Google Terapkan Penundaan 24 Jam untuk Sideloading Aplikasi Tak Terverifikasi Demi Kurangi Malware

Google resmi mengumumkan kebijakan baru yang mewajibkan penundaan selama 24 jam untuk proses sideloading aplikasi dari pengembang yang belum terverifikasi pada perangkat Android. Langkah ini bertujuan untuk menyeimbangkan keterbukaan sistem dengan peningkatan keamanan pengguna terhadap risiko malware dan penipuan.

Perubahan Sistem Sideloading Android dan Latar Belakangnya

Pengumuman ini mengikuti kebijakan verifikasi pengembang yang diumumkan Google tahun lalu, di mana semua aplikasi Android harus didaftarkan oleh pengembang yang terverifikasi agar dapat diinstal pada perangkat Android bersertifikat. Tujuan utama dari kebijakan ini adalah untuk lebih cepat mengidentifikasi aktor jahat serta mencegah penyebaran malware.

Google juga menyoroti risiko di mana pelaku kejahatan siber dapat menipu pengguna yang melakukan sideloading aplikasi agar memberikan hak akses tinggi, termasuk mematikan fitur Play Protect, yaitu fitur anti-malware bawaan di semua perangkat Android bersertifikat Google.

Kontroversi dan Kekhawatiran Pengembang

Meski bertujuan baik, kebijakan verifikasi ini menuai kritik dari lebih dari 50 pengembang aplikasi dan marketplace seperti F-Droid, Brave, Electronic Frontier Foundation, Proton, The Tor Project, dan Vivaldi. Mereka menilai aturan ini berpotensi menimbulkan hambatan masuk serta mengangkat kekhawatiran soal privasi dan pengawasan, terutama karena belum ada kejelasan terkait data pribadi apa yang harus diserahkan, bagaimana data itu disimpan, diamankan, serta kemungkinan permintaan dari pemerintah atau proses hukum.

Alur Baru untuk Pengguna Lanjutan dengan Penundaan 24 Jam

Untuk mengatasi kekhawatiran tersebut, Google menghadirkan "advanced flow" yang memungkinkan pengguna mahir tetap bisa melakukan sideloading aplikasi dari pengembang tak terverifikasi melalui proses satu kali dengan langkah-langkah sebagai berikut:

1. Mengaktifkan mode pengembang di pengaturan sistem.
2. Memastikan pengguna melakukan tindakan ini atas kemauan sendiri tanpa paksaan atau arahan orang lain.
3. Melakukan restart perangkat dan otentikasi ulang guna mencegah pemantauan tindakan oleh pihak jahat.
4. Menunggu masa tunggu selama 24 jam, kemudian melakukan konfirmasi perubahan dengan otentikasi biometrik atau PIN perangkat.
5. Menginstal aplikasi dari pengembang tak terverifikasi dengan risiko yang telah dipahami, berlaku selamanya atau selama tujuh hari.

Sameer Samat, Presiden Ekosistem Android, menjelaskan kepada Ars Technica,

"Dalam periode 24 jam itu, kami yakin serangan yang dilakukan penjahat siber akan jauh lebih sulit untuk bertahan. Dalam waktu tersebut, pengguna mungkin dapat mengetahui bahwa orang terkasihnya sebenarnya tidak ditahan atau akun banknya tidak sedang diserang."

Dukungan untuk Pengembang Hobi dan Mahasiswa

Google juga berencana menyediakan akun distribusi terbatas gratis yang memungkinkan pengembang hobi dan mahasiswa membagikan aplikasi ke maksimal 20 perangkat tanpa harus memberikan KTP atau membayar biaya pendaftaran. Kebijakan ini akan berlaku mulai Agustus 2026, sedangkan persyaratan verifikasi pengembang secara penuh mulai diberlakukan sebulan kemudian.

Selain itu, proses penundaan 24 jam ini tidak berlaku untuk instalasi melalui Android Debug Bridge (ADB) yang biasa digunakan pengembang untuk keperluan teknis.

Lonjakan Malware Android dan Ancaman Terkini

Kebijakan ini muncul di tengah meningkatnya ancaman malware Android. Dalam empat bulan terakhir, setidaknya 17 keluarga malware baru ditemukan di lapangan, di antaranya:

• FvncBot
• SeedSnatcher
• ClayRat
• Wonderland
• Cellik
• Frogblight
• NexusRoute
• ZeroDayRAT
• Arsink dan varian SURXRAT
• deVixor
• Phantom
• Massiv
• PixRevolution
• TaxiSpy RAT
• BeatBanker
• Mirax
• Oblivion RAT

Salah satu malware terbaru bernama Perseus aktif menargetkan pengguna di Turki dan Italia dengan tujuan pengambilalihan perangkat dan penipuan finansial.

Analisis Redaksi

Menurut pandangan redaksi, kebijakan penundaan 24 jam ini merupakan langkah strategis yang tepat untuk memperketat keamanan ekosistem Android tanpa menutup peluang bagi pengembang independen dan pengguna yang ingin menginstall aplikasi di luar Play Store. Dengan adanya masa tunggu, Google memberi waktu bagi pengguna untuk mempertimbangkan ulang tindakan yang berisiko dan mengurangi peluang serangan dadakan yang mengandalkan impuls.

Namun, kebijakan ini juga menegaskan tantangan Google dalam mengatur platform terbuka seperti Android, di mana keseimbangan antara kebebasan dan keamanan sangat sulit diwujudkan. Protes dari komunitas pengembang independen menunjukkan pentingnya transparansi dan perlindungan data pribadi dalam proses verifikasi pengembang.

Ke depan, penting untuk memantau bagaimana implementasi kebijakan ini berjalan dan apakah dapat menurunkan angka infeksi malware secara signifikan, terutama dari malware yang menyasar pengguna sideloading. Pengguna Android juga harus lebih sadar akan risiko keamanan dan memanfaatkan fitur baru ini dengan bijak.

Google berjanji akan menyediakan berbagai opsi verifikasi yang fleksibel untuk berbagai profil pengguna dan pengembang, sehingga diharapkan dapat menjaga ekosistem Android tetap aman sekaligus inklusif.

Untuk informasi terbaru dan analisis mendalam lainnya, tetap ikuti kami di Google News, Twitter, dan LinkedIn.