Google akan memperketat proses sideloading di Android lewat sistem baru bernama Advanced flow. Fitur ini menambah masa tunggu 24 jam sebelum pengguna dapat memasang APK dari pengembang yang belum terverifikasi.
Perubahan ini dirancang untuk menekan malware dan penipuan berbasis rekayasa sosial. Google menilai banyak pelaku scam memanfaatkan tekanan psikologis agar korban segera menginstal aplikasi berbahaya di luar toko aplikasi resmi.
Google ubah alur sideloading Android
Menurut informasi dari artikel referensi yang mengutip materi Google, Advanced flow mulai digulirkan pada Agustus. Aturan baru ini tidak langsung memblokir sideloading, tetapi menambahkan hambatan awal yang membuat proses instalasi jadi lebih sulit.
Google menyebut hambatan ini penting untuk memutus rasa mendesak yang biasanya dipakai pelaku penipuan. Dalam banyak kasus, korban diarahkan lewat panggilan telepon, chat, atau screen sharing untuk segera mengaktifkan izin instalasi dari sumber tidak dikenal.
Android selama ini dikenal lebih terbuka dibanding iPhone dalam urusan pemasangan aplikasi dari luar toko resmi. Namun keterbukaan itu juga membawa risiko, terutama ketika file APK dibagikan lewat situs, pesan singkat, atau tautan yang tidak jelas asalnya.
Cara kerja masa tunggu 24 jam
Google menyiapkan alur enam tahap untuk pemasangan aplikasi dari pengembang yang belum terverifikasi. Tahapan ini berlaku sebagai proses awal yang menambah lapisan keamanan sebelum APK bisa dipasang.
Berikut alurnya seperti dijelaskan dalam referensi yang memuat materi resmi Google:
- Pengguna harus mengaktifkan Developer Options secara manual.
- Android akan meminta konfirmasi bahwa pengguna tidak sedang diarahkan atau dipaksa pihak lain.
- Sistem akan memaksa ponsel melakukan restart.
- Setelah reboot, timer tersembunyi bernama protective waiting period mulai berjalan.
- Selama 24 jam penuh, instalasi aplikasi yang tidak terverifikasi tidak bisa dilakukan.
- Setelah jeda berakhir, pengguna harus autentikasi ulang dengan biometrik atau PIN lalu memilih izin instalasi sementara tujuh hari atau tanpa batas waktu.
Restart paksa menjadi bagian penting dari sistem ini. Langkah tersebut diduga bertujuan memutus panggilan aktif atau sesi perekaman layar yang mungkin sedang dipakai pelaku scam untuk membimbing korban secara real time.
Masa tunggu 24 jam juga dibuat untuk mengurangi keputusan impulsif. Jika korban diberi waktu lebih lama, peluang untuk memeriksa ulang sumber aplikasi atau meminta bantuan pihak lain dinilai akan lebih besar.
Tidak semua APK akan terkena aturan ini
Aturan baru ini tidak berlaku untuk semua aplikasi di luar Play Store. Referensi menyebut Advanced flow hanya diterapkan pada aplikasi dari pengembang yang menolak gagal atau tidak menyelesaikan persyaratan verifikasi identitas baru dari Google.
Program verifikasi identitas tersebut mulai diterapkan di sejumlah pasar tertentu sejak September. Artinya, pengembang yang memenuhi syarat verifikasi berpotensi tidak terkena alur ketat ini.
Ada kelompok lain yang juga disebut dikecualikan. Aplikasi dari developer tertentu, pelajar, dan pehobi dilaporkan bisa melewati alur tersebut, meski detail penerapannya kemungkinan akan berbeda di tiap wilayah dan kebijakan distribusi.
Dampaknya untuk pengguna Android
Bagi pengguna umum, perubahan ini berpotensi meningkatkan perlindungan dari file APK berbahaya. Langkah tambahan seperti konfirmasi anti-paksaan, restart perangkat, dan autentikasi ulang bisa menghambat teknik manipulatif yang sering dipakai penipu.
Bagi pengguna tingkat lanjut, kebijakan ini bisa terasa merepotkan pada awalnya. Meski begitu, sifatnya bukan larangan total, melainkan penundaan dan verifikasi tambahan sebelum izin instalasi dari sumber tidak terverifikasi diberikan.
Dalam ekosistem keamanan Android, Google memang terus menambah lapisan proteksi. Sebelumnya, Android sudah memiliki Play Protect, pemindaian aplikasi, pembatasan izin sensitif, dan peringatan saat aplikasi berasal dari sumber berisiko.
Advanced flow memperlihatkan bahwa ancaman kini tidak hanya datang dari malware itu sendiri. Faktor manusia juga menjadi titik lemah utama, terutama saat korban dipaksa bertindak cepat tanpa sempat memeriksa risiko.
ADB masih jadi jalur alternatif
Referensi juga menyebut sideloading lewat ADB atau Android Debug Bridge tidak akan mengikuti aturan jeda 24 jam. Dengan kata lain, pengguna yang menghubungkan ponsel ke komputer tetap bisa memasang aplikasi tidak terverifikasi kapan saja melalui jalur tersebut.
Pengecualian ini penting bagi pengembang dan pengguna mahir yang terbiasa menguji aplikasi secara manual. Namun jalur ADB umumnya tidak digunakan pengguna biasa, sehingga tetap tidak mengurangi tujuan utama kebijakan ini untuk menekan penipuan massal.
Bagi pengguna yang sering memasang APK dari luar Play Store, fokus utama ke depan ada pada status verifikasi pengembang dan sumber file yang dipakai. Jika aplikasi berasal dari pengembang yang belum terverifikasi, Android akan meminta proses tambahan yang jauh lebih ketat sebelum instalasi bisa dilanjutkan.
