O Google está facilitando a detecção e o bloqueio de sideloading por aplicativos Android

Principais conclusões

  • A API Play Integrity dificultará o carregamento lateral de aplicativos para proteger os usuários e evitar abusos.
  • Os desenvolvedores podem usar uma variedade de parâmetros para determinar a legitimidade de um aplicativo.
  • O foco contínuo do Google na segurança pode eventualmente limitar as personalizações no Android.




O Android viu muitas mudanças nos últimos anos, com o Google conseguindo colocar segurança, privacidade e IA na vanguarda de seus esforços recentes. E embora a maioria das mudanças seja bem-vinda, alguns argumentariam que o Android está lentamente perdendo sua identidade central como um sistema operacional verdadeiramente personalizável. Claro, esse parece ser um custo que o Google está disposto a assumir, pois tenta colocar o Android nas mãos de mais e mais consumidores na próxima década. Dito isso, o sideload de aplicativos sempre foi uma coisa com o Android, dando aos usuários a capacidade de baixar e instalar aplicativos de outra fonte fora da Google Play Store.


Há muitas razões pelas quais um usuário seguiria esse caminho, mas o outro lado do sideload é que ele pode ser inseguro se você não souber o que está fazendo e, na pior das hipóteses, pode interferir não apenas na experiência do aplicativo, mas no Android como um todo. Então, da perspectiva de um desenvolvedor, há uma série de excelentes razões pelas quais eles não gostariam que um usuário baixasse um aplicativo que não seja de uma fonte legítima. E embora existam alguns buffers para impedir que aplicativos sideload sejam instalados, os usuários agora podem simplesmente ignorá-los. Mas parece que as coisas podem mudar em um futuro próximo, já que a API Play Integrity do Android está definida para trazer novos obstáculos para aqueles que desejam fazer sideload de aplicativos no futuro.


Demonstração do Google Play Integrity no telefone


A notícia vem de Mishaal Rahman, da Android Authority, explorando como a API Play Integrity protegerá os usuários e evitará o sideloading, o que tem sido relativamente fácil no passado. A API faz muito trabalho pesado para garantir que os aplicativos instalados venham de uma fonte genuína e, se detectar uma versão modificada do aplicativo ou perceber que há algum comportamento incomum, a API pode tomar medidas para evitar problemas ou “reduzir o abuso”. Claro, embora isso possa parecer bastante simples, há várias maneiras pelas quais a API verifica um aplicativo para garantir que ele seja legítimo.

O Google lista como essa API funciona na íntegra em seu site de desenvolvedor, dando uma análise concisa de como ela processa informações e determina o que é genuíno e o que não é. Os desenvolvedores podem usar vários parâmetros como “verificar se isso aconteceu no seu binário de aplicativo genuíno, instalado pelo Google Play, em execução em um dispositivo Android genuíno”. As coisas podem ser levadas ainda mais longe, com os desenvolvedores adicionando mais pontos de dados como “volume de solicitações que um dispositivo fez recentemente e sinais sobre o ambiente, incluindo o veredito de risco de acesso ao aplicativo e o veredito do Play Protect”.


E como você pode imaginar, se houver algum sinal de alerta dentro desses parâmetros, uma decisão pode ser tomada sobre como lidar com a situação dependendo da gravidade da infração, abordando “abuso, fraude, uso indevido, trapaça, acesso não autorizado e ataques”. Naturalmente, isso vai cair sobre os pés dos desenvolvedores e como eles utilizarão melhor esses dados e tomarão medidas. Rahman inclui um exemplo de como um prompt funciona quando há um problema com o veredito de integridade. Neste exemplo, o diálogo simplesmente solicita que o usuário baixe o aplicativo da Play Store, corrigindo imediatamente o problema.

Embora tenha havido maneiras no passado de detectar problemas com aplicativos instalados em dispositivos Android, esta nova maneira torna mais fácil para os desenvolvedores verificarem e também tomarem medidas contra aplicativos ofensivos e seus usuários. O Google já implementou maneiras de mover usuários de sideload para oficiais e isso naturalmente só vai progredir ainda mais com o passar do tempo. E conforme esse recurso e outros recursos de segurança progridem, ele vai lentamente fechar ainda mais a janela na personalização pela qual o Android costumava ser conhecido. Mas está claro que o Google está pronto para seguir em frente, se livrando de sua velha pele, já que o Android não é mais um sistema operacional para consertadores e agora visa capturar o mercado de massa.