve GUI’nin mevcut ekran boyutuna göre uyarlanması anlamına geliyor
Phosh, mainline Linux çalıştıran mobil cihazlarda günlük kullanıma uygun, sağlam ve kolay bir grafik kullanıcı ortamı sunmayı amaçlıyor. Başlangıçta Purism geliştiricileri tarafından Librem 5 için başlatılmıştı, ancak bugün akıllı telefon, tablet, convertible gibi birçok cihazda kullanılıyor ve dizüstülerde de görüldüğü oldu
UI/UX pahalı bir iş ve çoğu özgür/açık kaynak proje, büyük şirket yatırımı ya da startup desteği olmadan bunu düzgün biçimde yapmakta zorlanıyor. Örneğin Red Hat’in UX tasarımcıları GNOME’a büyük katkı sağladı; Zed, Element, Bluesky gibi startup örnekleri de var
Böyle bir destekten yoksun projeler, en azından Z kuşağı açısından çoğunlukla kullanımı zor
Android kullanıcıları Graphene’e geçmeli
Birilerinin Linux tabanlı mobil OS vakfı kurması gerekiyor. Google’ın hâkimiyeti birçok büyük şirketin çıkarlarına da ters; Meta ve benzeri şirketlere gidilirse stratejik çıkarlar nedeniyle büyük bağışlar yapabilirler
Google güçlendirilmiş bellek ayırıcısı ve etiketli bellekte yeterli kararlılık ve uyumluluk sağladığını düşündüğünde, Qualcomm’un da tüm ürün ailesinde destek vermesini sağlayabilecek hale geldiğinde Graphene’in işini zorlaştıracak, sonunda da imkânsız hale getirecek
Eski bir yazı ama [1]’e göre Google’ın Android’i ve Open Handset Alliance üyelerinin, Google’ın onaylamadığı cihazlar üretmesi sözleşmeyle yasaklanmış durumda
Rekabet etmek için uyumlu Google Play Services de yapmak ve bunu destekleyecek üretici de bulmak gerekiyor. Samsung bir süre Tizen ile birlikte kendi uygulamalarını ve mağazasını [2] işletmişti; muhtemelen pazarlık gücü elde etmek ya da teorik bir geçiş için olabilir. Ama sonra bu çabayı bıraktı
[1] https://arstechnica.com/gadgets/2018/07/googles-iron-grip-on...
[2] https://arstechnica.com/tech-policy/2021/07/google-bought-of...
Sıradan kullanıcılar, özellikle de ABD dışında, bunu karşılayamayacak çok kişi var. Üstelik Google telefonu satın almak Google’ı beslemek demek, kişisel olarak bundan kaçınmak isterim
Yeni Mali GPU gibi bileşenlerin kapalı kaynak kullanıcı alanı sürücülerine olan ihtiyacı ortadan kaldırmak AOSP ile de mümkündür ve bunu yapmak en çok insanın yararına olur. Birçok şirket ve başka aktör güçlerini birleştirirse AOSP’de bu yapılabilir
Google’ın antitröst ihlalleri nedeniyle hükümet müdahalesiyle de gerçekleşebilir ama yanlış yapılırsa açık kaynağa zarar verecek şekilde ele alınabilir
Hayal kırıklığını anlıyorum. Ben de çeşitli cihazlarda fdroid’i yoğun kullanan biriyim. Ama bu yazı virüs, Truva atı, “kötü amaçlı yazılım şirketleri” gibi ifadeler yüzünden çocukça görünüyor
Bu tür yazılar, birçok kişiye, belki Google’a bile, fdroid’in söylediklerini “ciddiye almaya gerek olmayan çocukça iddialar” diye geçiştirme gerekçesi veriyor. Örneğin saygın bir basın kuruluşu bu yazıyı yayımlamazdı
Ek olarak https://keepandroidopen.org/ tarafı daha iyi hazırlanmış bir örnek
Güvenlik dışı amaçlarla kullanılmayacağına dair hiçbir garanti yok. Ayrıca gerçekten güvenliğe büyük katkı sağlamadığı da doğru
Google aramasına sorarsanız yapay zeka kötü amaçlı yazılımı, yetkisiz erişim, engelleme, para koparma ve cihaz ele geçirme için tasarlanmış yazılım olarak açıklıyor. Yine de bu ifadenin uygun olmadığını düşünüyorsanız, aynı işleve sahip bir uygulamayı başka birinin yaptığını hayal edin. Google bunu derhal kötü amaçlı yazılım diyerek kaldırırdı. Çünkü açıkça kötü amaçlı yazılım olarak görürdü
Android kullanmamın nedeni, telefonuma istediğimi kurabilmem; bu tartışma konusu olmamalı. Telefon ya benimdir ya da değildir. Google’ın korumasını istemiyorum. Hele reddedemiyorsam hiç istemiyorum
Bilişimde Truva atı, normal bir program gibi davranarak kullanıcıyı gerçek niyeti konusunda yanıltan bir kötü amaçlı yazılım türüdür [1]
Google aşağıya kadar tamamen Truva atıdır. Neredeyse tüm Google ürünlerinin gerçek amacı nedir? Veri hasadı
Tüm ürünler bir biçimde casus yazılımdır. Üreticilere kendi casus yazılımını yüklemeleri için sübvansiyon veriyor, televizyonları bile Truva atına dönüştürdü
[1] https://en.wikipedia.org/wiki/Trojan_horse_(computing)
Birkaç noktaya bakarsak, sideloading dünya genelindeki Android kullanıcılarının %1–2’sinden azı tarafından kullanılıyor; en fazla 50 milyon kişi civarında olmalı. Google yalnızca 24 saatlik bir gecikme koyup kapıyı açık bıraktığı için aslında iyilik etmiş sayılır. Daha kötü olabilirdi, ama şu anda geliştirici seçenekleriyle kurcalayanların bitmeyen hobi faaliyeti içinde büyük bir mesele değil. Şahsen Google’a minnettarım
GMS, hükümetler dahil güçlü denetim gerektiren uygulama geliştiricilerine muazzam kolaylık sağlıyor. Her tür kullanıcıya karşı uygulamayı koruyabiliyorlar. Buna gözetimi destekleyen gizli arka kapı olasılığı ve Google’ın AB’de doğrudan lobi yapması da eklenince, AB şu anda Amerika karşıtı bir yönelim taşısa bile GMS olmadan ilerlemek çok zor; Avrupa’da en son değiştirilecek şey de bu olur
“Google’dan kopuş”un da çeşitli seviyeleri var. microG olmadan ya da onunla birlikte tamamen açık bir işletim sistemi kurmaktan, standart Android’de Google hesabına giriş yapmamaya kadar uzanan bir spektrum bu. Ama özgür uçtaki insanlar, hapishane ucundakilerle asla aynı haklara sahip olmuyor
Geliştirici sertifikasyonu reklam engellemeyi önlemeye yönelik değil. DNS düzeyinde istediğinizi engellemenin basit ve ücretsiz bir yolu var. Private DNS’i seçip controld.com gibi bir yerin reklam, izleyici ve porno engelleme için uygun URL’sini girmeniz yeterli. Başka bir gerekçe bulmak gerekir. Örneğin hükümetlerle aynı yatağa girmeyi sürdürmek için güçlü kullanıcı denetimi ya da yakında gelecek çocuk kimliği doğrulamasıyla nihai kullanıcı gözetimine ulaşma gibi bir gerekçe
Geri kalanların hepsi de Google savunuculuğunun farklı biçimleri. Açıkçası derinden moral bozucu; hele bunun “Hacker” News’te görülmesi daha da öyle
Kötü amaçlı yazılımlarla mücadelede kaynak doğrulaması güçlü bir silahtır; ancak anonim yazılım kurup çalıştırabilme yeteneğini korumak, otoriter rejimlere ve yozlaşmış sistemlere karşı koymak için zorunludur
Kullanıcıların telefonlarına yalnızca imzalanmış ve izin verilmiş yazılımların kurulup çalıştırılabileceğini kabul edersek demokrasi ve özgürlük biter. Batı’da da Doğu’da da, yapay zeka efendilerine karşı koyulan bir durumda da bu böyledir
Bağımlı olduğumuz birçok donanım ve yazılımda keyfî değişiklik yapamıyoruz. Tasarımını inceleyemiyor, yeniden üretemiyor, bazen onaramıyoruz bile
Bazen bunların bizim çıkarlarımıza aykırı tasarlanıp tasarlanmadığını bile bilmiyoruz; bilsek de hiçbir şey yapamadığımız durumlar var. Fiyat ile mahremiyet arasında, tekel ya da resmî sistemlerle birlikte çalışabilirlik ile özgürlük arasında seçim yapmaya zorlanıyoruz
Android’in bu yönde bir adım daha atması kötü. Ama kendimizi kandırmayalım. On yıllardır siberpunk serfliğinin boynumuza kadar içindeyiz. Bu Android mücadelesini kazansak bile bu yalnızca küçük bir zafer olur
Bunu yenilgici bir tavırla söylemiyorum; daha büyük mücadeleyi unutmayalım demek istiyorum. Bu feodal Golyat nasıl sona erecek? Ne zaman “artık yeter” diyeceğiz?
Bu arada Luxembourg’da Google, AB’nin 4,7 milyar dolarlık Android cezası davasını kaybetti
https://www.msn.com/en-us/money/other/google-loses-fight-aga...
AB’nin bu konuda neden harekete geçmediği hâlâ biraz kafamı karıştırıyor. Bu açıkça tekel konumundaki bir işletmenin yetki aşımı ve en baştan engellenmesi gerekir
https://www.eu-digital-markets-act.com/Digital_Markets_Act_A...
On yıllar boyunca işletim sistemi üreticilerinin böyle şeyler yapabileceğini kabul ettik. Bence hata buydu: mümkün olan tek tedarikçi olarak Google’a bel bağlamak. Google bugüne kadar açık kaldı diye onu cezalandıran bir yasa çıkarılamaz
Elbette diğer HN hacker’ları gibi ben de Apple’ın açılmaya zorlanmasından yanayım; ancak şu anda AB’yi yöneten güç çevreleri ve birçok seçmen, yakında çocuklara uygun olmayan ve dark web üzerinden erişilemeyen her şey için gerekli olacak dijital kimlik projesi adına uzaktan DRM kanıtlamasını epey seviyor gibi görünüyor
HN kullanıcılarında, özellikle Amerikalılarda, AB’yi özgürlüğün kalesi sanan bir saflık var. Hiç de öyle değil. AB yalnızca devasa bir dadı devlet olmak istiyor; bu da onaylandığı sürece her şeyi yapmanıza izin veren gösterişli bir yöntemden ibaret