Google, Gelecek Yıldan İtibaren Tüm Android Uygulama Geliştiricilerinin Kimliklerini Doğrulamasını Zorunlu Kılacak
Android'in açık yapısı, onu yaklaşık yirmi yıl önce dokunmatik ekranlı akıllı telefonların çağı başladığında iPhone'dan ayırıyordu. Google, yavaş yavaş bu açıklığın bir kısmını güvenlikle değiştirdi ve bir sonraki güvenlik girişimi, kötü amaçlı uygulamaları engelleme adına şimdiye kadarki en büyük tavizleri verebilir.
Google, yalnızca Play Store'da yayın yapanların değil, tüm Android uygulama geliştiricilerinin kimliklerini doğrulamaya başlamayı planladığını duyurdu. Google , geliştiricilerin içeriklerini nerede sunduklarına bakılmaksızın kimliklerini doğrulamayı planlıyor ve doğrulaması olmayan uygulamalar önümüzdeki yıllarda çoğu Android cihazda çalışmayacak.
Google, Play Store'u (veya yeterince eskiye giderseniz Android Market'i) çok az düzenliyordu, ancak uzun zamandır platformun Apple App Store'dan daha az güvenli olduğu yönündeki itibarını iyileştirmeye çalışıyor. Yıllar önce, telefonlarda kök erişimi elde etmek için resmi mağazada gerçek saldırılar yayınlayabiliyordunuz, ancak artık kötü amaçlı yazılımların ve yasaklı içeriklerin yaygınlığını azaltmak için birden fazla inceleme ve tespit mekanizması mevcut. Play Store hala mükemmel olmasa da Google, mağazasının dışından yüklenen uygulamaların kötü amaçlı yazılım içerme olasılığının 50 kat daha fazla olduğunu iddia ediyor.
Google'ın yeni geliştirici doğrulama sisteminin itici gücünün bu olduğuna inanıyoruz. Şirket bunu "havaalanında kimlik kontrolü" olarak tanımlıyor. 2023'te tüm Google Play uygulama geliştiricilerinin kimliklerini doğrulamasını zorunlu kıldığından beri, kötü amaçlı yazılım ve dolandırıcılıkta ani bir düşüş yaşandı. Google Play'deki kötü niyetli kişiler, kötü amaçlı uygulamaları dağıtmak için anonimlikten yararlandı, bu nedenle Google Play dışındaki uygulama geliştiricilerinin doğrulanmasının da güvenliği artırabileceği mantıklı.
Ancak, bunu uygulama mağazası dışında gerçekleştirmek için Google'ın Apple'ın oyun kitabından bir sayfa alıp , birçok Android kullanıcısı ve geliştiricisinin müdahaleci bulabileceği bir şekilde gücünü göstermesi gerekecek. Google, geliştiricilerin Play Store dışında uygulama dağıtmayı planlamaları durumunda kullanacakları, basitleştirilmiş bir Android Geliştirici Konsolu oluşturmayı planlıyor. Geliştiriciler, kimliklerini doğruladıktan sonra uygulamalarının paket adını ve imzalama anahtarlarını kaydetmek zorunda kalacak. Ancak Google, uygulamaların içeriğini veya işlevselliğini kontrol etmeyecek.
Google, yalnızca kimliği doğrulanmış uygulamaların sertifikalı Android cihazlara yüklenebileceğini söylüyor; bu da neredeyse tüm Android tabanlı cihazlar için geçerli; üzerinde Google hizmetleri varsa, sertifikalı bir cihazdır. Telefonunuzda Google dışı bir Android sürümü varsa, bunların hiçbiri geçerli değildir. Ancak bu, Çin dışındaki Android ekosisteminin çok küçük bir kısmını oluşturuyor.
Google, bu sistemi bu yılın Ekim ayında erken erişimle test etmeye başlamayı planlıyor. Mart 2026'da tüm geliştiriciler yeni konsola erişerek doğrulanacak. Google, bu özelliği Eylül 2026'da Brezilya, Endonezya, Singapur ve Tayland'da kullanıma sunmayı planlıyor. Bir sonraki adım henüz belirsiz, ancak Google, doğrulama gerekliliklerini küresel olarak genişletmek için 2027'yi hedefliyor.
Sismik Bir DeğişimBu plan, Android için önemli bir dönüm noktasına denk geliyor. Epic Games tarafından açılan ve devam eden Google Play antitröst davası, önümüzdeki aylarda Google Play'de değişikliklere yol açabilir. Google, karara itirazını birkaç hafta önce kaybetti ve davayı ABD Yüksek Mahkemesi'ne taşımayı planlasa da, daha fazla yasal manevra yapılmaması durumunda uygulama dağıtım planını değiştirmeye başlamak zorunda kalacak.
Mahkeme, diğer hususların yanı sıra, Google'ın üçüncü taraf uygulama mağazalarını dağıtmasını ve Play Store içeriklerinin diğer mağazalarda yeniden barındırılmasına izin vermesini emretti. İnsanlara uygulamalara erişmek için daha fazla yol sunmak, Epic ve diğer geliştiricilerin istediği gibi seçenekleri artırabilir. Ancak üçüncü taraf kaynaklar, Play Store'un derin sistem entegrasyonuna sahip olmayacak, bu da kullanıcıların Google'ın güvenlik katmanları olmadan bu uygulamaları yan yüklemeleri anlamına geliyor.
Bunun ne kadar gerçek bir güvenlik sorunu olduğunu söylemek zor. Bir yandan, Google'ın endişelenmesi mantıklı; Android cihazlara yönelik en büyük kötü amaçlı yazılım tehditlerinin çoğu üçüncü taraf uygulama depoları aracılığıyla yayılıyor. Ancak, neredeyse tüm Android cihazlarda bir kurulum beyaz listesi uygulamak ağır bir yük. Bu, Android uygulamaları geliştiren herkesin, neredeyse herkesin uygulamalarını yükleyebilmesi için Google'ın gerekliliklerini karşılamasını gerektiriyor ve bu da uygulama pazarı açıldıkça Google'ın kontrolü elinde tutmasına yardımcı olabilir. Gereklilikler şu anda asgari düzeyde olsa da, bu şekilde kalacaklarının garantisi yok.
Şu anda mevcut olan belgeler, doğrulanmamış bir uygulama yüklemeye çalıştığınızda ne olacağını veya telefonların doğrulama durumunu nasıl kontrol edeceğini açıklamıyor. Muhtemelen Google, uygulama tarihi yaklaştıkça bu beyaz listeyi Play Hizmetleri'nde dağıtacaktır. Bu konuyla ilgili ayrıntılar için sizinle iletişime geçtik ve herhangi bir gelişme olursa size bildireceğiz.
Bu hikaye ilk olarak Ars Technica'da yayınlanmıştır.
wired
