Google, onaylanmış cihazlara yüklenen tüm Android uygulamalarının yakında artan finansal sahtekarlık operasyonları ve mobil virüs dalgasıyla mücadele amacıyla doğrulanmış bir geliştirici kimliğine kadar izlenebilmesi gerektiğini duyurdu.
Global genişlemeden önce 2025 yılında belirli yüksek riskli bölgelerde yayınlanması planlanan politika, Google Play’de zaten uygulanan kimlik kontrollerini üçüncü taraf mağazalar veya doğrudan kenar yükleme aracılığıyla teslim edilen herhangi bir uygulamaya genişletiyor.
Her bir yazılım paketini, onu yaratan tüzel kişiye bağlayarak, tehdit aktörlerinin, bankacılık-trojan ve kimlik bilgisi çalma operasyonlarında sık sık gözlemlenen bir taktik olan yayından sonra yeni takma adlar altında yeniden ortaya çıkmasını önemli ölçüde zorlaştırmayı planlıyor.
Tüm Android uygulamaları için kimlik veteriner
Google tarafından belirtilen dahili telemetriye göre, ad-hoc internet indirmeleri aracılığıyla karşılaşılan kötü amaçlı yazılımlar, Google Play’de bulunandan 50 kat daha fazla bir oranda görünür.
Şirket, mağaza dışı ikili dosyalar için içerik incelemeleri yapmasa da, geliştiricileri bir havaalanı kimliği kontrolüne benzer bir bilgi (KYC) sürecini tamamlamaya zorlayacaktır: Hükümet tarafından verilen belgeler ve iletişim bilgileri benzersiz bir yayıncı sertifikası verilmeden önce doğrulanacaktır.
Doğrulanmamış anahtarlarla imzalanan uygulamalar, Google Mobile Hizmetleri ekosistemine katılan cihazlara kurulumdan engellenecek ve şimdi “sertifikalı” olarak sınıflandırılan 3.000’den fazla donanım modelini kapsayacak.
Hareket, Google’ın kötü anonimlik aktörlerini soyarak taklit etme dolandırıcılığı ve veri-hırsızlığı olaylarını belirgin bir şekilde azaltarak kredilendiren Play’in 2023 Geliştirici Doğrulama Girişimi’ne dayanıyor.
Oyun dışı distribütörler için uyumluluk
Güvenlik paydaşları daha geniş yetkiyi onayladılar. Brezilya’nın Bankacılık Federasyonu Febaban, Adımı Tüketici Koruması için “önemli bir ilerleme” olarak nitelendiren Endonezya İletişim Bakanlığı “dengeli yaklaşımını” övdü ve Tayland’ın dijital ekonomi bakanlığı onu “proaktif” olarak etiketledi.
Global geliştiricinin ittifakı, her yerde bulunan kimlik kontrollerinin Android tedarik zincirinde güveni sürdürmek için “kritik” olduğunu da sözlerine ekledi.
Finansal kurumlardan şirket içi uygulamalardan gelen finansal kurumlardan dağıtan kuruluşlar için sürtünmeyi en aza indirmek için, bölgesel pazarları işleten satıcılara kadar Google, özel bir Android geliştirici konsolu piyasaya sürüyor.
Portal yansıtma, konsolun doğrulama iş akışını oynar, ancak sadece kimlik onaylaması, anahtar yönetimi ve uyum durumu raporlamasına odaklanarak vitrin analizi ve faturalandırma hizmetlerini atlar.
Öğrenciler, hobiler ve açık kaynaklı koruyucular için aerodinamik bir hesap katmanı mevcut olacak ve hala izlenebilirliği uygularken ticari olmayan risk profillerini kabul edecek.
Güvenlik mühendisliği açısından, değişiklik Play Protect’in cihazda tarama ve Safetynet’in Tahviye API’si gibi mevcut çalışma zamanı savunmalarını tamamlar.
Güven modelinin bir kısmını geliştirici hesap verebilirliğine kaydırarak Google, kötü niyetli yayıncıların tek kullanımlık sertifikalar aracılığıyla yinelemeleri “Sonsuz Yaşamlar” fenomenini bozmayı amaçlamaktadır.
Tehdit aktörleri artık hükümet kimlikleri dövme veya para katırlarını işe almanın daha yüksek operasyonel yükü ile karşılaşacak ve büyük ölçekli Android kötü amaçlı yazılım dağıtımı için giriş engelini artıracak.
Daha da önemlisi, şirket görevin Android’in yan yükleme esnekliğini aşınmadığını vurgular: kullanıcılar hala herhangi bir kanaldan yazılım alabilir ve geliştiriciler kendi dağıtım altyapılarını çalıştırmakta özgür kalırlar.
Bununla birlikte, APK’nın geçerli, doğrulanmış bir imza, kullanıcı deneyimini Play’in mevcut “bilinmeyen geliştirici” istemleriyle hizalaması durumunda, cihaz içi paket montajcıları ve üçüncü taraf mağazalar, engelleme diyaloglarını veya uyarılarını yüzeye çıkarır.
Google, önümüzdeki aylarda ayrıntılı uygulama ayrıntılarını, API güncellemelerini ve uygulama zaman çizelgelerini yayınlamayı planlıyor.
Geliştiricilerin Google Play’de zaten aktif olması gerekmez, çünkü doğrulanmış durumları otomatik olarak daha geniş ekosisteme yayılacaktır.
Diğerleri için, zorunlu uyum penceresinin önündeki yeni konsolun erken erişim sürümü, önceden kayıt yapma, güncellenmiş imza boru hattını entegre etme ve son dakika dağıtım kesintilerinden kaçınma fırsatı sunar.
Girişim, Google’ın açıklık ve sağlam güvenliğin karşılıklı olarak münhasır olmadığı, ancak titiz kimlik, şifreleme ve politika kontrolleri ile bir arada bulunabileceğinin iddiasını vurgulamaktadır.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!