Google, 2026 itibarıyla Android ekosisteminde zararlı yazılımlarla mücadele etmek amacıyla köklü değişikliklere imza atacak. Eylül ayından itibaren, geliştirici doğrulama programı aracılığıyla doğrulanmamış uygulamaların cihazlara yüklenmesi kısıtlanmaya başlayacak. Ancak bu durum, özellikle teknik bilgiye sahip kullanıcılar arasında bazı endişelere yol açtı. Gelen geri bildirimleri dikkate alan Google, gelişmiş bir işlem akışı sunarak, teknik kullanıcıların uygulama doğrulamasını atlamasına olanak tanıyacak.
Yeni kısıtlamalarla birlikte, Android telefonlar yalnızca doğrulanmış geliştiricilerden gelen uygulamaları yükleyebilecek. Google Play dışından uygulama yayınlayan geliştiricilerin kimliklerini beyan etmeleri, imzalama anahtarlarının bir kopyasını yüklemeleri ve 25 dolarlık bir ücret ödemeleri gerekecek. Bu süreç, Google'ın müdahalesi olmadan uygulama geliştirmek isteyenler için oldukça zahmetli görünüyor.
Doğrulanmamış geliştiricilerden gelen uygulamalar Android telefonlara yüklenemeyecek. Ancak, geliştirici ayarları altında gizlenmiş olan yeni gelişmiş işlem akışı kullanılarak bu durumun önüne geçilebilecek.
Günümüzde uygulamaları doğrudan yükleme (sideloading) işlemi sırasında Android telefonlar, kullanıcılara ayarlar menüsündeki "Bilinmeyen Kaynaklar" seçeneğini etkinleştirmeleri konusunda uyarıda bulunuyor. Ancak yeni doğrulama atlatma süreci farklı işleyecek ve kullanıcılara doğrudan gösterilmeyecek. Kullanıcıların bu ayarı proaktif olarak kendilerinin bulup etkinleştirmeleri gerekecek ve bu da anlık bir işlem olmayacak. İşte adımlar:
- Telefonun "Hakkında" bölümündeki yazılım sürüm numarasına yedi kez dokunarak geliştirici seçeneklerini etkinleştirin.
- Ayarlar > Sistem > Geliştirici Seçenekleri'ne gidin ve "Doğrulanmamış Paketlere İzin Ver" seçeneğini bulun.
- Bu seçeneği açın ve zorlama altında olmadığınızı onaylayın.
- Cihazınızın kilidini açma PIN'ini veya şifresini girin.
- Cihazınızı yeniden başlatın.
- 24 saat bekleyin.
- Güvenlik bekleme süresinin sonunda doğrulanmamış paketler menüsüne geri dönün.
- Ek uyarıları geçerek "Geçici Olarak İzin Ver" (yedi gün) veya "Süresiz İzin Ver" seçeneklerinden birini belirleyin.
- Riskleri anladığınızı onaylayan kutucuğu işaretleyin.
- Artık paket yöneticisindeki "Yine de Yükle" seçeneğine dokunarak cihaza doğrulanmamış paketler yükleyebilirsiniz.
Bu özelliği etkinleştirmek için gereken asıl işlem birkaç saniye sürse de, 24 saatlik bekleme süresi, acil durumlarda bu işlemi yapmayı zorlaştırıyor. Peki neden 24 saat? Yetkililere göre bu süre, dolandırıcıların kurbanlarını acil bir uygulama yüklemeye zorladığı yüksek baskılı sosyal mühendislik saldırılarına karşı bir önlem olarak tasarlandı. Bu 24 saatlik süre zarfında, bir yakınınızın gerçekten gözaltında olmadığını veya banka hesabınızın tehlikede olmadığını fark etmeniz için zaman tanınmış oluyor.
Google'ın doğrulama sisteminin önünüze geçmesini istemeyen kullanıcılar, doğrulanmamış bir uygulama ile karşılaşmadan da bu süreci başlatabilirler. Telefonunuzda "süresiz" seçeneğini yalnızca bir kez etkinleştirmeniz yeterli; sonrasında geliştirici seçeneklerini kapatabilirsiniz.
Güvenlik ve Seçim Dengesi
Google, dünya genelindeki Android kullanıcılarına karşı bir sorumluluk hissettiğini ve 3 milyardan fazla aktif cihazla birlikte durumun eskisi gibi olmadığını belirtiyor. Telefonlar artık birçok insan için tek bilgisayar ve en özel bilgileri barındırıyor. Bu nedenle, platformun hem açık hem de güvenli kalmasını sağlamak için evrimleştiği vurgulanıyor. Güvenliğin olmadığı bir platformun kullanıcılar tarafından tercih edilmeyeceği ve bunun geliştiriciler dahil herkes için kayıp olacağı ifade ediliyor.
Güvenlik, Google'a göre uygulamaların içeriğini kontrol etmek anlamına gelmiyor. Geliştiriciler kayıt olurken aktif olarak kontrol edilmeyecek. Süreç, yalnızca kimlik doğrulamasına odaklanıyor; yani kullanıcılar, yükledikleri uygulamanın bir taklitçi olmadığını ve bilinen zararlı yazılım satıcılarından gelmediğini bilmeli. Doğrulanmış bir geliştirici zararlı yazılım dağıtırsa, doğrulaması iptal edilecek. Zararlı yazılım ise, kullanıcının cihazına veya kişisel verilerine kasıt olmadan zarar veren uygulama paketi olarak tanımlanıyor. Bu tanıma göre, örneğin telefonunuzda root erişimi elde etmek için bilerek yüklediğiniz bir rootkit zararlı yazılım sayılmıyor. Benzer şekilde, Google'ın reklamlarını ve özellik kısıtlamalarını atlayan alternatif bir YouTube istemcisi de doğrulama sorunlarına yol açacak türden bir zarara neden olmuyor. Ancak bunlar genel çerçeveler ve Google henüz belirli uygulamalar hakkında yorum yapmadı.
Google, doğrulama sürecini dikkatli bir şekilde ilerletiyor ve bazı detaylar hala netleşmedi. Gizlilik savunucuları, doğrulamanın bağımsız geliştiricileri yasal işlemlere karşı riske atacak bir veritabanı oluşturabileceği endişesini dile getirdi. Google ise, yersiz görülen yargı emirleri için kullanıcı verileri konusundaki taleplere direndiğini belirtiyor. Ayrıca, geliştirici kimliklerinin yasal taleplere karşı savunmasız kalacak kalıcı bir listesini oluşturma niyetinde olmadıklarını vurguluyor. Google'ın doğrulama sürecinden ne kadar veri sakladığı ve bu verileri ne kadar süreyle tuttuğu konusunda daha fazla detay istendi.
Ayrıca, ambargo uygulanan ülkelerdeki geliştiricilerin zorunlu ücret nedeniyle doğrulama yapamayabileceği endişesi de bulunuyor. Google, doğrulama sürecinin ülkelere göre değişiklik gösterebileceğini ve Küba veya İran gibi yerlerdeki geliştiricileri engellemek için özel olarak tasarlanmadığını belirtiyor. Bu tür durumların nasıl ele alınacağına dair detaylar soruldu ve öğrenildiği takdirde bilgi güncellenecek.
2026 ve Sonrası İçin Rollout Planı
Dünyanın büyük bölümündeki Android kullanıcılarının henüz geliştirici doğrulama konusunda endişelenmesine gerek yok, ancak bu günler yaklaşıyor. Eylül ayında doğrulama zorlaması Brezilya, Singapur, Endonezya ve Tayland'da başlayacak. Bu bölgelerde kimlik taklidi ve yönlendirmeli dolandırıcılık vakaları daha yaygın olduğundan, Google önce bu bölgelerde başlayıp gelecek yıl küresel olarak genişleyecek. Google, gelişmiş işlem akışının Eylül ayındaki ilk dağıtımdan önce hazır olacağını vurguladı.
Google, kullanıcıların Google Play dışından edinilen zararlı yazılımlara maruz kalma olasılığının 50 kat daha fazla olduğu iddiasını sürdürüyor. Bu farkın büyük bir kısmının, Google'ın 2023'te Play Store'da geliştirici kimliklerini doğrulamaya başlamasıyla oluştuğu belirtiliyor. Bu, evrensel geliştirici doğrulaması için bir çerçeve oluşturdu. Doğrulamanın Google'a sağladığı kontrolün yanı sıra, Android ekibinin zararlı yazılım sorunu olan bölgelerdeki düzenleyicilerden platform güvenliği konusunda ciddi baskı hissettiği ifade ediliyor. Bazı ülkelerde, daha güvenli hale getirilmezse düzenleyici eylemlerin daha sıkı önlemler alabileceği yönünde konuşmalar olduğu belirtiliyor. Bunun birçok ülkede gerçek bir güvenlik endişesi olduğu yeterince anlaşılmıyor.
Google, doğrulayıcıyı dünya genelindeki cihazlara zaten göndermeye başladı; bu, 2025'in sonlarında piyasaya sürülen Android 16.1 ile entegre edildi. Sonunda, doğrulayıcı ve gelişmiş işlem akışı, desteklenen tüm Android cihazlarda yer alacak. Arayüz ise tutarlı olacak ve Google tüm bileşenleri ve uyarı ekranlarını sağlayacak. Yani telefonunuzda göreceğiniz şeyler, birkaç ay içinde hangi üretici olursa olsun benzer olacaktır.
