O Google pretende confirmar a identidade de todos os desenvolvedores de aplicativos Android como forma de reforçar a proteção do sistema operacional. Após uma onda de críticas e feedbacks, porém, a empresa decidiu ajustar o plano e flexibilizar alguns pontos.
Uma das marcas do Android sempre foi permitir que as pessoas instalem praticamente qualquer aplicativo que desejarem - inclusive fora da loja oficial. Além de se apoiar em código de base aberta, o ecossistema do Google oferece uma liberdade bem maior do que a abordagem mais fechada adotada pela Apple no iOS.
Ao mesmo tempo, essa abertura amplia a superfície de ataque. Para tornar o Android mais seguro, o Google lançou uma iniciativa voltada a impedir que desenvolvedores distribuam apps de forma anónima. Segundo a empresa, o anonimato facilita a vida de agentes mal-intencionados que espalham aplicativos com malwares voltados a dispositivos Android. Para reduzir esse risco sem eliminar por completo a possibilidade de instalação fora da loja, o Google desenhou um mecanismo de identificação.
Na prática, a proposta passa a exigir que quem distribui apps Android se identifique - mesmo quando o app não é publicado na Google Play Store. Para garantir que a exigência tenha efeito, o Google também anunciou uma função do Android que, em smartphones certificados, bloquearia a instalação de aplicativos cujo desenvolvedor não tenha identidade verificada. A reação foi imediata: muita gente viu nisso um passo na direção de um Android mais fechado. Diante da polémica, o Google manteve a linha geral do projeto, mas anunciou uma concessão importante para utilizadores mais experientes.
Google ajusta o plano de verificação no Android
Os perigos associados à instalação de aplicativos fora da Google Play Store são concretos. Um exemplo citado pelo Google é um golpe em que clientes de bancos são induzidos a instalar um suposto “aplicativo de verificação” por links ou arquivos enviados por mensagem, sem passar pela loja. Uma vez instalado, o app fraudulento pode capturar códigos de autenticação que chegam por notificações e, com isso, permitir o acesso indevido à conta bancária.
Ainda assim, o Google reconhece que existe um público menos suscetível a esse tipo de armadilha: os utilizadores experientes. Para esse grupo, a empresa implementará um procedimento avançado que permitirá continuar a instalar aplicativos cuja identidade do desenvolvedor não foi verificada. De acordo com o Google, o processo foi pensado para “resistir à coerção”, isto é, para dificultar que um golpista convença a vítima a contornar as proteções sob pressão. Na experiência do Android, surgirão novos avisos e camadas de alerta, mas, ao final, a pessoa ainda poderá optar por instalar o app mesmo sem verificação do desenvolvedor.
Além disso, o Google anunciou um caminho de verificação simplificado para pequenos desenvolvedores - como estudantes - que criam aplicativos destinados a um grupo reduzido de utilizadores. A intenção é não penalizar esse perfil com as exigências e a burocracia do processo completo de verificação de identidade.
Um ponto que tende a ganhar relevância no Brasil é o equilíbrio entre segurança e autonomia. A instalação por fora da loja (o chamado sideloading) é comum em cenários como testes internos, distribuição de versões de avaliação, uso corporativo (MDM) e até para acesso a apps que não estão disponíveis na região. Com as novas regras, a tendência é que essas práticas fiquem mais “guiadas” por avisos e passos adicionais, sem serem totalmente bloqueadas para quem sabe o que está a fazer.
Para o utilizador final, a mudança também reforça boas práticas: desconfiar de links recebidos por mensagem, evitar APKs de origem desconhecida, verificar permissões solicitadas e manter o Android e o Play Protect atualizados. Mesmo com um processo de identificação mais rígido, a engenharia social continua a ser um dos principais vetores de ataque - especialmente em fraudes bancárias.
Um cronograma ainda demorado
Para aplicar uma alteração desse porte, o Google optou por uma implantação gradual. Primeiro, será disponibilizado o processo para que desenvolvedores possam ter a identidade verificada.
Depois, as novas regras começarão a valer no Brasil, na Indonésia, em Singapura e na Tailândia a partir de setembro de 2026.
Só em 2027 a mudança deve passar a afetar, no restante do mundo, o funcionamento dos smartphones Android certificados pelo Google.
Comentários
Ainda não há comentários. Seja o primeiro!
Deixar um comentário