- Mulai tahun 2026, Android akan mewajibkan pengembang terverifikasi untuk menginstal aplikasi pada perangkat bersertifikasi, bahkan di luar Google Play.
- Alur kerja tingkat lanjut dengan masa tunggu wajib 24 jam dan beberapa tahapan diperkenalkan untuk aplikasi dari pengembang yang belum terverifikasi.
- Google menyediakan akun distribusi terbatas untuk pelajar dan penggemar hobi, serta pendaftaran khusus untuk aplikasi yang didistribusikan di luar Play Store.
- Di Eropa, perubahan tersebut dapat bertentangan dengan Undang-Undang Pasar Digital, membuka front regulasi baru dan menciptakan tekanan dari komunitas FOSS (Perangkat Lunak Sumber Terbuka).
Android membangun sebagian popularitasnya berdasarkan ide yang sangat sederhana: kemampuan untuk menginstal aplikasi dari hampir di mana sajatanpa bergantung sepenuhnya pada toko Google resmiKebebasan itu tidak hilang, tetapi mulai beberapa bulan mendatang akan dikelilingi oleh lebih banyak syarat, peringatan, dan langkah-langkah perantara yang secara fundamental akan mengubah cara aplikasi diinstal pada ponsel Android bersertifikasi.
Google meluncurkan kerangka kerja keamanan baru yang menggabungkan... Verifikasi pengembang wajibKontrol tingkat sistem dan proses khusus untuk pengguna tingkat lanjut yang ingin terus mengunduh aplikasi dari sumber eksternal. Langkah ini sangat relevan untuk Eropa dan Spanyol, di mana Hukum Pasar Digital (DMA) memantau secara ketat setiap upaya untuk membatasi persaingan di platform dominan.
Persyaratan baru Google untuk menginstal aplikasi di Android
Dari September 2026Android akan mengalami perubahan besar: sistem hanya akan mengizinkan instalasi aplikasi pada perangkat bersertifikasi (perangkat yang menyertakan Layanan Google Play) jika aplikasi tersebut berasal dari [nama penyedia]. pengembang yang identitasnya telah diverifikasi oleh GoogleTidak masalah apakah aplikasi tersebut berasal dari Google Play, toko aplikasi alternatif, atau melalui unduhan APK langsung.
Peluncuran model baru ini akan dilakukan secara bertahap. Google telah mengkonfirmasi peluncuran awal pada Brasil, Indonesia, Singapura, dan Thailandpasar yang sangat terpengaruh oleh penipuan keuangan dan kampanye malwareDari situ, perusahaan berencana untuk memperluas kebijakan tersebut ke wilayah lain selama tahun 2027, yang akan secara langsung memengaruhi pengguna dan pengembang di Spanyol dan seluruh Eropa.
Sampai saat ini, kewajiban verifikasi identitas pada dasarnya hanya berlaku bagi mereka yang memposting di Play StorePerubahan ini berarti memperluas persyaratan tersebut ke aplikasi apa pun yang ingin diinstal pada perangkat Android bersertifikasi, bahkan jika didistribusikan melalui saluran alternatif. Pada intinya, Semua instalasi akan tunduk pada pendaftaran Google..
Pada praktiknya, jika pengembang tidak melalui proses ini, aplikasi mereka akan diblokir secara default. Android akan memperlakukan aplikasi dari penulis yang tidak terverifikasi sebagai perangkat lunak berisiko tinggi dan akan menerapkan proses instalasi yang jauh lebih kompleks atau, dalam sebagian besar skenario standar, mencegahnya sama sekali.
Cara kerja verifikasi pengembang
Sistem identitas pengembang yang baru ini disusun berdasarkan sebuah Konsol Pengembang Android Khusus Bagi mereka yang mendistribusikan aplikasi di luar Google Play, platform ini akan berfungsi sebagai registri global untuk aplikasi apa pun yang ingin berjalan normal pada perangkat seluler Android yang bersertifikasi.
Untuk akun pribadiMemberikan kontribusi akan menjadi wajib. Informasi hukum, dokumen identitas yang sah, alamat pos, alamat email, dan nomor telepon yang dapat diverifikasi.Dalam kasus bisnis dan organisasi, Google akan memerlukan informasi tambahan seperti: situs web, informasi kontak dukungan, dan, dalam beberapa kasus, pengenal bisnis seperti nomor D-U-N-S..
Proses ini juga mencakup pendaftaran kunci tanda tanganPengembang wajib mendeklarasikan sertifikat kunci publik yang mereka gunakan untuk menandatangani aplikasi mereka dan mengaitkannya dengan nama paket (misalnya, com.example.app). Pengaitan ini akan memungkinkan Android untuk memverifikasi, pada saat instalasi, bahwa aplikasi tersebut berasal dari pengembang yang terdaftar.
Sama seperti Play Store, pendaftaran untuk sistem verifikasi ini akan melibatkan beberapa langkah. pembayaran satu kali sekitar $25 untuk membuka akun. Google berpendapat bahwa biaya ini dan penghapusan anonimitas mempersulit para penjahat siber, karena setiap program akan dikaitkan dengan identitas yang dapat diverifikasi dan dicabut jika terjadi penyalahgunaan.
Di sisi yang kurang menyenangkan, untuk banyak proyek perangkat lunak gratis dan alat khusus Ini berarti menghentikan berbagi aplikasi secara anonim. Para pengembang yang sebelumnya telah menerbitkan versi eksperimental, emulator, atau utilitas privasi tanpa mengungkapkan data pribadi mereka akan dipaksa untuk... Identifikasi diri Anda ke Google jika mereka ingin aplikasi mereka dapat diinstal tanpa masalah di sebagian besar ponsel Android arus utama.
Kontrol tingkat sistem: memblokir aplikasi yang belum terverifikasi
Perubahan ini tidak terbatas pada persyaratan birokrasi. Android akan mengintegrasikan lapisan verifikasi ini langsung ke dalam pengelola paket sistemIni berarti bahwa pemeriksaan akan diterapkan terlepas dari apakah aplikasi tersebut berasal dari Google Play, diinstal melalui sideloading, atau menggunakan alat seperti... Android Debug Bridge (ADB).
Dalam kondisi normal, ketika pengguna mencoba menginstal aplikasi, sistem akan memeriksa Tanda tangan digital APK dengan basis data pengembang terverifikasi.Jika ditemukan kecocokan, instalasi akan dilanjutkan dengan peringatan standar; jika tidak, aliran gesekan maksimum akan diaktifkan atau proses akan langsung diblokir, tergantung pada jenis pengguna dan konfigurasi.
Ini menyiratkan bahwa bahkan metode yang secara tradisional digunakan oleh pengguna tingkat lanjut untuk melewati keterbatasan antarmuka, seperti perintah adb install app.apkMereka akan tunduk pada kontrol yang sama. Google bermaksud agar Seharusnya tidak ada celah teknis yang mudah ditembus. melalui mana sebuah aplikasi tanpa penulis yang teridentifikasi dapat masuk ke dalam ekosistem resmi.
Dalam skenario tertentu, dimungkinkan untuk mengaktifkan mode pengembang tingkat lanjut Mode ini ditujukan untuk instalasi yang sangat spesifik, tetapi bersifat sementara dan memerlukan pembaruan berkala. Idenya adalah untuk mencegahnya menjadi pintu belakang permanen untuk mendistribusikan perangkat lunak yang tidak terverifikasi secara massal.
Menurut dokumentasi resmi, pemblokiran aplikasi yang belum terverifikasi akan diterapkan secara otomatis, tanpa campur tangan pengguna. Tidak perlu me-restart perangkat setiap kali atau menunggu verifikasi identitas jika aplikasi berasal dari pengembang yang disetujui.
"Alur lanjutan" yang baru: beginilah cara menginstal aplikasi dari pengembang yang belum terverifikasi.
Selain lapisan verifikasi ini, Google telah merancang mekanisme khusus bagi mereka yang, meskipun memahami risikonya, tetap ingin menginstal aplikasi dari pengembang yang belum terverifikasi. Proses ini dikenal sebagai "alur lanjutan" dan dirancang untuk pengguna berpengalaman yang membutuhkan fleksibilitas ekstra.
Tujuan yang dinyatakan ada dua: untuk menjaga agar kemungkinan untuk sideloadtetapi untuk menyelimutinya dengan begitu banyak gesekan sehingga menjadi tidak berguna untuk penipuan yang didasarkan pada rekayasa sosialSerangan saat ini biasanya melibatkan upaya untuk membuat korban tetap terhubung melalui telepon atau terhubung dari jarak jauh sambil membimbing mereka langkah demi langkah untuk menonaktifkan perlindungan telepon dan mengunduh aplikasi berbahaya.
Untuk memutus dinamika ini, alur kerja tingkat lanjut memperkenalkan beberapa langkah yang saling terkait. Langkah pertama terdiri dari: mengaktifkan mode pengembang secara manual dari pengaturan perangkat, tanpa akses cepat atau pintasan yang dapat dieksploitasi oleh penyerang hanya dengan beberapa ketukan terarah.
Setelah pengguna memasukkan opsi-opsi ini, Android akan menampilkan pesan khusus yang menanyakan apakah seseorang menyuruh mereka untuk menonaktifkan perlindungan tersebutIdenya adalah untuk memaksa orang tersebut merenung dan mendeteksi apakah mereka berada di bawah tekanan atau mengikuti instruksi dari pihak ketiga yang mungkin mencoba menipu mereka.
Setelah konfirmasi tersebut, sistem membutuhkan restart ponselRestart ini akan memutus semua panggilan yang sedang berlangsung dan juga sesi akses jarak jauh yang digunakan beberapa penipu untuk melihat layar dan mengendalikan perangkat selama penipuan.
Masa tunggu wajib selama 24 jam dan otorisasi selanjutnya.
Unsur yang paling mencolok dari arus baru ini adalah apa yang disebut... "masa tunggu perlindungan"Setelah mode pengembang diaktifkan dan perangkat dihidupkan ulang, Android memaksa Anda untuk menunggu. 24 jam penuh sebelum mengizinkan pemasangan aplikasi dari pengembang yang belum terverifikasi.
Hari tunggu ini bukanlah sekadar keinginan teknis, melainkan tindakan yang disengaja untuk menonaktifkan rasa urgensi yang memanfaatkan banyak modus penipuan. Selama waktu itu, tekanan dari pihak yang mengaku sebagai "dukungan teknis," pengacara palsu, atau karyawan bank palsu akan kehilangan kekuatannya, dan korban memiliki waktu untuk memverifikasi informasi, meminta bantuan, atau sekadar menyadari bahwa ada sesuatu yang tidak beres.
Setelah periode tersebut, sistem meminta pengguna. Mohon verifikasi identitas Anda di perangkat ini sekali lagi. melalui sidik jari, pengenalan wajah, atau PIN. Hanya setelah melewati otentikasi yang kuat ini, kemungkinan untuk melanjutkan dengan sideloading di bawah alur lanjutan ini terbuka.
Dari situ, pengguna dapat menginstal aplikasi dari pengembang yang tidak terverifikasi dan pilih apakah akan mengizinkan jenis instalasi ini selama tujuh hari atau tanpa batas waktuBagaimanapun, setiap kali aplikasi jenis ini diinstal, Android akan menampilkan peringatan yang terlihat yang menunjukkan bahwa aplikasi tersebut berasal dari penulis yang tidak terverifikasi, meskipun Anda tetap dapat melanjutkan dengan satu ketukan lagi.
Google bersikeras bahwa alur ini adalah dirancang sebagai proses sekali jalanBukan sebagai cobaan yang harus diulang setiap kali mengunduh APK eksternal. Setelah pengguna tingkat lanjut menjelaskan bahwa mereka memahami risikonya, konfigurasi tetap aktif dalam batas yang dipilih (satu minggu atau selamanya), mengurangi hambatan dalam penggunaan sehari-hari.
Dampak pada pengembang independen, mahasiswa, dan penghobi
Studio-studio besar dan perusahaan-perusahaan yang sudah mendistribusikan aplikasi mereka melalui Play Store telah mencapai beberapa kemajuan, tetapi untuk pengembang independen, studio kecil, dan proyek pribadi Model baru ini menghadirkan beberapa tantangan penting.
Mereka yang menerbitkan aplikasi dari repositori seperti GitHub atau dari situs web mereka sendiri akan mendapati bahwa karya mereka tidak lagi terinstal secara normal di sebagian besar ponsel Android bersertifikat jika mereka tidak menyelesaikan pendaftaran verifikasi. Pengguna rata-rata, yang tidak ingin repot dengan menu pengembang atau menunggu 24 jam, cenderung akan Hindari aplikasi yang ditandai sistem sebagai belum terverifikasi..
Untuk menghindari penutupan sepenuhnya terhadap eksperimen, Google telah mengumumkan pembuatan akun distribusi terbatas gratisAkun-akun ini, yang ditujukan untuk pelajar dan penggemar hobi, memungkinkan Anda untuk berbagi aplikasi dengan kelompok kecil hingga [jumlah pengguna]. Perangkat 20 tanpa perlu menyediakan semua dokumen atau menanggung biaya pendaftaran standar.
Model ini bertujuan untuk memfasilitasi praktik-praktik seperti proyek universitas, uji coba internal, atau komunitas kecil yang memungkinkan berbagi alat di antara teman dan kolaborator. Meskipun demikian, platform ini tidak dirancang untuk distribusi massal, sehingga siapa pun yang ingin menjangkau khalayak luas pada akhirnya akan menghadapi persyaratan verifikasi.
Dalam konteks Eropa, banyak perusahaan rintisan dan tim pengembang Perusahaan yang beroperasi dari Spanyol atau negara Uni Eropa lainnya harus menyertakan persyaratan ini dalam peta jalan mereka: menyiapkan dokumentasi hukum, menyesuaikan kebijakan privasi mereka, memelihara situs web dukungan minimum, dan mendaftarkan kunci penandatanganan APK mereka dengan benar.
Alasan keamanan dan pergeseran identitas Android
Dari sudut pandang Google, langkah ini didasarkan pada data. Perusahaan tersebut mengklaim bahwa Malware lebih sering terjadi puluhan kali lipat. pada aplikasi yang diunduh dari situs acak dibandingkan dengan aplikasi yang diperoleh melalui toko yang terkontrol seperti Play Store.
Di wilayah dengan tingkat penipuan yang tinggi, seperti Brasil atau IndonesiaSerangan yang umum terjadi adalah aplikasi yang menimpa aplikasi bank untuk mencuri kredensial, atau layanan dukungan teknis palsu yang mengarahkan korban untuk menginstal aplikasi kendali jarak jauh yang menyerahkan perangkat kepada penyerang.
Dengan demikian, strategi Google menggabungkan dua elemen: di satu sisi, verifikasi identitas wajib sehingga setiap pelaku jahat dapat diidentifikasi dan dikeluarkan dari ekosistem; di sisi lain, desain pengalaman pengguna yang menambahkan gesekan sadar justru di situlah penipuan telah menimbulkan kerusakan paling besar.
Namun, pendekatan ini mewakili perubahan mendasar dalam filosofi terbuka yang secara historis telah mendefinisikan AndroidApa yang dulunya merupakan platform tempat siapa pun dapat membuat aplikasi dan membagikannya secara bebas, kini tunduk pada pendaftaran dan persetujuan terpusat oleh perusahaan teknologi besar.
Pada praktiknya, Android akan tetap lebih fleksibel daripada sistem seluler tertutup lainnya, tetapi garis yang memisahkannya dari model seperti iOS atau ekosistem yang lebih terkontrol semakin menyempit dengan setiap kebijakan keamanan baru.
Reaksi masyarakat dan gerakan perlawanan
Perubahan-perubahan tersebut telah memicu kekhawatiran di sebagian besar kalangan. Komunitas FOSS (perangkat lunak gratis dan sumber terbuka)yang melihat kebijakan baru ini sebagai upaya untuk mengontrol lebih ketat jenis perangkat lunak apa yang dapat diakses pengguna.
Organisasi dan proyek seperti F-Droid, Brave, Nextcloud, AdGuard, microG atau Epic Games Mereka telah meluncurkan kampanye dan surat terbuka yang meminta Google untuk menghapus pendaftaran wajib atau, setidaknya, menawarkan cara yang jelas untuk mempertahankan distribusi yang benar-benar independen tanpa melalui infrastrukturnya.
Salah satu kekhawatiran yang paling sering diulang adalah bahwa toko aplikasi alternatif Platform yang menampung ribuan proyek sumber terbuka ditandai kepada pengguna akhir sebagai "sumber yang tidak terverifikasi", yang dapat menakutkan sebagian besar basis pengguna yang kurang paham teknologi.
Mengingat skenario ini, beberapa gerakan merekomendasikan untuk memilih toko alternatif atau bahkan oleh sistem operasi berbasis Android tetapi tidak terhubung dengan Layanan Google, seperti GrapheneOS dan ROM yang berfokus pada privasi lainnya, yang tidak tunduk pada pembatasan ini karena bukan perangkat yang bersertifikasi Google.
Namun, sistem-sistem ini masih merupakan minoritas dan lebih kompleks untuk diinstal, sehingga bukan merupakan solusi langsung bagi sebagian besar pengguna di Spanyol atau Eropa, yang akan terus menggunakan ponsel dengan Android bersertifikasi yang didistribusikan oleh produsen besar.
Bentrok dengan regulasi Eropa: DMA turun tangan.
Dalam konteks Uni Eropa, tembok verifikasi baru dan hambatan terhadap sideloading tidak hanya dianalisis dari perspektif teknis atau keamanan. Hal tersebut juga diteliti melalui sudut pandang... Hukum Pasar Digital (DMA)yang mewajibkan platform-platform besar yang dianggap sebagai "penjaga gerbang akses" untuk tidak menghambat persaingan.
Pasal 6 ayat (4) peraturan ini menyatakan bahwa pihak yang mengendalikan sistem operasi harus mengizinkan Instalasi dan penggunaan aplikasi dan toko pihak ketiga secara efektif.Pertanyaan kunci bagi regulator adalah menentukan apakah langkah-langkah baru, waktu tunggu, dan persyaratan identitas tersebut sudah memadai. disediakan dan diperlukan untuk melindungi pengguna atau jika, sebaliknya, mereka menimbulkan hambatan yang tidak beralasan yang secara efektif mendorong mereka ke Play Store.
Google berpendapat bahwa verifikasi pengembang, pembayaran satu kali, dan pengajuan dokumen resmi adalah Langkah-langkah yang benar-benar diperlukan untuk mengurangi malware dan penipuan.Ini adalah sesuatu yang diizinkan oleh DMA dalam kondisi tertentu. Namun, Komisi Eropa harus menilai apakah keseimbangan antara keselamatan dan kebebasan memilih benar-benar terkalibrasi dengan baik.
Jika Brussel menyimpulkan bahwa hambatan-hambatan ini digunakan untuk memperkuat monopoli distribusi Google, perusahaan tersebut dapat menghadapi konsekuensi hukum. denda hingga 10% dari omset global merekaatau bahkan 20% jika terjadi residivisme, di samping kemungkinan perintah untuk memodifikasi desain Android lagi di wilayah Eropa.
Sementara itu, kelompok-kelompok kritis di Eropa mendorong pengguna dan pengembang untuk mendokumentasikan potensi dampak negatif dan menyampaikan keluhan mereka kepada otoritas persaingan usaha dan badan-badan yang bertanggung jawab untuk menegakkan WFD.
Yang akan datang untuk Android adalah konfigurasi ulang yang mendalam: lebih banyak keamanan dan keterlacakan, tetapi juga lebih sedikit anonimitas dan lebih banyak kontrol terpusat. Antara persyaratan untuk memverifikasi hampir setiap pengembang yang ingin menjangkau masyarakat umum, alur kerja canggih baru dengan masa tunggu 24 jam untuk aplikasi yang belum diverifikasi, dan tekanan regulasi di Eropa, ekosistem ini menuju ke model di mana Menginstal aplikasi secara bebas masih akan dimungkinkan, tetapi akan menjadi semakin sulit. dan lebih dipengaruhi oleh keputusan teknis dan hukum.
Editor Teknologi dan Perangkat Lunak Profesional