Google, Android için önemli bir güvenlik değişikliği yapıyor; geliştirici doğrulaması gereği, Google Play Store dışındaki uygulamaların yüklenmesi (sideloading) artık daha sıkı kurallara tabi olacak. Bu değişiklik bazı kullanıcılar arasında, tercihlerin kısıtlanacağı endişesini doğursa da, Google bu uygulamanın “kesinlikle sona ermeyeceğini” belirtiyor. Ancak, uygulama süreçlerinde bazı değişiklikler yapılacak.
Geliştirici Doğrulaması Nedir?
Google’ın Android Uygulama Güvenliği Ürün Yönetimi Direktörü Matthew Forsythe, bu değişikliğin ana amacının kullanıcılar ve meşru geliştiricilerin “kötü niyetli kişilerden” korunması olduğunu ifade ediyor.
Sideloading, yani doğrulanmamış kaynaklardan uygulama yükleme yeteneği, Android’in temel unsurlarından biridir. Ancak Google, internet üzerinden yüklenen uygulamaların, Google Play Store’dan indirilenlere kıyasla 50 kat daha fazla kötü amaçlı yazılım içerdiğini iddia ediyor.
Yeni Gereksinimler Neler?
Bu güvenlik riskini azaltmak için Google, bazı yeni gereksinimler getiriyor:
Digital İmza: Tüm sideloaded uygulamalar, geliştirici tarafından dijital olarak imzalanmak zorunda. Bu imza olmadan, uygulama Android sertifikalı cihazlarda yüklenmeyecek.
Hesap Verebilirlik: Eğer doğrulanmış bir geliştirici zararlı yazılım dağıtma suçlamasıyla karşılaşırsa, Google onların sertifikasını iptal edebilir. Bu durum, o geliştiricinin tüm uygulamalarının kullanılmaz hale gelmesine yol açacaktır.
Bu yeni sistem, bir kullanıcının bir uygulamayı indirirken, uygulamanın gerçekten iddia edilen geliştiriciden geldiğinden emin olmayı hedeflemektedir.
Geliştirici ve Kullanıcılar Üzerindeki Etkileri
Google, bu gerekliliğin kullanıcıların tercihlerini sınırlamak için olmadığını vurguluyor. Doğrulanmış geliştiricilerin, uygulamalarını herhangi bir uygulama mağazası veya doğrudan kullanıcılarla paylaşma özgürlüğü devam edecek.
Google, bu değişikliğin etkili olmadan önce geliştiricilere bir yıl süresince hazırlanmaları için süre tanımıştır. Kritik olarak, geliştiriciler, uygulamalarını Android Studio kullanarak yerel olarak geliştirmeye, hata ayıklamaya ve test etmeye devam edebilecekler. Son günlerde bahsedilen “ADB workaround” yöntemiyle sideloading yapmak da etkilenmeyecek. Ancak, geniş bir test grubu ile uygulama dağıtımı ya da tam anlamıyla sideloading için doğrulama ve paket kaydı gerekecek.
Hobi olarak uygulama geliştirenler, öğretmenler ve öğrenciler için, belirli bir sayıda cihaza uygulama dağıtanlar için, Google, tam bir kimlik doğrulamaya gerek duymadan geçici bir ücretsiz geliştirici hesap türü üzerinde çalışmaktadır.
Sonuç olarak, Google, büyük çoğunluğun bu değişikliklerden etkilenmeyeceğini düşünmektedir. Ayrıca, daha az teknik bilgisi olan kullanıcılar, doğrulanmamış kaynaklar üzerinden dağıtılan potansiyel olarak zararlı veya “şüpheli” uygulamalardan ek bir güvenlik katmanı ile korunacaklar. Bu doğrulama süreci, Apple gibi şirketler tarafından uzun zamandır kullanılan güvenlik önlemlerine benzemektedir. Ancak, Cupertino merkezli şirketten daha açık bir sistem sunulacaktır.