O Google quer tornar mais seguro os aplicativos Android lateral, verificando as identidades dos desenvolvedores

A maioria dos usuários do Android adquire aplicativos da Google Play Store, mas um pequeno número de usuários baixam aplicativos fora dela, um processo conhecido como carga lateral. Existem algumas ferramentas bacanas que não estão disponíveis na Play Store porque seus desenvolvedores não querem lidar com os requisitos de aprovação ou verificação do Google. Isso é compreensível para os desenvolvedores que desejam compartilhar algo legal ou útil sem o ônus de derramar seu anonimato ou se comprometer com o suporte ao usuário. Infelizmente, os desenvolvedores maliciosos aproveitam essa abertura e se escondem atrás de uma cortina de anonimato ao distribuir malware. Para combater isso, o Google está introduzindo uma grande mudança que afasta essa cortina, dificultando a distribuição de atores maliciosos.

O que está mudando para aplicativos distribuídos fora da Play Store?

Hoje, o Google anunciou que está introduzindo um novo “requisito de verificação do desenvolvedor” para todos os aplicativos instalados em dispositivos Android, independentemente da fonte. A empresa deseja verificar a identidade de todos os desenvolvedores que distribuem aplicativos no Android, mesmo que esses aplicativos não estejam na Play Store. Segundo o Google, isso adiciona uma “camada crucial de responsabilidade ao ecossistema” e foi projetado para “proteger os usuários de malware e fraude financeira”. Somente usuários com dispositivos Android “certificados” – o que significa que os que enviam com a Play Store, Play Services e outros aplicativos do Google Mobile Services (GMS) – serão afetados por essa alteração.

O Google diz que verificará apenas a identidade dos desenvolvedores, não verificará o conteúdo de seus aplicativos ou sua origem. No entanto, vale a pena notar que o Google Play Protect, o serviço de varredura de malware integrado à Play Store, já digitaliza todos os aplicativos instalados, independentemente de onde eles vieram. Assim, o novo requisito não impede que aplicativos maliciosos cheguem aos usuários, mas dificulta a permanecendo anônimo de seus desenvolvedores. O Google compara esse novo requisito para verificações de identificação no aeroporto, que verificam a identidade dos viajantes, mas não se eles estão carregando algo perigoso.

Quais informações os desenvolvedores precisarão enviar ao Google e como?

Os desenvolvedores que distribuem aplicativos fora da Play Store precisarão verificar sua identidade através do novo console de desenvolvedores do Android que o Google está construindo atualmente. Isso é equivalente ao console do Google Play que os desenvolvedores da Play Store usam atualmente, mas o Google diz que fornecerá um processo de verificação mais simples e simplificado.

A postagem do blog da empresa não revelou quais detalhes os desenvolvedores precisarão fornecer, mas diz que aqueles que distribuem aplicativos no Google Play provavelmente já atendem aos requisitos. Portanto, é razoável assumir que os desenvolvedores fora da Play Store precisarão enviar as mesmas informações.

Atualmente, o Google Play exige que os desenvolvedores forneçam seu nome legal, endereço, email e número de telefone. Esta informação aparece nas listagens de lojas da Play, mas o Google disse Autoridade Android Que os desenvolvedores de informações forneçam ao Google através do console do desenvolvedor do Android “não será exibido para os usuários”. Muitos desenvolvedores de hobby e estudantes já se queixam desse requisito no Google Play, pois isso os obriga a revelar suas informações pessoais, a menos que estabeleçam um endereço comercial, por isso é bom ver que o Android não os deve. O Google diz que entende as necessidades dos hobbys e desenvolvedores de estudantes é “diferente dos desenvolvedores comerciais” e, portanto, está criando um “tipo separado de conta do console de desenvolvedores Android” para eles.

Quando os novos requisitos de verificação do desenvolvedor do Google entrarão em vigor?

Esse novo requisito não entrará em vigor imediatamente, mas será implementado em fases. Um programa de acesso antecipado será aberto em outubro de 2025, permitindo que os desenvolvedores participem de discussões, recebam suporte prioritário e ofereçam feedback. O programa será aberto a todos os desenvolvedores em março de 2026, seis meses completos antes do início dos requisitos.

Os requisitos entrarão em vigor primeiro em setembro de 2026 para usuários no Brasil, Indonésia, Cingapura e Tailândia. Nesse ponto, qualquer aplicativo que um usuário nesses países instale deve vir de um desenvolvedor verificado. O Google está segmentando essas regiões para a implantação inicial, pois elas são “impactadas especificamente” por golpes fraudulentos de aplicativos frequentemente cometidos por “repetidos autores”. Um lançamento global está planejado para continuar até 2027.

Depois que o requisito estiver ativo, os desenvolvedores ainda poderão distribuir seus aplicativos fora da loja do Google Play, mas serão mais responsáveis. Isso certamente perturbará alguns desenvolvedores conscientes da privacidade que não desejam enviar suas informações pessoais ao Google, e também alarmará alguns usuários que se preocupam com o fato de o Google estar bloqueando muito o Android. Ainda assim, com a própria análise do Google encontrando 50 vezes mais malware de fontes com seleções da Internet do que da Play Store, é difícil argumentar que essa mudança não fará algum bem. No entanto, a verdadeira eficácia dos novos requisitos não será conhecida até que sejam totalmente implementados.

O novo requisito do Google é semelhante ao modelo de ID e gatekeeper da Apple no MacOS, que interrompeu com sucesso ataques menos sofisticados. Mesmo uma pequena redução em malware no Android seria um resultado positivo, mas se vale a pena a perda de anonimato do desenvolvedor está em debate.