Sifat terbuka Android telah menjadi pembeda utamanya dari iPhone sejak era smartphone layar sentuh dimulai hampir dua dekade lalu. Perlahan-lahan, Google telah mengorbankan sebagian dari keterbukaan itu demi keamanan, dan inisiatif keamanan terbarunya mungkin akan menjadi konsesi terbesar dalam upaya memblokir aplikasi berbahaya.
Google telah mengumumkan rencana untuk mulai memverifikasi identitas semua pengembang aplikasi Android, tidak hanya yang menerbitkan di Play Store. Google bermaksud memverifikasi identitas pengembang di mana pun mereka menawarkan kontennya, dan aplikasi tanpa verifikasi tidak akan berfungsi pada sebagian besar perangkat Android dalam beberapa tahun mendatang.
Google dulu melakukan sangat sedikit kurasi terhadap Play Store (atau Android Market, jika kita kembali ke masa lalu), tetapi mereka telah lama berupaya meningkatkan reputasi platformnya yang dianggap kurang aman dibandingkan Apple App Store. Bertahun-tahun lalu, seseorang dapat menerbitkan eksploitasi nyata di toko resmi untuk mendapatkan akses root pada ponsel, tetapi kini terdapat banyak ulasan dan mekanisme deteksi untuk mengurangi prevalensi malware dan konten terlarang. Meskipun Play Store masih belum sempurna, Google mengklaim bahwa aplikasi yang diunduh dari luar tokonya 50 kali lebih berpotensi mengandung malware.
Inilah, menurut yang kita percayai, dorongan bagi sistem verifikasi pengembang baru Google. Perusahaan menggambarkannya seperti “pengecekan KTP di bandara.” Sejak mewajibkan semua pengembang aplikasi Google Play untuk memverifikasi identitas mereka pada tahun 2023, terjadi penurunan drastis dalam malware dan penipuan. Pelaku jahat di Google Play memanfaatkan anonimitas untuk mendistribusikan aplikasi berbahaya, sehingga masuk akal jika memverifikasi pengembang aplikasi di luar Google Play juga dapat meningkatkan keamanan.
Namun, untuk mewujudkan hal itu di luar tokonya, Google perlu mengambil pelajaran dari buku pedoman Apple dan menggunakan pengaruhnya dengan cara yang mungkin dianggap intrusif oleh banyak pengguna dan pengembang Android. Google berencana membuat Android Developer Console yang disederhanakan, yang akan digunakan pengembang jika mereka berencana mendistribusikan aplikasi di luar Play Store. Setelah memverifikasi identitas mereka, pengembang harus mendaftarkan nama paket dan kunci penandatanganan aplikasi mereka. Namun, Google tidak akan memeriksa konten atau fungsionalitas aplikasinya.
Google menyatakan bahwa hanya aplikasi dengan identitas terverifikasi yang dapat diinstal pada perangkat Android bersertifikat, yang pada dasarnya mencakup setiap perangkat berbasis Android—jika memiliki layanan Google di dalamnya, itu adalah perangkat bersertifikat. Jika Anda memiliki versi Android non-Google di ponsel Anda, semua ini tidak berlaku. Namun, itu merupakan bagian yang sangat kecil dari ekosistem Android di luar Tiongkok.
Google berencana mulai menguji sistem ini dengan akses awal pada Oktober tahun ini. Pada Maret 2026, semua pengembang akan memiliki akses ke konsol baru untuk melakukan verifikasi. Pada September 2026, Google berencana meluncurkan fitur ini di Brazil, Indonesia, Singapura, dan Thailand. Langkah selanjutnya masih samar, tetapi Google menargetkan tahun 2027 untuk memperluas persyaratan verifikasi secara global.
Perubahan Besar
Rencana ini datang di persimpangan jalan besar bagi Android. Perkara anti-trust Google Play yang sedang berlangsung yang dibawa oleh Epic Games akhirnya mungkin memaksa perubahan pada Google Play dalam beberapa bulan mendatang. Google kalah dalam bandingnya terhadap putusan beberapa minggu lalu, dan meskipun berencana mengajukan banding ke Mahkamah Agung AS, perusahaan harus mulai mengubah skema distribusi aplikasinya, kecuali ada manuver hukum lebih lanjut.
Di antara hal lainnya, pengadilan telah memerintahkan bahwa Google harus mendistribusikan toko aplikasi pihak ketiga dan mengizinkan konten Play Store untuk dihosting ulang di etalase lainnya. Memberi orang lebih banyak cara untuk mendapatkan aplikasi dapat meningkatkan pilihan, yang memang diinginkan oleh Epic dan pengembang lain. Namun, sumber pihak ketiga tidak akan memiliki integrasi sistem yang mendalam seperti Play Store, yang berarti pengguna akan melakukan sideload terhadap aplikasi ini tanpa lapisan keamanan Google.
Sulit untuk mengatakan seberapa besar masalah keamanan yang sesungguhnya ini. Di satu sisi, masuk akal jika Google khawatir—sebagian besar ancaman malware besar terhadap perangkat Android menyebar melalui repositori aplikasi pihak ketiga. Namun, memberlakukan daftar putih instalasi di hampir semua perangkat Android adalah tindakan yang keras. Ini mengharuskan setiap pembuat aplikasi Android memenuhi persyaratan Google sebelum hampir siapa pun dapat menginstal aplikasi mereka, yang dapat membantu Google mempertahankan kendali seiring dengan terbukanya pasar aplikasi. Meskipun persyaratannya mungkin minimal saat ini, tidak ada jaminan hal itu akan tetap demikian.
Dokumentasi yang saat ini tersedia tidak menjelaskan apa yang akan terjadi jika Anda mencoba menginstal aplikasi yang tidak terverifikasi, ataupun bagaimana ponsel akan memeriksa status verifikasi. Agaknya, Google akan mendistribusikan daftar putih ini dalam Play Services mendekati tanggal implementasi. Kami telah menghubungi untuk detail lebih lanjut dan akan melaporkannya jika ada informasi baru.
Artikel ini pertama kali tayang di Ars Technica.