Verifikasi pengembang Android: mulai diperluas ke semua pengembang

 (android-developers.googleblog.com)
4 poin oleh GN⁺ 22 hari lalu | 1 komentar | Bagikan ke WhatsApp
  • Google memperluas program verifikasi pengembang Android ke semua pengembang untuk sekaligus memperkuat keterbukaan dan keamanan platform
  • Karena tingkat kemunculan malware pada aplikasi sideload 90 kali lebih tinggi dibandingkan Google Play, Google memperkenalkan prosedur verifikasi tambahan untuk memblokir pelaku jahat anonim
  • Verifikasi dapat dilakukan melalui Play Console atau Android Developer Console, dan harus diselesaikan sebelum perubahan di sisi pengguna dimulai akhir tahun ini
  • Mulai diterapkan lebih dulu di Brasil, Indonesia, Singapura, dan Thailand pada September 2026, lalu diperluas ke seluruh dunia pada 2027
  • Langkah ini merupakan tahap penting penguatan keamanan ekosistem Android untuk mencegah penyebaran malware dan membangun kepercayaan pengguna

Ringkasan program verifikasi pengembang Android

  • Untuk sekaligus memperkuat keterbukaan dan keamanan platform Android, Google memperluas verifikasi pengembang Android (Developer Verification) ke semua pengembang
  • Menurut analisis Google, tingkat kemunculan malware pada aplikasi yang di-sideload 90 kali lebih tinggi dibandingkan Google Play, sehingga prosedur verifikasi diperkenalkan sebagai lapisan keamanan tambahan untuk memblokir pelaku jahat anonim
  • Setelah berkolaborasi dengan komunitas selama beberapa bulan, Google menyempurnakan desainnya agar tetap menjaga keseimbangan antara keterbukaan dan keamanan dengan mempertimbangkan beragam cara penggunaan Android

Memulai proses verifikasi

  • Semua pengembang dapat memulai verifikasi melalui Android Developer Console atau Play Console
    • Jika mendistribusikan aplikasi di luar Google Play, akun dapat dibuat di Android Developer Console
    • Jika menggunakan Google Play, status verifikasi dapat diperiksa di akun Play Console, dan jika sudah terverifikasi maka tidak perlu tindakan tambahan
  • Karena perubahan di sisi pengguna akan dimulai akhir tahun ini, verifikasi dan pendaftaran aplikasi harus diselesaikan sebelum itu

Perubahan pada pengalaman unduhan pengguna

  • Alat verifikasi akan segera diluncurkan, tetapi pengalaman unduhan pengguna baru akan berubah setelah September 2026
  • Fitur perlindungan pengguna akan diterapkan lebih dulu di Brasil, Indonesia, Singapura, dan Thailand, lalu diperluas ke seluruh dunia pada 2027
  • Sebagian besar pengguna tetap dapat memasang aplikasi seperti biasa, dan ADB atau alur pemasangan lanjutan (advanced flow) hanya diperlukan saat memasang aplikasi yang belum terdaftar
  • Dengan demikian, fleksibilitas bagi pengguna berpengalaman tetap dipertahankan sambil memperkuat perlindungan bagi pengguna umum

Peningkatan dan perubahan berdasarkan masukan pengembang

  • Dengan menyederhanakan pengalaman pengembang dan mengintegrasikannya ke alur kerja yang ada, Google mengefisienkan proses verifikasi

  • Pengembang Android Studio

    • Dalam 2 bulan ke depan, status pendaftaran dapat diperiksa langsung di Android Studio saat membuat App Bundle atau APK yang ditandatangani

  • Pengembang Play Console

    • Jika verifikasi sudah diselesaikan di Play Console, aplikasi Play akan didaftarkan secara otomatis
    • Jika pendaftaran otomatis tidak memungkinkan, pengembang harus mengikuti prosedur pendaftaran aplikasi secara manual, dan panduan rinci akan diberikan melalui konsol dan email
    • Pendaftaran aplikasi yang didistribusikan di luar Play juga dapat dilakukan dari Play Console

  • Mahasiswa dan pengembang hobi

    • Akan tersedia limited distribution account yang dapat digunakan gratis tanpa kartu identitas pemerintah
    • Aplikasi dapat dibagikan ke maksimal 20 perangkat, dan dapat dimulai hanya dengan akun email
    • Undangan early access akan mulai dikirimkan pada Juni 2026

  • Pengguna mahir (power users)

    • Opsi untuk memasang aplikasi yang belum terdaftar tetap dipertahankan melalui ADB atau advanced flow yang baru
    • Dengan ini, keamanan dan kebebasan lingkungan pemasangan dapat berjalan berdampingan

Jadwal selanjutnya

  • Google secara bertahap memperkenalkan kebijakan ini sambil bekerja sama dengan pengembang, pengguna, dan mitra
  • April 2026: layanan sistem Android Developer Verifier akan muncul di pengaturan sistem Google
  • Juni 2026: early access untuk limited distribution account bagi mahasiswa dan pengembang hobi dimulai
  • Agustus 2026: limited distribution account dan advanced flow diluncurkan secara global
  • 30 September 2026: di Brasil, Indonesia, Singapura, dan Thailand, hanya pengembang terverifikasi yang dapat memasang dan memperbarui aplikasi; aplikasi yang belum terdaftar hanya dapat dipasang melalui ADB atau advanced flow
  • Setelah 2027: persyaratan verifikasi diperluas ke seluruh dunia

Kesimpulan

  • Google menargetkan untuk menjaga “ekosistem Android yang terbuka sekaligus aman”
  • Pengembang dapat segera memulai proses verifikasi melalui developer guides
  • Langkah ini merupakan tahap inti penguatan keamanan Android untuk mencegah penyebaran malware dan membangun kepercayaan pengguna

Bacaan terkait

1 komentar

 
GN⁺ 22 hari lalu
Komentar Hacker News

  • Proses verifikasi pengembang Android benar-benar pengalaman yang kacau
    Saya mencoba membuat akun pengembang untuk perusahaan, memverifikasi profil pembayaran bisnis dengan nomor DUNS, lalu memverifikasi identitas dengan paspor dan rekening koran, tetapi setelah itu masih juga diminta verifikasi identitas lagi dengan dokumen perusahaan
    Email juga sudah diverifikasi beberapa kali, tetapi tetap muncul pesan “perlu verifikasi tambahan”
    Setiap tahap butuh beberapa hari, dan kalau gagal harus mengulang dari awal, jadi prosesnya sangat lambat dan menyakitkan
    Ini mengingatkan lagi kenapa saya tidak memakai Android. Rasanya tidak ada siapa pun yang benar-benar bertanggung jawab atas seluruh prosesnya

    • Waktu saya merilis aplikasi Android 10 tahun lalu juga mirip. Di komunitas pengembang selalu ada peringatan, “jangan unggah aplikasi dengan akun Google utama”. Alasannya karena seluruh akun bisa diblokir bot atas alasan yang tidak jelas
      Google terkesan bersikap seperti membenci pengembang. Apalagi sekarang mayoritas generasi muda memakai iPhone, ini benar-benar strategi yang buruk
    • Pengalaman dengan Google Play benar-benar mengerikan
      Baru-baru ini saya harus mengirim ulang aplikasi yang salah diklasifikasikan sebagai aplikasi judi, dan aplikasi yang sudah bertahun-tahun tanpa masalah pun diminta mengajukan versi baru tanpa alasan yang jelas
      Tim dukungan dan proses banding sama sekali tidak berguna. Setiap kali terasa tidak ada campur tangan manusia sama sekali
    • Sebagai Apple Developer, saya juga punya pengalaman yang hampir sama
      Mereka menarik pembayaran bahkan sebelum verifikasi selesai, lalu AI gagal mencocokkan wajah saya dengan identitas saya dan refund pun ditolak
      Sistem verifikasi berbasis AI seperti ini benar-benar seperti neraka
    • Saya tidak mengerti kenapa akun bisnis meminta paspor
      Saya penasaran apakah ada alasan kenapa pembayarannya dilakukan dengan kartu pribadi
    • Setiap tahap terlihat masuk akal secara terpisah, tetapi kalau dilihat sebagai satu kesatuan, terlalu banyak pihak yang terlibat. Sepertinya itu yang membuat sistemnya jadi berantakan

  • Google mengklaim “aplikasi sideloading punya malware 90 kali lebih banyak”, tetapi kenyataannya saya pernah melihat ponsel orang tua penuh dengan aplikasi iklan yang diunduh dari Google Play

    • Sangat setuju. Google mengubah definisi “malware” sesuka hati
      Dengan menggolongkan aplikasi yang penuh iklan dan pelacakan sebagai aplikasi normal, fokus mereka hanya pada melindungi nilai pemegang saham
      Ini sangat berbeda dari konsep malware seperti yang didefinisikan oleh Wikipedia, IBM, Cisco, Kaspersky, dan lainnya
    • Keduanya bisa saja benar pada saat yang sama. Aplikasi sideloading mungkin memang lebih berisiko, tetapi sebagian besar aplikasi sampah yang benar-benar terpasang mungkin justru berasal dari Google Play
    • Yang lebih parah, sebagian besar iklan yang mengarahkan ke aplikasi seperti itu berasal dari iklan di dalam aplikasi YouTube
    • Analisis “90 kali lebih banyak” sama sekali tidak punya sumber maupun verifikasi yang jelas. Pengumuman model “percayalah pada kami karena kami yang meneliti” tidak layak dipercaya
    • Saya juga sudah menganalisisnya, dan kesimpulannya Google 90 kali lebih mirip penipu daripada perusahaan lain (tentu tanpa bukti)

  • Berapa persen pengguna Android yang benar-benar menginginkan kebijakan seperti ini?
    Saya memakai Android sejak 2010, tetapi saya tidak suka arahnya yang makin tertutup
    Sekarang saya benar-benar mulai merencanakan pindah ke ponsel Linux sungguhan

    • Saya juga pindah ke Android dulu karena kebebasan sideloading
    • Tetapi secara realistis, power user itu nyaris 0% dari pengguna Android
    • Jika Apple mengumumkan akan mengizinkan instalasi APK, justru akan ada orang-orang yang berkata “Apple harus mengontrolnya”
      Waktu gugatan Epic vs Apple atau pembahasan Digital Markets Act pun banyak orang seperti itu
    • Saya paham soal masalah aplikasi berbahaya di Play Store, tetapi itu terpisah dari masalah verifikasi pengembang
    • Alasan Google memperketat verifikasi seperti ini adalah untuk mencegah bot AI mengunggah aplikasi spam
      Jika identitas dihubungkan ke aplikasi, tindakan hukum jadi lebih mudah

  • Begitu melihat kalimat “Android adalah platform terbuka untuk semua orang”, saya langsung tahu isi berikutnya akan merugikan pengguna
    Perangkat lunak untuk memverifikasi aplikasi sideloading adalah gagasan yang anti-pengguna

    • Saya selalu merasa cemas setiap kali harus memasang aplikasi di luar F-Droid
      Pada aplikasi Play Store, saya tidak tahu apa yang mereka lakukan di latar belakang
    • Istilah “aplikasi sideloading” sendiri adalah istilah yang dipakai Google dan Apple untuk memberi stigma pada aplikasi yang ingin mereka kendalikan
      Pada akhirnya sepertinya saya harus mencari distribusi lain yang bukan Android
    • Seperti saat HR berkata, “ayo ngobrol sebentar”, kita langsung tahu sesuatu yang buruk akan terjadi
    • Langkah berikutnya mungkin adalah mengirim sampel biometrik

  • Sepertinya pernah ada percakapan internal seperti, “Kalau 40M orang memakai YouTube Premium bajakan, apa yang harus kita lakukan?”

    • Betul. Negara-negara tempat kebijakan ini diterapkan kemungkinan adalah wilayah dengan YouTube Premium bajakan yang banyak
      Penggandaan APK dan pembajakan aplikasi sudah menjadi hal umum
    • Saya juga membayar YouTube Premium, tetapi saya memakai aplikasi alternatif. Aplikasi resmi sering menghentikan pemutaran latar belakang
      Rasanya teknologi justru mengalami kemunduran
    • NewPipe bukan aplikasi crack. Itu alternatif open source
    • Google sebenarnya sudah bisa mengklasifikasikan aplikasi seperti itu sebagai malware
      Sistem verifikasi kali ini hanyalah perangkat untuk mendeteksi aplikasi polimorfik

  • Rasanya sangat aneh harus menyerahkan identitas resmi pemerintah kepada perusahaan
    Terutama di Eropa, kita diajari “jangan pernah mengirim ID pemerintah ke siapa pun”, tetapi sekarang hal itu justru diminta secara normal untuk memakai layanan
    Saya juga mempertanyakan kenapa akun perusahaan meminta identitas pribadi, bukan identitas perusahaan
    Saat hubungan antara pengembang dan perusahaan putus atau muncul masalah hukum, siapa yang bertanggung jawab bisa jadi tidak jelas
    Dalam kasus freelancer atau pengembang kontrak, juga tidak jelas siapa sebenarnya subjek verifikasinya

  • Kalau Google yang menangani verifikasi pengembang, bukankah mereka juga harus ikut bertanggung jawab?
    Jika pengguna tertipu oleh aplikasi scam, apakah pengguna bisa menggugat Google?

    • Sudah waktunya mempertimbangkan penerapan hukum antimonopoli pada Google
    • Tetapi kenyataannya selalu “tanggung jawab hanya mengalir ke bawah”

  • Menurut artikel 9to5Google
    mulai April, Android Developer Verifier akan dipasang sebagai aplikasi sistem dan memeriksa ke server Google apakah aplikasi yang di-sideload sudah diverifikasi dengan identitas pengembang

    • Melihat ini, saya langsung berpikir harus beralih ke GrapheneOS
      Hanya saja kebanyakan orang tidak bisa melakukan itu, dan itu menyedihkan
      Saya penasaran bagaimana aplikasi sistem ini akan bekerja di sandbox Google Play milik GrapheneOS
    • Dulu pernah ada satire “bahkan memakai debugger perlu lisensi”, dan sekarang rasanya itu sudah menjadi panduan nyata

  • Saya baru-baru ini berpindah ke /e/OS karena kebijakan Google yang makin tertutup
    Awalnya terasa tidak nyaman, tetapi sekarang saya puas karena rasanya seperti memakai perangkat lunak untuk pengguna, bukan untuk iklan
    Bagi saya yang di Android perlahan seperti katak dalam air mendidih, ini terasa seperti menghirup udara segar

  • Saya memakai lebih dari lima aplikasi Android open source di luar Play Store, jadi kebijakan seperti ini akan merepotkan ke depannya
    Saya penasaran apakah membeli ponsel Motorola dengan GrapheneOS bawaan bisa menghindari pembatasan seperti ini

    • Rencana saat ini adalah Motorola tidak memasang GrapheneOS secara langsung, tetapi mendukung instalasi manual pada beberapa model flagship
    • GrapheneOS tetap mengizinkan instalasi APK