Google, Android ekosisteminde uygulama güvenliğini artırmaya yönelik yeni adımlarını duyurdu. Önümüzdeki dönemde uygulamaların yüklenmesi daha çok bulut tabanlı doğrulama süreçlerine dayanacak. Geliştiriciler için yeni ücretlendirme modelleri hayata geçirilirken, hobi amaçlı geliştiriciler için bir istisna da bulunacak.
Uygulama doğrulama durumu, Android 16 ile birlikte cihazlara sunulacak olan yeni bir sistem bileşeni olan Android Developer Verifier tarafından yönetilecek. Bu süreçte telefonlar, her uygulamanın paket adının ve Google'a kayıtlı imza anahtarlarının yükleme sırasında kontrol edilmesini sağlayacak. Bu durum, özellikle açık kaynaklı uygulama mağazası F-Droid gibi platformlar için bazı zorluklar yaratabilir.
Tüm doğrulanmış uygulamaların yerel bir veritabanını cihazlarda bulundurmak mümkün olmayacağından, bu süreç internet erişimi gerektirecek. Google, en yaygın kullanılan uygulamalar için yerel bir önbellek tutmayı planlasa da, diğer uygulamalar için bağlantı zorunlu olacak. Alternatif uygulama mağazalarının ağ aramalarını atlamak için ön yetkilendirme jetonları kullanmasına izin verilebileceği belirtiliyor, ancak bu mekanizmanın detayları henüz netleşmedi.
Geliştirici doğrulaması için getirilecek ücretlendirme modeli netleşmeye başladı. Google'ın büyük ölçüde otomatikleştirilmiş doğrulama süreci basit olarak tanımlansa da, geliştiriciler için bir maliyeti olacak. Bu ücretlendirme, mevcut Google Play kayıt ücreti olan 25 doları yansıtacak ve Google bu ücretin idari masrafları karşılayacağını belirtti.
Bu yeni düzenleme ile Google ekosistemi dışında uygulama dağıtmak isteyen herkesin Google'a bir ücret ödemesi gerekecek. Ancak, uygulamaları geniş kitlelere dağıtma ihtiyacı duymayanlar için iyi haberler de var. Google, hobi amaçlı geliştiriciler ve öğrenciler için sadece e-posta ile başvurabilecekleri, daha düşük seviyede ve ücretsiz bir doğrulama seçeneği sunacak. Bu seçenekte, uygulamaların kaç kez yüklenebileceğine dair belirsiz bir sınır olacak. Video konferansta yer alan ekip, herkesin tam doğrulama sürecinden geçmesini ve bu ayrıcalık için Google'a ödeme yapmasını şiddetle teşvik ediyor.
Yüksek Derecede Zarar Riski
Geliştirici doğrulama duyurulduğunda, sürecin uygulama içeriğini değerlendirmeyeceği belirtilmişti. Ancak Google, artık yüklenen uygulamalardaki kötü amaçlı yazılımlara karşı dikkatli olacağını açıkladı. Google, Play Store kurallarını diğer konularda zorlamayacağını, yalnızca "yüksek derecede zarar" potansiyeli taşıyan uygulamalara odaklanacağını belirtti. Google'ın doğrulama süreci sırasında kötü amaçlı yazılım kontrolü yapıp yapmayacağı net değil; bunun yerine Android'in kendi kötü amaçlı yazılımlara karşı koruma özelliklerine güvenebilir.
Doğrulama olmasa bile, Android zaten birçok güvenlik önlemine sahip. Play Protect, sadece Play Store'dan alınanları değil, cihazınızdaki tüm uygulamaları tarıyor. Android ayrıca bilinen kötü amaçlı yazılımları devre dışı bırakma ve kaldırma yeteneğine sahip ve potansiyel olarak tehlikeli uygulamalar hakkında sizi uyarabiliyor. Google'ın sistemi, uygulamalar kötü amaçlı davrandığında izinleri sıfırlayabilir bile. Google doğrulama sürecini başlattığında, bu kapsama giren yüklenen uygulamalar, o geliştiricinin tüm uygulamalarının devre dışı bırakılmasına neden olacak.
Android kullanıcılarının en büyük endişelerinden biri, doğrulamaların Google'ın hoşlanmadığı uygulamaları, örneğin reklam engelleyicileri ortadan kaldırmak için kullanılacağı yönünde. Play Store'un zararlı uygulama politikası oldukça yerleşik durumda ve Google'ın kötü amaçlı yazılım olarak kabul ettiği tüm uygulama türlerini detaylandırıyor.
Google'ın ifadeleri ve kamuya açık politika bilgilerine göre, geliştirici doğrulaması YouTube ReVanced ve diğer reklam engelleyiciler gibi uygulamaları doğrudan yasaklamayacak gibi görünüyor. Ancak, Google'ın kuralları zaman içinde değiştirme veya yorumlama olasılığı her zaman var. Google'ın en sevmediği yazılımları kötü amaçlı yazılımlarla aynı kefeye koyma geçmişi bulunuyor. Son dönemde Chrome uzantılarının daha güvenli hale getirilmesine yönelik değişikliklerin de en popüler ve etkili reklam engelleyicilerinden bazılarını etkilediği görüldü.
Güven Eksikliği
Google, doğrulama planının en sorunlu unsurlarına bir cevabı olsa da, her boşlukta bir komplo teorisi görmek mümkün. Neden mi? Google'ın içinde bulunduğu duruma bir bakalım. Mahkemeler, Google'ın Play Store'da bir tekel oluşturmak için yasa dışı davrandığına hükmetti. Yıllarca geliştiricilerin ve kullanıcıların çıkarlarına aykırı hareket ederek Google Play'i Android uygulamaları için tek geçerli kaynak haline getirmeye çalıştı. Peki ne için? Play Store, çoğunlukla uygulama içi satın alma fabrikalarından ibaret olan ve Google'a her yıl milyarlarca dolar kazandıran sponsorlu arama sonuçları ve önerilen uygulamalarla dolu, neredeyse kullanılamaz bir karmaşa.
Google'ın mevcut durumu korumak için her türlü nedeni var (davayı Yüksek Mahkeme'ye kadar taşıyabilir) ve şimdi aniden yüklenen uygulamaların güvenlik riskinin ele alınması gerektiğine karar verdi. Bu riskin ele alınma şekli, alternatif uygulama mağazalarının nihayet gelişme şansı bulabileceği bir dönemde Google'ı sürücü koltuğuna oturtuyor. Bu durum Google için oldukça elverişli.
İnternetteki geliştiriciler, kişisel bilgilerini Google'a vermekten çekiniyorlar. Ancak Google, anonimliği fazla riskli buldu. Google'ın topladığı geliştirici bilgilerini nasıl yöneteceğine dair artık biraz daha fazla şey biliyoruz. Play Store geliştirici bilgileri kamuya açık olsa da, video yüklenecek geliştiriciler için kamuya açık bir liste olmayacağını doğruluyor. Ancak Google bu bilgilere sahip olacak ve bu da kolluk kuvvetleri veya hükümetler tarafından talep edilebileceği anlamına geliyor.
Mevcut ABD yönetimi, Apple App Store'dan başarılı bir şekilde kaldırttığı ICEBlock gibi uygulamalara karşı sert eleştirilerde bulundu. Google'ın uygulama dağıtımındaki yeni merkezi kontrolü, Android'de benzer sansüre izin verebilir ve bu tür bir uygulamayı geliştirenlerin gerçek kimlikleri de bir Google veritabanında saklanabilir ve celp edilebilir durumda olur. Birkaç yıl önce geliştiriciler bu verileri Google'a emanet etmeye güvenebilirlerdi, ama şimdi mi? İyi niyet kalmadı.
