Saat pemasangan aplikasi Android, semua metode termasuk sideloading akan diwajibkan verifikasi pengembang

 (9to5google.com)
8 poin oleh GN⁺ 2025-08-26 | 4 komentar | Bagikan ke WhatsApp
  • Google akan mengubah kebijakannya agar mulai 2026 hanya aplikasi dari pengembang yang telah terverifikasi yang bisa dipasang di perangkat Android tersertifikasi
  • Kebijakan ini berlaku untuk semua metode pemasangan, termasuk selain Play Store juga toko aplikasi pihak ketiga dan pemasangan langsung file APK
  • Google menjelaskan langkah ini diterapkan untuk memperkuat pencegahan distribusi aplikasi palsu dan aplikasi berbahaya serta memblokir pelaku berulang yang berniat jahat
  • Disediakan proses verifikasi terpisah untuk pengembang nonkomersial (pelajar, pengembang hobi) dan pengembang komersial
  • Mulai September 2026, kebijakan ini akan lebih dulu diterapkan di Brasil, Indonesia, Singapura, dan Thailand, lalu diperluas ke seluruh dunia pada 2027

Ringkasan kebijakan baru verifikasi pengembang aplikasi Android dari Google

  • Google berencana agar mulai 2026 hanya aplikasi yang dibuat oleh pengembang terverifikasi yang dapat dipasang di perangkat Android tersertifikasi, untuk mencegah malware dan penipuan finansial
  • Kebijakan ini berlaku untuk perangkat yang mendukung Play Protect dan perangkat dengan aplikasi Google yang sudah dipra-instal, serta mencakup semua jalur pemasangan, bukan hanya Play Store tetapi juga toko aplikasi pihak ketiga dan sideloading APK secara langsung

Rincian kebijakan

  • Play Store pada 2023 sudah menerapkan persyaratan verifikasi pengembang serupa, tetapi ke depan aturan yang sama akan berlaku untuk semua jalur pemasangan/distribusi
  • Google menjelaskan ini mirip dengan “pemeriksaan identitas (ID check) di bandara”, dan bahwa yang diverifikasi hanya identitas pengembang, terlepas dari isi atau asal aplikasi
  • Tujuannya adalah mencegah penyebar aplikasi berbahaya untuk segera mendistribusikan aplikasi berbahaya baru setelah aplikasi sebelumnya dihapus, serta mengurangi kerugian akibat aplikasi palsu yang tampak meyakinkan
  • Menurut investigasi Google, tingkat kemunculan malware pada aplikasi yang di-sideload dari internet tercatat lebih dari 50 kali lebih tinggi dibanding Play Store

Dampak bagi pengguna dan pengembang

  • Kebebasan distribusi aplikasi tetap dijamin, dan pengembang masih bisa menyediakan aplikasi kepada pengguna dengan cara yang mereka inginkan
  • Akan dibuat Android Developer Console terpisah untuk pengembang yang hanya mendistribusikan aplikasi di luar Google Play, dan pelajar serta pengembang hobi akan mendapat alur verifikasi yang berbeda dari pengembang komersial
  • Pengembang yang mendistribusikan aplikasi melalui Google Play kemungkinan besar sudah memenuhi persyaratan terkait di Play Console (untuk organisasi diperlukan nomor D-U-N-S)
  • Mulai Oktober 2024, sebagian pengembang dapat memulai proses verifikasi, dan pembukaan penuh dijadwalkan pada Maret 2026

Jadwal penerapan dan negara yang terdampak

  • September 2026, Brasil, Indonesia, Singapura, dan Thailand akan menjadi negara pertama yang menerapkannya
    Alasannya, negara-negara ini mengalami dampak yang sangat besar dari aplikasi penipuan terkait
  • Mulai 2027, kebijakan ini dijadwalkan berlaku secara global
  • Pada perangkat Android tersertifikasi di wilayah tertentu, hanya aplikasi yang didaftarkan oleh pengembang terverifikasi yang dapat dipasang

Respons lembaga utama dan pemerintah

  • Kementerian Komunikasi dan Informatika Indonesia menilai bahwa langkah ini “berhasil mencapai keseimbangan antara menjaga keterbukaan Android dan melindungi pengguna”
  • Kementerian Ekonomi dan Masyarakat Digital Thailand menyebutnya sebagai “langkah keamanan yang positif dan proaktif” dan menyatakan kebijakan ini sejalan dengan kebijakan keselamatan digital nasional
  • Federasi Perbankan Brasil (FEBRABAN) menyebutnya sebagai “kemajuan berarti dalam perlindungan pengguna dan penegakan akuntabilitas”

Bacaan terkait

4 komentar

 
bus710 2025-08-27

Saya menggunakan aplikasi bernama audio share dengan hanya mengunduh APK-nya dari fdroid, jadi saya penasaran bagaimana nantinya. Itu satu-satunya aplikasi yang saya sideload...
 
unsure4000 2025-08-26

Kalau sideloading memang pada praktiknya jadi diblokir, menurut saya daya tariknya jadi lebih rendah daripada iOS. Buat saya, keduanya menawarkan fungsi yang hampir mirip, dan dari sisi UX iOS sedikit lebih unggul, tapi saya menganggap sideloading adalah keunggulan besar Android. Saya sempat memimpikan memakai Google Pixel yang dipasangi Graphene OS, tetapi kalau mulai dari kode sumber Pixel yang ditutup hingga sideloading yang pada praktiknya diblokir seperti ini, buat saya jadi tidak ada alasan untuk memakai Android. Kalau dirilis seperti ini, sepertinya saya akan kembali ke iOS pada 2027.
 
tribela 2025-08-26

Saya khawatir apakah orang yang mengembangkan aplikasi sendiri untuk dipakai sendiri juga harus mendapatkan verifikasi pengembang..
 
GN⁺ 2025-08-26
Pendapat Hacker News

  • Keputusan Google untuk memverifikasi identitas developer distribusi aplikasi di seluruh perangkat Android sangat sulit diterima, ini seperti harus menyerahkan data pribadi ke Microsoft hanya untuk menjalankan program di Windows, dan kebijakan seperti ini tidak akan mengarah ke hasil yang diinginkan

    • Ke depannya, sebelum Google mengubah kebijakan lagi, saya justru memperkirakan Microsoft akan menempuh jalur yang sama di Windows, ini adalah masa depan hasil gabungan masalah malware, kontrol platform, dan pengaruh regulasi pemerintah
    • Saya sendiri belum pernah benar-benar terjun besar ke pemrograman "ponsel", tetapi saya menunggu kondisi pasar menjadi stabil dan justru malah semakin buruk, padahal di seluruh dunia ada banyak orang yang hanya punya ponsel sebagai satu-satunya perangkat komputasi
    • Rasanya Google memegang seluruh ekosistem dengan sangat ketat, belakangan produsen smartphone semakin mempersulit unlock atau modifikasi perangkat, dan Google serta developer aplikasi makin cenderung memakai teknologi setara TPM hardware untuk memverifikasi apakah perangkat menjalankan sistem yang disetujui Google, sementara platform alternatif masih tertinggal puluhan tahun dalam ekosistem aplikasi sehingga Google mungkin saja bisa memaksakan kebijakan seperti ini
    • Microsoft Windows juga menuju ke arah yang sama, fitur Smart App Control mulai diterapkan di beberapa wilayah, dan .exe tidak bisa dijalankan tanpa sertifikat penandatanganan kode Pelajari Smart App Control lebih lanjut
    • Banyak orang mungkin menentang kebijakan seperti ini, tetapi secara realistis pilihan yang ada sangat sedikit, pindah ke iOS juga tidak berarti menjadi bebas, dan Linux phone pun masih belum layak dipakai sehari-hari, jadi apakah pada akhirnya kita harus kembali ke perangkat lama seperti feature phone yang memang sulit dipasangi aplikasi?

  • Fakta bahwa hanya ada dua OS smartphone dan hal seperti ini bisa terjadi adalah masalah yang sangat serius, karena tidak ada cara untuk benar-benar melarang enkripsi, pemerintah sedikit demi sedikit menggerogoti keamanan dan privasi lewat verifikasi identitas semacam ini, bahkan di halaman kebijakan resmi Google tertulis ‘perlu mengunggah identitas resmi’ Panduan kebijakan, saya rasa pada akhirnya kemarahan publik akan membuat Google atau pemerintah membatalkan kebijakan seperti ini, dan saya menyarankan berpindah ke OS mobile alternatif sebisa mungkin

    • Saya juga merasa kebijakan seperti ini seharusnya bisa memicu kemarahan publik, tetapi kenyataannya sangat sedikit orang yang benar-benar peduli dan isu ini kemungkinan sulit membesar, bahkan gugatan sideloading aplikasi saat ini pun dimungkinkan karena terkait langsung dengan kepentingan perusahaan besar seperti Epic
    • Tidak ada yang istimewa dari pasar smartphone yang hanya punya dua OS utama, pasar desktop dulu juga mirip, pada akhirnya ini soal ekspektasi pengguna
    • Saya penasaran apa sebenarnya masalahnya jika memasang OS alternatif tanpa sertifikasi Play Protect
    • Saya tidak berharap kecenderungan totaliter saat ini akan segera berakhir
    • Gagasan bahwa kemarahan publik akan membatalkan kebijakan seperti ini terasa tidak realistis, pada akhirnya bahkan jika kita bisa memengaruhi lewat pemilu atau cara lain, sebagian besar kandidat juga berada di bawah pengaruh Google dan pihak sejenis, jadi batasan strukturalnya sangat jelas

  • Selama 10 tahun terakhir saya makin tidak puas dengan Android dan iOS, platform makin memusuhi pengguna, app store dipenuhi aplikasi berkualitas buruk yang isinya pelanggaran privasi, pelacakan, iklan, dan elemen adiktif, saya merindukan inovasi aplikasi mobile di masa awal dan bahkan merindukan era Palm Pilot, saya penasaran apakah ada yang benar-benar akan menyelesaikan masalah ini, karena kita jelas bisa membangun lingkungan digital yang lebih baik

    • Saya rasa perubahan nyata baru akan dimulai jika kita kembali ke model pembelian satu kali alih-alih langganan aplikasi, tetapi semua pihak terlalu serakah sehingga tampaknya tidak akan mudah
    • Secara pribadi saya sangat puas saat memakai kombinasi GrapheneOS dan F-Droid, dan saya selalu kaget saat memakai smartphone orang lain, jika GrapheneOS merilis perangkat sendiri saya pasti akan membelinya dan merekomendasikannya secara aktif
    • Volla di Jerman menjual perangkat menarik yang bisa menjalankan custom Android dan Ubuntu Touch secara opsional, dan di Belanda juga ada opsi seperti Fairphone Volla Fairphone
    • Masa-masa nostalgia Android dan iOS dulu sebenarnya masih bisa dinikmati sekarang, sambil sesaat menikmati era perubahan baru seperti LLM
    • Platform smartphone benar-benar berada dalam situasi serius, dan sebagian pengguna memang sudah mulai perlahan menjauh dari smartphone, hanya saja saya rasa ini tidak akan menjadi arus utama

  • Berlawanan dengan slogan “kami memberi developer pilihan antara sideloading atau app store apa pun, inilah definisi sistem terbuka”, kenyataannya justru makin tertutup, terutama ketika organisasi seperti “Developer’s Alliance” mendukung kebijakan seperti ini sehingga muncul pertanyaan apakah mereka benar-benar berpihak pada developer, saya melihat kelompok yang secara terbuka mendukung kebijakan seperti ini sering kali terhubung dengan perusahaan besar atau pemerintah

    • Karena alamat Developer’s Alliance berada di coworking space di Washington DC, saya menduga besar kemungkinan ini adalah organisasi kertas untuk PR kebijakan, atau yang biasa disebut astroturfing

  • Artikelnya hampir tidak membahas proses persetujuan akun, tetapi rasanya Google akan memiliki struktur yang memungkinkannya memberi atau mencabut persetujuan distribusi aplikasi secara sewenang-wenang, ini berarti gatekeeping mulai masuk ke platform yang tadinya terbuka, secara pribadi saya merasa peringatan saat memasang aplikasi tanpa tanda tangan atau sekadar menyalakan pengaturan tertentu seharusnya sudah cukup, mirip Windows yang menampilkan peringatan untuk executable tanpa tanda tangan dan langsung menjalankan file yang sudah ditandatangani

    • Saya agak khawatir struktur seperti ini akan menjadi langkah pertama menuju pelarangan aplikasi NSFW seperti yang terjadi di Steam

  • Ada isu privasi, tetapi saya juga penasaran apakah perubahan kebijakan seperti ini akan membuat build lokal proyek open source hampir mustahil, dulu strukturnya adalah build lokal ditandatangani hanya dengan key milik developer sendiri, tetapi kebijakan baru ini tampaknya mengikat nama paket dengan identitas sehingga aplikasi mungkin tidak bisa lagi ditandatangani dengan key orang lain, saya ingin mendengar pendapat apakah ingatan saya keliru atau prosesnya memang sudah berubah

    • Repositori itu sendiri hanyalah direktori file sehingga namespace pun masih bisa diubah, tetapi proses ini sendiri terlalu merepotkan, harus menyiapkan Android signing key sendiri lalu masih diminta menyerahkan identitas tambahan jelas sangat menurunkan pengalaman pengguna, pada akhirnya orang yang bukan 'pihak yang disetujui' akan makin sulit menjalankan aplikasi hasil build sendiri di perangkat bersertifikasi Google

  • Jika kebijakan ini benar-benar diterapkan, maka di pasar mobile tidak akan tersisa lagi a) OS yang memungkinkan pemasangan aplikasi tanpa kontrak dengan pihak ketiga, dan b) OS yang tetap bisa menjalankan aplikasi keamanan arus utama, terutama aplikasi perbankan

    • Ke depan besar kemungkinan akses perbankan via desktop pun hanya akan diizinkan dari OS dan browser yang telah diverifikasi
    • Saya pribadi akan menonaktifkannya saja, dan memilih aplikasi yang perbankannya bisa dipakai lewat web, banyak aplikasi saya dipasang lewat sideloading dan banyak juga yang terdaftar di Play Store, serta cukup banyak developer yang memang mengunggah informasi identitas mereka sendiri

  • Pengumuman resminya bisa dilihat di tautan berikut Blog resmi Google Detail kebijakan Bantuan Google Play, karena ada begitu banyak aplikasi berbahaya di Play Store, saya rasa prosedur verifikasi saat ini pun tidak terlalu efektif, kebijakan baru ini adalah cara Google memperkuat kekuasaan, misalnya untuk memblokir permanen aplikasi seperti Revanced, mereka mengusung alasan “keamanan” tetapi saya kecewa karena hal-hal yang benar-benar penting seperti pengaturan izin internet justru disembunyikan karena berkaitan dengan pemblokiran iklan oleh pengguna, saya juga tidak paham pernyataan “kami hanya memverifikasi siapa developernya dan tidak melihat isi aplikasinya”, bukankah untuk keamanan yang nyata isi aplikasi tetap harus dianalisis sampai batas tertentu, dan tidak ada pembahasan di pengumuman resmi soal jalur penghindaran seperti menonaktifkan Play Protect sehingga tampaknya hal itu tidak dimungkinkan, jadi sekarang saya mulai merasa hanya Linux dan Windows yang benar-benar tersisa sebagai platform bebas untuk pengembangan, saya ingin mengembangkan tanpa akun Google

    • Pada praktiknya, data bisa diekspor bahkan tanpa permission internet, cukup dengan mengirim intent ke browser agar melakukan query data ke situs milik penyerang
    • Apakah pembatasan ini bisa dilewati dengan menonaktifkan Play Protect belum akan diketahui sampai kebijakan benar-benar diterapkan, jika memang bisa, kemungkinan Play Protect akan memblokir semua aplikasi selain yang “diizinkan/notarized”, dan dalam kasus itu semua developer yang ada harus melalui proses verifikasi, niat dalam pengumuman juga tampak mengarah ke sana, hanya saja belum jelas berapa banyak pengguna yang nantinya bisa mematikan verifikasi ini
    • Ada juga kecurigaan bahwa ini sebenarnya bukan semata masalah keamanan, melainkan ada unsur kebijakan seperti KYC atau sanksi
    • Jika verifikasi identitas perusahaan diwajibkan, memang bisa ada efek mencegah aplikasi palsu yang menyamar sebagai bank, dan pendaftaran public key per nama paket juga berguna untuk mencegah pemasangan versi modifikasi yang sudah disisipi malware, APKMirror pun memverifikasi tanda tangan, jadi jika kita memang terpaksa mengunduh aplikasi dari jalur yang benar-benar tidak tepercaya, sistem seperti ini sedikit banyak memang diperlukan untuk memastikan keaslian sumber, bahkan tanpa menganalisis isi paket, ini bisa dijalankan seperti model keamanan web dengan sertifikat EV SSL dan sejenisnya
    • Saya ingin mendengar penjelasan lebih lanjut tentang pengaturan kontrol akses internet tersembunyi di Android itu

  • Jika kebijakan ini dipaksakan lewat Play Protect, maka bisa dinonaktifkan dengan mudah menggunakan perintah berikut

    adb shell settings put global package_verifier_user_consent -1

    Play Protect bisa dinonaktifkan tanpa akses root, saya tidak ingin harus menjalin hubungan bisnis dengan Google hanya demi mendistribusikan aplikasi open source, dan jika akibatnya hanya pengguna yang mematikan Play Protect secara global yang bisa memasang aplikasi saya, maka saya rasa mau tidak mau itu harus diterima

    • Saya menduga cara seperti ini pun sebentar lagi akan diblokir Google dengan dalih seperti “menghentikan penipu”
    • Saya penasaran apa saja yang sebenarnya akan rusak jika metode ini dipakai

  • Ada pertanyaan bagaimana kita bisa sampai menoleransi situasi seperti ini, dan sebenarnya jawabannya adalah karena kita terus menyesuaikan diri pada begitu banyak pembatasan kecil hingga akhirnya sampai di titik ini, dulu ketika kekhawatiran seperti ini dibicarakan, banyak orang di sekitar saya menertawakannya sebagai hal yang terlalu sensitif dan tidak penting, tetapi pada akhirnya kenyataan ini benar-benar datang

    • Ini adalah arus perubahan yang tak pernah berhenti, seperti ungkapan eternal september
    • Ada juga sebagian pengguna yang bersikap seolah ini tidak menyangkut mereka karena memakai OS alternatif seperti GrapheneOS atau Calyx, tetapi pada akhirnya mereka tetap berada di hilir arus ini, nilai sejati Android bagi pengguna biasa maupun hacker pada dasarnya adalah ‘standarisasi antarmuka’
    • Kita sama sekali tidak pernah mengendalikan situasi ini, dan tanggung jawab sesungguhnya ada pada Google serta para karyawannya, yang menukar kebebasan pengguna demi keuntungan dan karier mereka, situasi saat ini adalah salah satu kegagalan dalam kapitalisme tahap akhir