Principais conclusões
- A API Play Integrity do Google agora pode sinalizar dispositivos sem atualizações de segurança há mais de um ano, permitindo que desenvolvedores de aplicativos acessem operações confidenciais.
- Os desenvolvedores podem optar por restringir os recursos do aplicativo a dispositivos atualizados ativamente, aumentando potencialmente a segurança geral.
- A mudança pode impactar negativamente os usuários de telefones de nicho com poucos ou nenhum patch de segurança, ou aqueles que desejam desbloquear bootloaders e dispositivos root.
O Google trabalha constantemente para garantir que o Android seja o mais seguro possível para o usuário médio, o que inclui fornecer aos desenvolvedores as ferramentas necessárias para minimizar o risco de fraude. Uma mudança recente na API Play Integrity, que verifica a autenticidade de software e dispositivos para proteger operações confidenciais, agora permite que ferramentas como aplicativos bancários reconheçam dispositivos que não receberam um patch de segurança do Android há mais de um ano e reduzam seu nível de confiança , potencialmente restringindo recursos relacionados a dados pessoais importantes (via Android Developers Blog).
Linguagem de desenvolvedor Android, simplificada
A atualização relativamente simples pode impactar muitos usuários
Fonte: Polícia Android
O lançamento oficial dos desenvolvedores do Android usa um jargão um pouco esotérico, mas a atualização não é muito complicada. A API Play Integrity, que permite que os aplicativos se comuniquem com o sistema operacional, agora permite que o sistema operacional retorne veredictos atualizados quando o programa basicamente pergunta: “Este telefone é seguro o suficiente para executar esta função?”
A atualização do veredicto principal permite que um aplicativo responda com uma resposta de “atende à integridade forte”, embora existam respostas semelhantes para indicar que um telefone ou tablet atende à integridade do “dispositivo” ou “básica”. O forte rótulo de integridade agora verifica se um dispositivo recebeu uma atualização de segurança do Android no último ano – não uma atualização de aplicativo ou Play Store, mas uma das atualizações de sistema em todo o sistema operacional que vem diretamente do fabricante do dispositivo. Resta saber quão ampla será a adoção voluntária do protocolo aprimorado, mas provavelmente ficará confinado principalmente a software financeiro, governamental e empresarial.
Isso dá aos desenvolvedores a opção exigir que os usuários de seus aplicativos usem telefones e tablets atualizados ativamente. Em teoria, esta mudança poderia melhorar a segurança em todos os níveis. Na prática, há muitas pessoas que usam softwares como serviços fintech adjacentes a bancos em telefones que não recebem mais atualizações do Android. Embora isso provavelmente inclua leitores mínimos do Android Police (que tendem a ser entusiastas experientes ou próximos da vanguarda), essas pessoas existem. Na verdade, alguns telefones exclusivos e excelentes, como o impressionantemente pequeno Unihertz Jelly Star, raramente ou nunca recebem atualizações completas de segurança do sistema.
Relacionado
Os patches de segurança do Android não importam tanto quanto você pensa
Você não fica tão ferrado quando eles param
Apesar do clamor comum de várias comunidades online amantes da tecnologia, a falta de patches não é nem de longe a sentença de morte de segurança que poderia ter sido quando o Android ainda era um sistema operacional incipiente. Em seus mais de 15 anos, o Android passou por um refinamento considerável e é extremamente seguro neste momento. Além disso, o Google Play Services e as atualizações de aplicativos individuais cobrem uma parte significativa de possíveis explorações por conta própria (embora, é claro, nem todos os possíveis meios obscuros de entrada). Além disso, a maioria das explorações exige ataques direcionados especificamente, acesso físico a um dispositivo, falha pessoal para evitar phishing ou outros golpes, ou alguma combinação dos três.
No entanto, o Android agora permite que os desenvolvedores optem por esse rótulo de segurança aprimorado, com adoção automática em toda a plataforma em maio de 2025. De qualquer forma, o Google não está exigindo desenvolvedores para aplicá-los a todas as funções do aplicativo, mas apenas dando-lhes a escolha. Incluída nessa escolha está uma possível interpretação de resposta em camadas: no exemplo dos desenvolvedores Android, um aplicativo poderia tratar os telefones Android 12 de maneira diferente dos telefones Android 13 ao responder com os rótulos de integridade forte, de dispositivo ou básica.
Relacionado
5 maneiras pelas quais o Google nerfou ROMs personalizados e root
O enraizamento raramente vale a pena hoje em dia e existem algumas desvantagens importantes
Naturalmente, essa é uma mudança específica dentre algumas relacionadas. O Play Integrity agora também torna mais fácil para os aplicativos coletar informações relevantes do dispositivo, como autenticidade do APK, status ativado/desativado do Google Play Protect e se outros aplicativos ou serviços em execução podem comprometer a segurança, por exemplo, gravando a tela clandestinamente.
O explicador de atualização focado no desenvolvedor também implica fortemente na maior dependência do Play Integrity em um bootloader intacto e verificável. É aqui que os fiéis usuários avançados do Android Police poderiam, e provavelmente deveriam, levantar uma ou duas sobrancelhas. Apesar de todo o trabalho que os fabricantes de dispositivos fizeram para bloquear o hardware pago dos consumidores por trás de skins proprietárias do Android, esse aprimoramento de segurança pode ser mais um prego no caixão cada vez mais bem fechado de ROMs personalizadas – e não é a primeira vez que o Google prejudica o root, ROMs e personalização detalhada.
Relacionado
Como usar Shizuku para mods sem root ADB em qualquer dispositivo Android
Modificar seu dispositivo sem acesso root ficou muito melhor
