Anda dapat mengunduh aplikasi Android secara sideload, atau memasang paket APK-nya secara manual, jika Anda menggunakan versi Android kustom yang tidak menyertakan Google Play Store. Atau, aplikasi tersebut mungkin masih dalam tahap percobaan, sedang dalam pengembangan, atau mungkin tidak lagi dikelola dan ditawarkan oleh pengembangnya. Hingga saat ini, keberadaan APK yang siap diunduh secara sideload di web tampaknya ditoleransi, meskipun diperingatkan, oleh Google.
Kebuntuan yang tenang ini diguncang oleh fitur baru di Google Play Integrity API. Seperti yang dilaporkan oleh Android Authority, alat pengembang untuk mendorong dialog “remediasi” selama sideloading yang memulai debutnya di konferensi Google I/O pada bulan Mei, telah mulai muncul di ponsel pengguna. Sideloader aplikasi dari toko Inggris Tesco, aplikasi fandom BeyBlade X, dan ChatGPT telah melaporkan perintah “Dapatkan aplikasi ini dari Play”, yang tidak dapat diatasi. Seorang pengguna perangkat genggam game Android menemukan perintah dengan kata-kata yang sama dari Diablo Abadi di perangkat mereka tiga bulan lalu.
Google Play Integrity API adalah cara aplikasi sebelumnya memblokir akses saat dimuat ke ponsel yang dimodifikasi dari OS bawaan dengan semua integrasi Google Play tetap utuh. Baru-baru ini, aplikasi autentikasi dua faktor yang populer memblokir akses pada ponsel yang di-root, termasuk GrapheneOS yang mengutamakan keamanan. Aplikasi dapat memanggil Play Integrity API dan mendapatkan kembali “putusan integritas,” yang menyampaikan apakah ponsel memiliki lingkungan perangkat lunak yang “dapat dipercaya”, mengaktifkan Google Play Protect, dan lolos pemeriksaan perangkat lunak lainnya.
Graphene mempertanyakan kebenaran API Integritas dan sistem Pengesahan SafetyNet milik Google, dan merekomendasikan pengesahan perangkat keras Android standar sebagai gantinya. Rahman mencatat bahwa aplikasi tidak harus mengambil pendekatan semua-atau-tidak sama sekali untuk pemeriksaan integritas. Daripada memblokir penginstalan sepenuhnya, aplikasi dapat memanggil API hanya selama tindakan sensitif, dan mengeluarkan peringatan di sana. Namun, tidak memiliki koneksi Play Store juga dapat menghilangkan metrik pengembang, memungkinkan penginstalan pada perangkat yang tidak kompatibel (dan mengakibatkan ulasan buruk), dan, tentu saja, membuka pintu bagi pembajakan aplikasi berbayar.
“Saluran distribusi tidak dikenal” diblokir
Video pengembang Google tentang “Perlindungan integritas otomatis” (pada menit ke-12, 24 detik di YouTube) mencatat bahwa aplikasi “tertentu” memiliki akses ke perlindungan otomatis. Ini menambahkan alat pemeriksaan otomatis ke aplikasi Anda dan “versi terkuat dari perlindungan anti-perusakan Google Play.” “Jika pengguna mendapatkan aplikasi Anda yang dilindungi dari saluran distribusi yang tidak dikenal,” slide dalam presentasi tersebut berbunyi, “mereka akan diminta untuk mendapatkannya dari Google Play,” tersedia untuk “Mitra Play tertentu.”
Tahun lalu, Google memperkenalkan pemindaian malware pada aplikasi yang diunduh secara langsung pada waktu penginstalan. Google dan Apple menentang undang-undang yang akan memperluas hak mengunduh secara langsung bagi pemilik ponsel pintar, dengan alasan masalah keamanan dan keandalan. Regulator Eropa memaksa Apple awal tahun ini untuk mengizinkan aplikasi dan toko aplikasi yang diunduh secara langsung, meskipun dengan biaya dan pembatasan geografis.
