Veja por que as restrições de sideload do Google realmente fazem sentido

O Google está pronto para mudar, se não erradicar completamente, o sideload do Android como o conhecemos. A mudança entra em vigor já em setembro deste ano e pode tornar o carregamento lateral mais demorado e complicado.

Embora o Google tenha garantido que o sideload não irá desaparecer, ele planeja introduzir um fluxo de “alta fricção” para instalação de aplicativos de desenvolvedores não verificados. Isso certamente perturbará muitas pessoas, especialmente usuários avançados. Mas para a base mais ampla de usuários do Android, isso pode ser um salva-vidas, especialmente com o aumento dos ataques baseados em APK.

Embora o sideload tenha sido o aspecto mais bonito e libertador do Android, ele está caminhando para um momento decisivo. E é por isso que adotá-lo, em vez de se opor a ele, poderia garantir que o Android durasse mais.

Um dos principais motivos para reprimir instalações não verificadas no Android é o aumento substancial de ataques de malware baseados em APK ao longo dos anos. Só a Kaspersky identificou mais de 22 milhões de potenciais incidentes de ataques a utilizadores Android no primeiro semestre de 2025, um aumento notável de 29% em comparação com o primeiro semestre de 2024. O relatório citou quase 143 mil tipos diferentes de pacotes de aplicativos infectados, ou APKs, distribuídos por canais aparentemente inofensivos. Um terço desses pacotes foi concebido para fraude bancária.

Além da Kaspersky, organizações como Malwarebytes e Zimperium observaram casos em que os invasores se aproveitam de vulnerabilidades humanas ou tentações de distribuir malware. Esses aplicativos maliciosos se disfarçam como versões modificadas de aplicativos gratuitos e são distribuídos através do Telegram, Discord e outros canais sociais não regulamentados. A melhor parte? Esses aplicativos até funcionam como prometido, portanto não deixam o usuário desconfiado imediatamente.

Além de aplicativos modificados com vantagens, os invasores também usam ferramentas gratuitas ou aplicativos com conteúdo adulto para atrair os usuários a instalá-los. Freqüentemente, esses aplicativos, especialmente quando baixados de fontes não confiáveis ​​ou por meio de canais de mensagens, incluem um kit de desenvolvimento de software (SDK) incorporado que pode ser usado para instalar uma ferramenta de acesso remoto e, posteriormente, assumir o controle do telefone de um usuário, com o objetivo final de esvaziar suas contas bancárias.

Você poderia pensar, com razão, que se alguém for tolo o suficiente para baixar um Netflix ou Spotify “modificado” para acessar o conteúdo gratuitamente e sem anúncios, ele merece ser enganado. Mas infelizmente esse não é o único meio que os invasores usam para atingir usuários avessos à tecnologia. Um dos meios comuns de distribuição de APKs maliciosos é através do WhatsApp ou outras plataformas de mensagens instantâneas semelhantes.

Um dos MOs comuns que surgiram desde 2025 em partes da Europa Oriental e da Ásia é o envio de convites de casamento falsos ou multas de trânsito. Outra técnica popular é distribuir aplicativos impostores que fingem ser iguais aos populares, como Chrome ou WhatsApp, ou até mesmo se passar por aplicativos de bancos.

E com os agentes de codificação de IA agora lançando (ou devo dizer, “agitando a vibração”?) aplicativos mais rapidamente e em uma velocidade vertiginosa, os perigos só vão aumentar para os usuários que não conseguem dizer imediatamente a diferença entre aplicativos reais e falsos. Esses vetores de ataque mais recentes, especialmente aqueles que usam mensagens ou outras distribuições de aplicativos de mídia social, facilmente evitam a cautela de usuários desavisados. Afinal, um “convite de casamento.apk” só garante bebida e comida de graça, não é?

O aumento de ataques sofisticados e inovadores contra usuários do Android exige a intervenção do Google, e aqui está o que ele se propõe a fazer.

Quando o Google anunciou pela primeira vez planos para restringir o carregamento lateral de APKs, encontrou imediatamente resistência dos usuários. A reação foi óbvia, visto que o sideload tem sido uma das características mais fundamentais que significam a abertura do Android.

O Google abordou isso visando golpistas que “dependem do anonimato para escalar seus ataques”, nas palavras do presidente do ecossistema Android, Sameer Samat. Assim, o Google disse que passaria a exigir que os desenvolvedores fossem identificados e verificados, mesmo que não distribuam aplicativos pela Play Store. O objetivo era adicionar uma camada de responsabilidade aos desenvolvedores, mas também resultou em preocupações compartilhadas por desenvolvedores que entregam aplicativos que estão na área cinzenta. Um exemplo significativo é a emulação de console, onde os próprios aplicativos emuladores podem ser legítimos, mas as ROMs ou o conteúdo do jogo usado com esses aplicativos podem ser distribuídos sem as devidas permissões dos editores do jogo.

Porém, com as críticas que se seguiram, o Google baixou a guarda e disse que permitiria que usuários instalassem aplicativos, mesmo de desenvolvedores não verificados, mas com certa cautela. O fluxo, aliás, pareceria bem diferente e mais contínuo em casos de lojas terceirizadas verificadas (graças à persistência da Epic contra o Google). Felizmente, ele não impede completamente que os usuários façam o sideload de aplicativos. Apenas os avisa com mais intensidade.

Mais recentemente, identificamos o texto exato do que poderia ser uma mensagem de advertência quando os usuários tentam instalar aplicativos de desenvolvedores não registrados no Google, lembrando-os de que seus “dispositivos estariam em risco”. Matthew Forsyth, Diretor de Gerenciamento de Produto, Experiência do Desenvolvedor do Google Play e Explicador Chefe de Produto, até confirmou que esta não será uma situação restritiva, mas um fluxo pretendido de “alto atrito”.

Se você é um usuário experiente do Android, isso não deve impedi-lo de instalar um aplicativo. Pelo contrário, um usuário novato ou com menos inclinação tecnológica, como meu pai de 65 anos, provavelmente se sentiria dissuadido ou pelo menos avisado antes de, sem saber, tocar em alguns botões para instalar um aplicativo. Por mais que eu odeie essa generalização, ela também se aplica à maioria dos usuários que são muito velhos ou muito jovens.

Embora a abordagem não proteja os usuários de continuarem a tocar sem ler mensagens de erro na tela, isso é melhor do que a situação atual do latchkey kid que temos no Android atualmente. Mais importante ainda, evita que o Android se torne o jardim murado que abominamos que a Apple e seu ecossistema de aplicativos sejam durante todos esses anos.

E não pode ser mais irritante do que as restrições existentes do Android para instalação de aplicativos de fontes desconhecidas.

Não há como fugir da verdade de que a insistência do Google em verificar os desenvolvedores, ou de outra forma desacelerar os usuários enquanto eles transferem aplicativos, é prejudicial ao espírito de liberdade. Mas também parece um mal necessário. Apesar dos seus benefícios, o sideload infelizmente não pode mais ser limitado a um “movimento de usuário avançado”, e o endurecimento do processo pelo Google também pode ser visto como um acerto de contas diante da adversidade e do grande aumento no volume de ataques a usuários do Android.

À medida que avançamos, pode ser precioso, para o Google e para nós, como usuários, avaliar como equilibrar os riscos e benefícios de determinados aplicativos. Embora possamos confiar em aplicativos de código aberto revisados ​​por pares no F-Droid ou em um projeto interessante de um desenvolvedor estudante, precisaríamos ter cuidado ao baixar aplicativos de projetos obscuros do GitHub, e os avisos que o Google planeja implementar podem ajudar – “pode” sendo a palavra-chave aqui.

Embora seja difícil garantir a eficácia desta solução, penso que é melhor que os utilizadores sejam avisados ​​e incomodados do que roubados.