Calvin Wankhede / Autoridade Android
Resumo
- Aplicativos que usam verificações de integridade de jogo podem se recusar a rodar em ROMs personalizadas como o GrapheneOS.
- Algumas vozes no Google estão abertas a desenvolver um programa de certificação para ROMs personalizadas, mas não há pessoas suficientes usando-os para que valha a pena.
A abertura do Android como plataforma é uma espécie de faca de dois gumes. Por um lado, isso capacita os usuários a explorar aplicativos de fontes fora da Play Store e até mesmo experimentar ROMs personalizadas. Mas isso também deixa os desenvolvedores de aplicativos preocupados com a segurança em uma posição complicada, pois eles não sabem se podem confiar no que outros aplicativos ou mesmo o próprio sistema operacional está comunicando. Isso levou ao desenvolvimento de estruturas como o Play Integrity, uma API que os desenvolvedores podem usar para garantir que seus aplicativos estejam sendo executados apenas em dispositivos Android “genuínos”. Mas, à medida que mais aplicativos começam a impor verificações do Play Integrity, isso está causando sérias dores de cabeça para os modders na comunidade de ROMs personalizadas.
A ideia de que o Play Integrity causa dores de cabeça para qualquer um que esteja executando algo particularmente personalizado não é nenhuma novidade, e no começo deste ano vimos o Google usando a API para bloquear o acesso ao envio de mensagens RCS em ROMs personalizadas — supostamente um esforço para impedir que spammers enviem textos automatizados. O problema mais recente a surgir diz respeito ao aplicativo de autenticação multifator Authy, que (recém-saído de um hack vergonhoso) começou a aplicar verificações do Play Integrity, levando a relatos de operação quebrada no GrapheneOS.
O gerente da comunidade do GrapheneOS levou o problema para X, confrontando Shawn Willden do Google, que trabalha nos subsistemas de segurança apoiados por hardware do Android. Willden não mede palavras sobre a situação em que a Play Integrity se encontra em relação a ROMs personalizadas, escrevendo: “Se não é um SO oficial, temos que assumir que é ruim.”
Isso não significa que as ROMs personalizadas estejam mortas, ou que os aplicativos que usam o Play Integrity nunca terão a chance de rodar em compilações não oficiais do Android no futuro. Na verdade, Willden expressa que sua equipe e parte da gerência do Google variam de positivas a entusiasmadas sobre a ideia de trabalhar em um processo para certificar ROMs de terceiros e fazê-las passar no Compatibility Test Suite do Android. Mas o problema realmente parece ser o interesse — simplesmente não há pessoas suficientes usando ROMs personalizadas em seus telefones (e enfrentando esses problemas com aplicativos se recusando a rodar devido às verificações do Play Integrity) para valer o investimento de tempo na montagem de um programa para trabalhar com as equipes por trás das ROMs de “alta qualidade” e desenvolver o tipo de confiança e relacionamentos necessários para trazer esses projetos sob a proteção do Play Integrity.
Se não for um sistema operacional oficial, temos que presumir que é ruim.
Embora isso seja uma pequena desculpa da parte do Google, a abordagem da empresa aqui realmente parece pragmática. grande a maioria dos usuários do Android está preocupada com a integridade de sua experiência de usuário em dispositivos tradicionais que executam softwares tradicionais. Os esforços da comunidade deveriam se concentrar nos próprios desenvolvedores terceirizados e trabalhar com eles para lançar aplicativos que não insistam em verificações de integridade do Play? Há mais de uma maneira de fazer isso, e se você estiver curioso, realmente recomendamos verificar o tópico inteiro no X; é uma visão fascinante das falhas que existem no sistema atual (como verificações insuficientes em usuários que executam softwares atuais, permitindo que eles voltem para códigos mais antigos sem essa imposição) para leitores interessados no quadro completo.