Verifikasi Pengembang Android: Akses Awal Dimulai

 (android-developers.googleblog.com)
3 poin oleh GN⁺ 2025-11-14 | 1 komentar | Bagikan ke WhatsApp
  • Program verifikasi pengembang Android kini mulai diterapkan secara penuh, dan program akses awal telah dimulai bagi pengembang yang mendistribusikan aplikasi di luar Play
  • Program ini merupakan lapisan keamanan tambahan untuk mencegah penipuan dan penyebaran malware, dengan mewajibkan verifikasi berbasis identitas asli bagi pengembang sehingga meningkatkan biaya operasional pelaku serangan
  • Jenis akun untuk pelajar dan pengembang hobi telah ditambahkan, dengan prosedur verifikasi yang lebih longgar agar aplikasi dapat didistribusikan ke jumlah perangkat yang terbatas
  • Alur instalasi untuk pengguna mahir juga sedang dikembangkan, termasuk fitur yang memungkinkan pengguna memahami risikonya dan memilih sendiri untuk memasang aplikasi yang belum terverifikasi
  • Google sedang mengembangkan program ini dengan mencerminkan masukan komunitas, sambil menjaga keseimbangan antara keamanan dan aksesibilitas ekosistem Android

Tujuan program verifikasi pengembang Android

  • Persyaratan verifikasi pengembang yang baru dirancang sebagai lapisan pertahanan tambahan untuk melindungi pengguna Android
    • Google menargetkan pendekatan keamanan yang seimbang dengan mempertimbangkan berbagai tipe pengguna
    • Setelah pengumuman awal, masukan dikumpulkan dari pelajar, pengembang hobi, pengguna mahir, dan lainnya
  • Pencegahan penipuan dan kecurangan digital telah lama menjadi tantangan inti keamanan Android
    • Ini terhubung dengan fitur yang sudah ada seperti deteksi penipuan di Google Messages, Google Play Protect, dan peringatan panggilan spam secara real-time
  • Belakangan ini kampanye penipuan online dan malware menjadi semakin agresif
    • Dampaknya sangat serius terutama di wilayah yang digitalisasinya berkembang pesat
Iklan

Mengapa verifikasi diperlukan dan contoh kasus nyata

  • Perangkat perlindungan teknis saja sulit menghentikan semua serangan rekayasa sosial
    • Penyerang menggunakan teknik rekayasa sosial bertekanan tinggi untuk membuat pengguna mengabaikan peringatan keamanan
  • Dalam kasus yang diamati di Asia Tenggara, penyerang menipu korban dengan mengatakan bahwa rekening bank mereka telah diretas, lalu
    mendorong mereka memasang "aplikasi verifikasi", yang sebenarnya adalah malware untuk mencuri kode autentikasi dua faktor
  • Tanpa proses verifikasi, penyerang dapat langsung membuat dan menyebarkan aplikasi berbahaya yang baru
    • Verifikasi identitas asli pengembang meningkatkan biaya operasional pelaku berbahaya dan mempersulit penyebaran serangan
    • Pendekatan ini telah terbukti efektif di Google Play, dan kini diperluas ke seluruh ekosistem Android

Dukungan untuk pelajar dan pengembang hobi

  • Sebagian pengembang mengkhawatirkan hambatan masuk saat membuat aplikasi untuk distribusi skala kecil kepada keluarga atau teman
  • Karena itu, diperkenalkan jenis akun khusus untuk pelajar dan pengembang hobi
    • Akun ini dapat mendistribusikan aplikasi ke sejumlah perangkat terbatas tanpa harus melalui seluruh proses verifikasi
    Iklan

Memperkuat hak pengguna mahir

  • Alur instalasi baru sedang dikembangkan untuk pengguna berpengalaman yang bersedia menanggung risiko keamanan
    • Pesan peringatan akan ditampilkan agar pengguna memahami risikonya dengan jelas saat memasang aplikasi yang belum terverifikasi
    • Alur ini dirancang agar tidak bisa dilewati bahkan dalam situasi paksaan atau penipuan
    • Saat ini Google sedang mengumpulkan masukan awal terhadap desainnya, dan detail lebih lanjut akan diumumkan nanti

Program akses awal dimulai

  • Undangan akses awal verifikasi pengembang mulai dikirim melalui Android Developer Console kepada pengembang yang mendistribusikan aplikasi di luar Play
    • Undangan untuk Play Console akan tersedia kemudian
  • Video demo lingkungan konsol baru serta panduan dan dokumen FAQ telah dipublikasikan
  • Google terus mendorong penyederhanaan pengalaman verifikasi dan pembangunan ekosistem yang aman dengan mencerminkan masukan pengembang

Bacaan terkait

1 komentar

 
GN⁺ 2025-11-14
Opini Hacker News

  • Saya ingin bisa memasang aplikasi dari toko aplikasi alternatif seperti F-Droid dan menerima pembaruan otomatis tanpa persetujuan Google
    Pemasangan manual lewat adb seharusnya diizinkan, tetapi itu tidak cukup
    Saya kira “perlindungan pengguna” dari Google sebenarnya ditujukan untuk mengendalikan pendapatan iklan. Contohnya, seperti dalam kasus SimpleMobileTools, setelah aplikasi dijual, pemilik baru bisa memaksa distribusi pembaruan yang merugikan pengguna
    Sebaliknya, F-Droid memblokir versi seperti itu dan merekomendasikan Fossify Apps, sebuah fork open source (komentar terkait)

    • Pada akhirnya, menurut saya inti masalahnya adalah kontrol. Jika Anda mengendalikan platform dan akses, Anda bisa menguasai dunia
      Yang perlu kita lakukan adalah mengajarkan FOSS kepada generasi berikutnya. Kebiasaan yang dipelajari sejak kecil akan terbawa seumur hidup. Para pengembang seharusnya sukarela memberi ceramah di sekolah tentang topik seperti ini
    • Mengizinkan pembaruan otomatis sambil mencegah pergantian pengembang yang berniat jahat adalah hal yang kontradiktif
      Baik Google maupun F-Droid akan kesulitan mendeteksi apakah pengembang telah menyerahkan akun dan kuncinya
    • Katanya “menjaga pengguna tetap aman adalah prioritas utama”, saya tidak ingin dilindungi oleh Big Brother
    • Jika pembaruan otomatis dinonaktifkan secara default, masalah seperti SimpleMobileTools tidak akan terjadi
      Pengguna seharusnya memutuskan sendiri. Saya memblokir akses internet untuk semua aplikasi secara default.
      Pada akhirnya Android sendiri adalah OS yang memusuhi pengguna, dibuat oleh perusahaan bisnis pengawasan
    • Lucunya, untuk memasang Google Drive di macOS, kita harus mengunduh file .pkg secara manual
      Bahkan tidak ada di Apple Store, jadi kenapa ini dilarang di Android? Bukankah ini standar ganda?

  • Sejak mengumumkan kebijakan ini, Google sudah memberi isyarat bahwa di beberapa negara hal ini karena tekanan pemerintah
    Menurut posting blog resmi, kebijakan ini berlaku di Brasil, Indonesia, Singapura, dan Thailand
    Karena pemerintah menuntut Google bertanggung jawab atas masalah aplikasi penipuan, tidak mungkin ada cara yang memudahkan pengguna nonteknis untuk memasang “aplikasi yang tidak terverifikasi”
    Namun pendekatan seperti ini bagi banyak orang adalah sesuatu yang pada dasarnya tidak bisa diterima

    • Saya tidak percaya klaim soal tekanan pemerintah. Masalah sebenarnya adalah struktur yang memungkinkan aplikasi mengakses data pribadi
      Google membuat mekanisme kontrol yang rumit seperti ini untuk mempertahankan model bisnis berbasis pelanggaran privasi
      Pada akhirnya ini adalah langkah untuk membenarkan pelarangan sideloading secara perlahan, seperti “merebus katak pelan-pelan”
    • Google ingin menyingkirkan aplikasi seperti YouTube ReVanced
      Itu sudah jelas hanya dari kasus pemblokiran yt-dlp
    • Ini bukan tekanan pemerintah, melainkan kebijakan yang dipimpin Google
      Ketika pemerintah dan perusahaan memusatkan kekuasaan dengan melewati proses hukum, itu adalah perilaku tidak demokratis
    • Saya sudah membeli perangkat kerasnya, jadi saya punya hak alami untuk memodifikasi dan memperbaikinya
    • Memblokir “aplikasi yang tidak terverifikasi” mirip dengan tragedi milik bersama
      Untuk mencegah penipuan, edukasi pengguna dan penyediaan informasi harus berjalan bersamaan

  • Kata “sideloading” itu sendiri adalah masalah
    Menjalankan kode dengan cara yang didukung sistem seharusnya hanyalah eksekusi normal
    Kata seperti ini membelokkan persepsi orang

    • Kalau katanya tidak bisa dihapus, maka harus didefinisikan ulang. Kita pun sekarang menulis di Hacker News dengan “browser yang disideload”
    • Saya hanya memasang aplikasi dari f-droid, bukan “melakukan sideloading”
    • Bagi saya, sideloading berarti memindahkan apk secara fisik dari perangkat lain di sebelahnya
    • Istilah ini sudah dipakai sejak 2006. Tautan buku CNET

  • Dalam kebijakan baru Google, katanya akan ada “akun khusus untuk pelajar dan pengembang hobi”, yang pada akhirnya berarti pembatasan skala
    Jika logikanya aplikasi kecil itu berisiko, maka ini tidak konsisten

    • Yang penting adalah “alur lanjutan untuk pengguna mahir” di bagian berikutnya
      Itu mengizinkan pemasangan aplikasi yang tidak terverifikasi, tetapi dengan risiko yang harus ditanggung sendiri
    • Tapi saya bertanya-tanya kenapa tidak cukup membiarkan pengguna menandai di OS, “saya paham risikonya”
    • Jika aplikasi dengan jumlah pemasangan sedikit dianggap berisiko, maka mempermudah distribusi skala kecil itu kontradiktif

  • Saya mencoba memasang F-Droid mengikuti perubahan kebijakan Google
    Keamanannya ternyata lebih baik dari yang saya kira. Untuk tiap aplikasi, kita harus mengatur secara terpisah “izinkan memasang aplikasi lain”
    Setelah memasang NewPipe, semuanya tetap berjalan baik meski sideloading tingkat sistem dimatikan
    Artinya, risiko pemasangan aplikasi secara serampangan dibesar-besarkan
    Play Store juga penuh aplikasi berbahaya, jadi kebijakan baru Google pada akhirnya hanya penguatan kontrol

  • Google bilang akan membuat “alur lanjutan untuk pengguna mahir”,
    Saya harap itu prosedur yang cukup diatur sekali saja. Tapi saya khawatir akan dibuat merepotkan seperti di macOS milik Apple

    • Kata “sideloading” bernuansa negatif, jadi kita butuh istilah baru
    • Bagaimana kalau ada masa cooldown yang hanya perlu disetel sekali?
    • Saya penasaran apakah alur ini juga mengizinkan biner yang tidak ditandatangani
    • Intinya adalah apakah pengguna mahir akan diperlakukan sebagai orang dewasa

  • Cara sekarang adalah yang terburuk bagi kedua belah pihak
    apk berbahaya tetap bisa menyebar, dan saat skalanya membesar verifikasi akan diperlukan
    Akan lebih baik jika Google mewajibkan verifikasi pengembang, tetapi tetap mengizinkan toko pihak ketiga seperti F-Droid
    Dengan begitu pengguna tidak perlu mengambil apk langsung dari situs berbahaya
    Namun solusi yang seimbang seperti ini tidak dibahas, yang ada hanya reaksi emosional

    • Sebenarnya ada dua perubahan
      1. verifikasi untuk pengembang pelajar dan hobi
      2. alur lanjutan untuk pengguna mahir
        Belum jelas apakah yang kedua akan cukup kuat untuk mendukung F-Droid
    • Saya ingin kebebasan untuk membuat aplikasi di perangkat saya sendiri tanpa perlu koneksi internet
    • Kenapa saya perlu toko aplikasi untuk memasang aplikasi di ponsel yang saya miliki sendiri?
    • F-Droid menolak melacak jumlah pemasangan karena itu pelanggaran privasi
      Jika Google memverifikasi toko aplikasi, itu hanya bentuk gatekeeping lain

  • Google mengatakan “perlindungan pengguna adalah prioritas utama”, tetapi dalam praktiknya mereka membiarkan masalah keamanan akun atau kontrol notifikasi
    Jika aplikasi berbahaya bisa membajak notifikasi, itu berarti sandbox-nya lemah
    Pada akhirnya Google mengandalkan pemblokiran setelah kejadian lewat kontrol terpusat
    Masalah sebenarnya adalah kegagalan isolasi dan lambatnya patch

    • Pernyataan seperti ini justru mengungkap celah dalam arsitektur keamanan
      Cukup verifikasi terpisah untuk aplikasi yang membutuhkan izin sensitif
    • Bahasa perusahaan selalu sama. Kematian, pajak, dan permainan kata ala korporasi
    • Prioritas utama mereka adalah monetisasi
    • Sebenarnya tujuannya adalah memblokir aplikasi seperti YouTube ReVanced atau uBlock Origin
    • Tentu benar bahwa Google berinvestasi sangat besar dalam keamanan. Tetapi perbaikan yang konkret tetap dibutuhkan

  • Kata “mengizinkan (Allow)” adalah inti masalahnya
    Tidak masuk akal Google “mengizinkan” sesuatu di perangkat yang saya beli dengan uang saya sendiri
    Karena itu saya sedang bersiap pindah ke GrapheneOS. Setelah opini publik mereda, Google akan memperketat kebijakan penguncian lagi
    Sekarang menurut saya de-Googling sudah menjadi keharusan

    • Saya juga sedang mengurangi penggunaan layanan Google. Saya sedang memindahkan data Drive dan Photos
      Saya juga ingin mengelola email sendiri. Google merusak filter spam dan bahkan menaikkan harga
      Mereka menaikkan biaya dengan memaksakan fitur AI, padahal saya tidak menginginkannya
      Saya berencana menguji postmarketOS atau GrapheneOS
      Fitur AI dubbing di YouTube juga sangat mengganggu, jadi saya sedang mencari alternatif
    • UbuntuTouch juga patut dipertimbangkan. Ia juga bisa menjalankan apk Android

  • Google mengumumkan bahwa mereka akan melonggarkan proses verifikasi wajib
    Katanya mereka sedang mengembangkan “alur lanjutan” agar pengguna mahir bisa menanggung risiko dan memasang aplikasi yang tidak terverifikasi

    • Tetapi proses sideloading yang ada sekarang saja sudah rumit, jadi saya khawatir ini akan diperketat lagi
      Meski begitu, selama tidak diblokir total, saya tetap optimistis secara hati-hati
    • Jika keselamatan benar-benar prioritas utama, prosedur seperti ini seharusnya sudah dibuat sejak awal
      Meski begitu, perubahan kali ini tampak sebagai sinyal positif
    • Namun ini hanya sisi pengguna,
      pengembang yang ingin mendistribusikan aplikasi lewat toko pihak ketiga atau situs web tetap harus melalui proses verifikasi