Surat terbuka Google soal kewajiban registrasi pengembang untuk distribusi aplikasi

 (keepandroidopen.org)
2 poin oleh GN⁺ 2026-02-25 | 1 komentar | Bagikan ke WhatsApp
  • 38 organisasi masyarakat sipil, lembaga nirlaba, dan perusahaan teknologi di seluruh dunia menyatakan penolakan terhadap kebijakan Google yang mewajibkan registrasi pengembang untuk distribusi aplikasi Android di luar kanal resmi
  • Mereka menyoroti bahwa Android sudah memiliki berbagai lapisan perlindungan seperti keamanan tingkat sistem operasi, penandatanganan aplikasi, dan Play Protect
  • Mereka mengkritik bahwa sistem registrasi terpusat mengancam inovasi dan persaingan, privasi, serta kebebasan pengguna, dan menciptakan struktur yang memungkinkan Google mengendalikan seluruh distribusi aplikasi
  • Mereka juga memperingatkan bahwa kebijakan ini meningkatkan hambatan masuk bagi pengembang kecil, proyek open source, pengembang dari negara yang terkena sanksi, dan aktivis HAM
  • Organisasi penandatangan menuntut Google mencabut kebijakan tersebut, memulihkan keterbukaan dan netralitas, serta melakukan konsultasi yang transparan dengan komunitas

Latar belakang penolakan kebijakan

  • Google berencana mewajibkan registrasi terpusat bagi semua pengembang yang ingin mendistribusikan aplikasi di luar Play Store
    • Proses registrasi mencakup pengajuan identitas, persetujuan syarat layanan, dan pembayaran biaya
  • Organisasi penandatangan menilai langkah ini memperluas kewenangan gatekeeping hingga ke area yang tidak terkait dengan layanan Google
    • Mereka memperingatkan bahwa Google akan memperoleh kewenangan untuk menonaktifkan aplikasi di seluruh dunia secara sepihak

Hambatan masuk dan penghambat inovasi

  • Kewajiban registrasi akan merugikan pengembang individu, tim kecil, dan proyek open source
    • Ada banyak kasus ketika registrasi menjadi sulit karena keterbatasan sumber daya, akses infrastruktur yang terbatas, atau tinggal di negara yang terkena sanksi
  • Pengembang yang berfokus pada privasi, aktivis HAM, dan organisasi tanggap darurat juga terpapar risiko
  • Beban administratif seperti ini dapat berujung pada berkurangnya keragaman perangkat lunak dan konsentrasi pada perusahaan besar

Kekhawatiran privasi dan pengawasan

  • Sistem registrasi Google akan membentuk basis data pribadi untuk semua pengembang Android
    • Muncul kekhawatiran mengenai cara penyimpanan, pemanfaatan, dan respons terhadap permintaan pemerintah atas data yang dikumpulkan
  • Bagi mereka yang mengembangkan aplikasi perlindungan privasi atau aplikasi yang sensitif secara politik, kebijakan ini menimbulkan risiko pengawasan yang tidak perlu

Risiko penegakan sewenang-wenang dan penangguhan akun

  • Sistem peninjauan aplikasi Google yang ada saat ini telah dikritik karena keputusan yang tidak transparan dan prosedur banding yang terbatas
    • Masalah yang disorot mencakup penilaian otomatis, penangguhan tanpa alasan yang jelas, serta kemungkinan campur tangan faktor politik atau persaingan
  • Struktur yang memberi satu perusahaan kendali atas seluruh hak distribusi dianggap bertentangan dengan ekosistem persaingan yang sehat

Pembatasan persaingan dan isu regulasi

  • Melalui registrasi, Google dapat mengetahui seluruh tren pengembangan aplikasi dan strategi para pesaing
    • Hal ini dapat menciptakan asimetri informasi pasar dan meningkatkan risiko pemblokiran dini atau peniruan terhadap produk pesaing
  • Regulator di Uni Eropa, Amerika Serikat, dan wilayah lain sudah menyelidiki monopoli platform dan praktik mengutamakan layanan sendiri,
    dan organisasi penandatangan menegaskan bahwa Google harus menjaga keterbukaan dan interoperabilitas

Kecukupan sistem keamanan yang sudah ada

  • Android sudah memiliki fitur keamanan seperti sandboxing, sistem perizinan, verifikasi tanda tangan, dan peringatan sideloading
  • Selama 17 tahun, sistem ini telah menjaga perlindungan pengguna,
    dan mereka berpendapat bahwa jika Google benar-benar khawatir soal keamanan, perusahaan seharusnya fokus pada penguatan mekanisme yang sudah ada

Tuntutan bersama

  • Segera cabut kewajiban registrasi pengembang untuk distribusi pihak ketiga
  • Lakukan konsultasi yang transparan dengan masyarakat sipil, pengembang, dan regulator
  • Jamin netralitas platform dengan memisahkan kepentingan komersial Google dari pengelolaan platform
  • Pulihkan keterbukaan Android dan lindungi perangkat lunak bebas serta kedaulatan digital

Organisasi penandatangan

  • EFF, FSF, FSFE, F-Droid, Nextcloud, Proton, Vivaldi, Tor Project dan total 38 organisasi ikut serta
  • Mereka menyerukan agar Google menghentikan program verifikasi pengembang dan
    bersama-sama mencari keseimbangan antara keamanan dan keterbukaan

Bacaan terkait

1 komentar

 
GN⁺ 2026-02-25
Opini Hacker News

  • Bagian paling kontroversial dari surat ini adalah klaim "Existing Measures Are Sufficient"
    Dalam pengumuman November 2025, Google menjelaskan vektor serangan secara jelas melalui blog resminya
    Misalnya, di Asia Tenggara, penipu menelepon korban dan menakut-nakuti mereka dengan mengatakan "rekening bank Anda diretas", lalu membujuk mereka memasang "aplikasi verifikasi" untuk keamanan. Aplikasi ini sebenarnya adalah malware yang mencegat notifikasi dan mencuri kode 2FA untuk menguras rekening
    Google berargumen bahwa verifikasi identitas pengembang diperlukan untuk mencegah serangan seperti ini. Tanpa verifikasi identitas, akan terus terjadi permainan 'whack-a-mole' di mana aplikasi berbahaya bisa dibuat tanpa henti
    Saya juga merasa pendaftaran wajib itu berlebihan, tetapi saya pikir kita butuh alternatif yang lebih baik daripada sekadar respons "sekarang juga sudah baik-baik saja". Misalnya, pendaftaran wajib bisa dibatasi hanya untuk izin sensitif seperti pencegatan notifikasi/SMS, atau pengembang yang tidak mendaftar bisa diwajibkan memakai sertifikat mahal sebagai bentuk kompromi

    • Saya tidak paham kenapa komunitas harus bereaksi berbeda. Dunia pada dasarnya memang tidak aman, dan keamanan sempurna hanya mungkin dengan mengorbankan kebebasan
      Orang juga harus punya kebebasan untuk membuat pilihan yang salah. Memercayai telepon dari penipu lalu memasang aplikasi bukanlah vektor serangan, melainkan pilihan pribadi. Melarang pengguna memasang aplikasi di perangkat mereka sendiri karena alasan itu tidak berbeda dari bank yang berkata "penarikan uang dilarang karena akan dipakai di bar"
    • Saya adalah penulis surat ini sekaligus koordinator para penandatangannya. Saya bukan mengatakan "semuanya baik-baik saja", melainkan menunjukkan bahwa Android selama ini sudah merespons model ancaman baru lewat penguatan keamanan bertahap
      Misalnya, Restricted Settings di Android 13~14 memblokir penipuan yang membujuk pemasangan APK lewat telepon, dan Enhanced Confirmation Mode di Android 15 mencegah aplikasi berbahaya memanipulasi pengaturan sistem
      Fitur-fitur ini sudah efektif, jadi upaya Google untuk tiba-tiba mengunci semuanya adalah pemutusan dari arah kebijakan sebelumnya. Malware selalu ada, bahkan di dalam Play Store. Dasar untuk membenarkan langkah ekstrem saat ini masih lemah
    • Pendaftaran pengembang bukan solusi atas masalah ini. KTP curian bisa didapat dengan murah, dan pelaku kriminal bisa mengunggah lusinan aplikasi baru dalam sehari
      Masalah yang sebenarnya adalah kurangnya literasi teknologi, kecenderungan orang untuk mudah percaya, lemahnya kemampuan penegakan hukum, dan sebagian negara yang membiarkan sindikat penipuan
      Aplikasi bank saya tidak akan berjalan jika ada panggilan aktif atau kendali jarak jauh. Tetapi di perangkat yang sudah di-root, tidak ada cara untuk menanganinya. Pada akhirnya, negara-negara yang hanya menyalahkan Google sedang lari dari tanggung jawab
      Pembatasan seperti ini akan bisa diakali dalam beberapa hari, dan hanya akan membuat pengguna biasa makin tidak nyaman
    • Jika seseorang bisa dibujuk untuk mengabaikan peringatan keamanan, maka mereka juga bisa dibujuk untuk menyebutkan kode 2FA secara langsung atau ditipu dengan metode phishing lain
    • Tidak ada solusi sempurna untuk masalah ini. Jika pengguna dibiarkan memasang aplikasi yang tidak diverifikasi, ada risiko aplikasi berbahaya; jika dicegah, kebebasan pengguna jadi dibatasi
      Bisa saja dibuat prosedur "unlock" yang rumit, tetapi pada akhirnya itu sama saja dengan mencegah pengguna biasa memasang aplikasi tidak resmi
      Masalah penipuan ini memang serius, tetapi solusi yang diajukan tampak seperti obat yang lebih buruk daripada penyakitnya

  • Seorang hakim memutuskan kepada Google bahwa "Apple bukan monopoli karena tidak ada pesaing di platformnya sendiri" (terkait gugatan Epic)
    Google mendengar kata-kata itu secara harfiah. Karena itulah kebijakan sekarang muncul. Menurut saya ini salah satu putusan terburuk dalam beberapa tahun terakhir

    • Masalah seperti ini seharusnya ditangani parlemen, bukan hakim. Platform yang diandalkan semua orang, seperti telekomunikasi, harus diatur lewat undang-undang
      Saya rasa pendekatan UE yang menetapkan Apple dan Google sebagai platform gerbang jauh lebih baik. Kongres AS gagal menyiapkan kerangka hukum untuk pendekatan modern
    • Saya ingat Anda juga menulis komentar yang sama beberapa hari lalu. Tautan komentar sebelumnya
    • Bisa jelaskan secara spesifik putusan mana yang Anda maksud? Saya penasaran bagaimana kesimpulan itu bisa muncul

  • Masalah dari pendaftaran pengembang adalah bahwa Google dan pemerintah akan mendapatkan hak untuk menyensor aplikasi
    Jika pemerintah meminta "larang aplikasi VPN", Google bisa memblokirnya dengan memakai persyaratan pendaftaran

    • Bukankah mereka memang sudah punya kewenangan seperti itu?
    • Bahkan lebih serius dari itu. Jika pemasangan hanya bisa dilakukan lewat jalur resmi, Google akan bisa melacak siapa memakai aplikasi apa
      Misalnya, orang yang memasang aplikasi pelacak ICE bisa dilaporkan ke pemerintah dan dimasukkan ke daftar teroris

  • Sistem pendaftaran hanya menambah biaya gesekan bagi ribuan pengembang normal, sementara pelaku jahat akan terus kembali dengan perusahaan kedok atau identitas curian
    Verifikasi identitas dan pencegahan kejahatan adalah dua masalah yang berbeda

    • Sebenarnya gesekan ini bukan demi 'keamanan', melainkan desain yang disengaja. Google ingin menyingkirkan pengembang kecil
      Di Play Store, Google sudah memaksa pengembang individu menampilkan nama asli, menurunkan peringkat visibilitas aplikasi mereka, dan menampilkan peringatan seperti "aplikasi ini jarang dipasang"
      Pada akhirnya ini adalah strategi untuk membentuk ekosistem yang berpusat pada aplikasi perusahaan besar. Beban pemeliharaan berkurang dan pendapatan meningkat
    • Tentu saja, kita juga tidak bisa bilang gesekan ini sama sekali tidak berguna. Membuat ribuan akun dengan ID curian memang sulit, tetapi membuat varian aplikasi berbahaya jauh lebih mudah
      Saya tidak tahu apakah keseimbangan ini sepadan, tetapi sulit juga mengatakan bahwa ini sepenuhnya tak bermakna
    • Google bahkan tidak mampu menyaring aplikasi berbahaya dengan baik di Play Store. Masih banyak aplikasi palsu dan spam di sana

  • Saya ingin bilang ke Google: bereskan dulu malware di Play Store sebelum membahas sideloading

  • Jika instalasi dari luar Play Store dilarang, itu akan menjadi bencana bagi power user
    Saya memang sudah berhenti melakukan root, tetapi saya masih mengandalkan APK untuk hal-hal seperti pemblokiran iklan. Jika aplikasi seperti itu diblokir, tidak ada alasan lagi memakai Android

  • Daftar penandatangan kali ini terlihat seperti daftar kelompok yang ingin dihilangkan oleh Google

    • Tepat sekali. Google tidak peduli pada masyarakat sipil; mereka hanya peduli pada penguatan kekuasaannya sendiri
      Semoga langkah ini justru membuat orang mencari alternatif selain Google

  • Jika Android dan iOS sama-sama tertutup, saya akan memilih iOS setiap saat
    Alasan saya memakai Android adalah karena keterbukaannya. Jika itu hilang, saya akan memilih UX Apple yang mulus dan ekosistemnya

    • Saya sudah dipaksa memakai iOS selama setahun, dan sampai sekarang saya masih belum merasakan UX yang mulus atau ekosistem yang kuat itu

  • Sejujurnya, frasa "dampak yang tidak proporsional pada komunitas yang terpinggirkan" menurut saya lebih cocok untuk para korban lansia di negara berkembang daripada untuk para hacker
    Mereka sering tertipu aplikasi scam dan kehilangan harta mereka

  • "Don’t be evil" sekarang berubah menjadi "jangan jahat kecuali setelah mendaftar dengan ID pemerintah"
    Google dulu membela diri dalam gugatan antimonopoli dengan menonjolkan keterbukaan Android, tetapi sekarang mereka sendiri yang menutup pintu itu
    Mereka mengatasnamakan keamanan, tetapi masalah yang sebenarnya ingin diselesaikan bukanlah "pengembang yang tak bisa dikendalikan", melainkan "pengembang yang tak bisa dimonetisasi"