1 pontos por GN⁺ 2025-05-15 | 4 comentários | Compartilhar no WhatsApp
  • Depois que o upload de arquivos no Nextcloud para Android foi limitado, o Google propôs em 15 de maio a restauração da permissão de upload de todos os arquivos, e o Nextcloud está preparando uma versão de teste e uma atualização de correção
  • A versão distribuída pela Google Play Store teve bloqueada a permissão de leitura e gravação de todos os tipos de arquivo, passando a permitir o upload apenas de algumas mídias, como fotos e vídeos
  • Segundo o Nextcloud, essa permissão foi concedida em 2011 e o recurso existe desde 2016, mas com a rejeição da atualização do app em setembro de 2024, foi exigido o uso de SAF·MediaStore API
  • O Nextcloud considera que o SAF é voltado para compartilhamento e exposição de arquivos entre apps, e que a MediaStore API lida apenas com arquivos de mídia, por isso é difícil substituir a sincronização completa de arquivos
  • Cerca de 1 milhão de usuários da Google Play Store foram afetados, enquanto a versão distribuída pelo F-Droid manteve a permissão em uma nova versão, concentrando o problema na política de distribuição da Google Play Store

Proposta de restauração da permissão em 15 de maio

  • O Google entrou em contato com o Nextcloud na manhã de 15 de maio e propôs a restauração da permissão para que os usuários possam recuperar a funcionalidade perdida
  • O Nextcloud está preparando primeiro uma versão de teste e, se não houver problemas, a atualização final com a restauração de todas as funções pode ser distribuída já no início da próxima semana
  • Esse aviso de atualização foi acrescentado em 15 de maio às 14:50 CET

Impacto da limitação de upload de arquivos no Android

  • Há meses o upload de arquivos no Nextcloud para usuários Android não estava funcionando como esperado
  • Os arquivos que podiam ser enviados ficaram limitados a alguns arquivos de mídia, como fotos e vídeos
  • Como outros tipos de arquivo não podiam ser enviados, o propósito de sincronização de arquivos do app Nextcloud Files foi fortemente comprometido
  • Reclamações de usuários apareceram em vários canais, como o fórum de ajuda do Nextcloud, GitHub, Reddit e o fórum do ComputerBase

Processo de mudança de permissões na Google Play Store

  • A permissão de leitura e gravação de todos os tipos de arquivo do app Nextcloud Files foi concedida em 2011
  • Em setembro de 2024, uma atualização do app Nextcloud para Android foi rejeitada de forma repentina
  • O Google exigiu que o acesso a todos os arquivos fosse removido ou que fossem usados meios alternativos mais favoráveis à privacidade, como o Storage Access Framework (SAF) ou a MediaStore API
  • O Nextcloud concluiu que as duas alternativas não conseguem substituir a função de upload completo de arquivos
    • O SAF serve para compartilhar ou expor arquivos do Nextcloud a outros apps, então a empresa considera que a exigência partiu de uma compreensão equivocada do fluxo de trabalho do app
    • A MediaStore API só pode acessar arquivos de mídia e não consegue lidar com outros tipos de arquivo
  • O Nextcloud afirma que apresentou objeções várias vezes desde meados de 2024 e compartilhou contexto adicional, mas o Google não aceitou restaurar a permissão
  • Como precisava fornecer atualizações de correção de bugs a usuários e clientes, o Nextcloud distribuiu uma atualização com upload limitado para atender às novas exigências do Google

Diferença entre F-Droid e Google Play Store

  • O próprio app Android continua funcionando com essa permissão
  • O Nextcloud distribuiu uma nova versão na loja alternativa F-Droid
  • A limitação de funcionalidade é um problema relacionado à versão distribuída pela Google Play Store
  • Usuários mais técnicos podem usar lojas alternativas como o F-Droid, mas o Nextcloud considera que isso dificilmente é uma opção realista para cerca de 1 milhão de usuários da loja de apps

Críticas do Nextcloud ao Google

  • O Google citou preocupações de segurança como motivo para revogar a permissão
  • O Nextcloud diz que oferece essa funcionalidade desde 2016 e que nunca havia recebido do Google qualquer preocupação de segurança nesse período
  • A posição do Nextcloud é que vários apps de Big Tech e apps do próprio Google ainda mantêm essa funcionalidade
  • A empresa critica que o Google, por ser dono da plataforma, pode conceder tratamento preferencial a si mesmo e de fato faz isso
  • O Nextcloud vê esse caso não como um pequeno detalhe técnico, mas como um exemplo de gatekeeping que enfraquece recursos de produtos concorrentes de fornecedores menores de software

Questão mais ampla de política concorrencial

  • O Nextcloud menciona o caso passado em que a Microsoft bloqueou algumas funções do Windows para piorar a experiência do WordPerfect e afirma que hoje o Google dificulta a criação de produtos concorrentes com regras justificadas em nome da segurança
  • A empresa considera que, para negócios pequenos, o custo de ação judicial é alto e que mesmo apresentar reclamações à UE leva muito tempo, deixando quase nenhum meio prático de reparação
  • O Nextcloud afirma que, em 2021, apresentou reclamação com cerca de 40 empresas e organizações sobre condutas anticompetitivas semelhantes, mas que mesmo após 4 anos nada aconteceu
  • O Digital Markets Act da UE começou a ser aplicado em maio de 2023, mas as primeiras multas contra Meta e Apple só foram anunciadas em abril de 2025
  • O Nextcloud critica que as multas de 200 milhões de euros e 500 milhões de euros para Meta e Apple, respectivamente, são baixas em comparação com sanções que podem chegar a 10% da receita anual global, sendo para as Big Tech apenas um leve tapa no pulso

4 comentários

 
ndrgrd 2025-05-15

No fim, permissões existem para que o usuário possa concedê-las por conta própria, então adotar um sistema de permissões e acabar bloqueando as permissões necessárias é complicado mesmo haha..

 
GN⁺ 2025-05-15
Opiniões no Hacker News
  • Dá para entender a dor do ponto de vista do Nextcloud. A equipe do Everfind (busca unificada no Drive, OneDrive, Dropbox etc.) também passou o último ano tentando obter o escopo drive.readonly para baixar arquivos, rodar OCR e criar um índice de busca em texto completo para o usuário
    O Google continua dizendo para se virar com drive.file + drive.metadata.readonly, mas essa combinação quebra a descoberta contínua e prejudica muito os resultados de busca de documentos novos ou atualizados. No fim das contas, a retórica de “privilégio mínimo” do Google parece plausível, mas, na prática, concede acesso privilegiado aos apps próprios das Big Techs e força fornecedores independentes a lançar produtos que funcionam pela metade ou a serem expulsos da Play Store. No fim, os usuários perdem recursos e opções, e pequenos desenvolvedores queimam tempo brigando sem parar com bots de política que só copiam e colam respostas

    • Do ponto de vista do usuário, essa decisão deveria caber a mim, não ao Google. Dito isso, parece que a Apple passa muito mais fácil por isso, talvez porque seus clientes, em geral, tenham uma tendência maior a dizer “nos salvem de nós mesmos”
    • Em vez de uma intenção de dar acesso privilegiado aos apps próprios do Google, é bem possível que isso esteja em uma prioridade muito baixa para a equipe alocar esforço de engenharia
      Trabalhei alguns anos como PM no Google Workspace, e é menos malicioso do que parece de fora. As decisões são otimizadas para receita, e outros recursos, especialmente recursos para clientes corporativos, recebem prioridade muito maior. Desde mais ou menos 2012, quase todas as empresas passaram a focar em receita corporativa, e a satisfação do usuário final acabou pagando a conta
    • Isso soa exatamente como o tipo de situação que as leis antitruste deveriam tratar
    • Parece hora de entrar com mais uma ação antitruste. Pelo menos o Nextcloud tem sede na Europa, e recentemente a Europa tem mostrado disposição para enfrentar as grandes empresas de tecnologia em alguns casos
    • Talvez desse para bloquear com uma limitação de recursos aquilo que quebra no build do Google e oferecer a funcionalidade em outros canais de distribuição. Pessoalmente, priorizo instalar apps pela F-Droid em vez da PlayStore
  • Sou desenvolvedor da plataforma AOSP, e minhas opiniões sobre sistema de arquivos são pessoais e não representam o Google
    Não uso Nextcloud e nem olhei especificamente esse app, mas, vendo pela perspectiva de alguém que conhece relativamente bem os bastidores, parece que SAF poderia funcionar para esse caso de uso, como outras pessoas disseram. O Google Drive não tem a permissão que a Nextcloud afirma que o Google concede como privilégio, e é distribuído pela Play Store, assim como o app da Nextcloud. Permissões como MANAGE_EXTERNAL_STORAGE foram abusadas amplamente no passado, às vezes de formas terríveis

    • SAF não é uma opção. É horrivelmente lento[1][2][3][4][5], então nunca pode ser usado em um app de sincronização em nuvem decente
      Segundo o trecho de [1], todas as operações de entrada/saída de arquivos no SAF usam chamadas IPC, por isso levam cerca de 20 a 30 ms; quando há muitas operações de arquivo, como verificar se muitos arquivos existem no disco e criá-los caso não existam, fica tão lento que até os exemplos do Google usam gambiarras para ganhar velocidade. No exemplo de [3], com SAF levou 15 segundos, enquanto com ls nativo levou 6 milissegundos, e eram apenas 128 arquivos
      [1] https://github.com/K1rakishou/Fuck-Storage-Access-Framework#...
      [2] https://www.reddit.com/r/androiddev/comments/ga5u72/saf_is_s...
      [3] https://issuetracker.google.com/issues/73044953#comment5
      [4] https://magicbox.imejl.sk/forums/topic/storage-access-framew...
      [5] https://issuetracker.google.com/issues/130261278#comment52
    • Assusta-me que, neste tópico, não se leve suficientemente em conta que permissões como MANAGE_EXTERNAL_STORAGE já foram terrivelmente abusadas no passado
      A quantidade de dados que se pode extrair de um dispositivo com esse tipo de permissão provavelmente é enorme, e não se trata simplesmente de “proteger o usuário de si mesmo”. Eu não me sentiria seguro em ativar essa permissão para nenhum app; e, embora a capacidade de sincronizar os dados do dispositivo inteiro seja útil, para o Google é uma situação em que apanha se fizer e apanha se não fizer
    • Quando se fala em “formas terríveis”, será que estão se referindo a apps de agiotas, ou existe algo ainda pior que eu não conheço?
      Na prática, são quase um ransomware que as pessoas instalam “voluntariamente” para obter empréstimos predatórios, mas muitas vezes elas não sabem como eles realmente funcionam. Se a pessoa não consegue pagar, eles não se limitam a bloquear o celular: usam os dados extraídos do telefone para ameaçar enviar fotos nuas a conhecidos, ou até fazer ameaças de morte a familiares identificados a partir dos dados — https://www.welivesecurity.com/en/eset-research/beware-preda...
    • Entendo que é preciso ter muito cuidado ao conceder essa permissão a novos apps, mas o NextCloud é um app conhecido e, além disso, é um app de gerenciamento de arquivos. Para um app assim, ele deveria justamente ter essa permissão
      Se o plano é eliminá-la completamente de forma gradual, as alternativas precisariam ser boas o suficiente, mas alguns comentários mais abaixo sugerem que não são. Nunca desenvolvi para Android e provavelmente nunca vou desenvolver justamente por coisas como esta, então é difícil eu julgar com precisão, mas entendo que o app do Google Drive é mais uma UI sobre armazenamento em nuvem, e que partes interessantes como Backup não são tratadas por esse app. O Google Drive recebe tratamento privilegiado nesse ponto, e para imitar esse tipo de recurso seriam necessárias permissões adicionais
    • O Drive em si pode não ter a permissão que a Nextcloud quer, mas o sistema inteiro controlado pelo Google certamente tem esse acesso[0]
      [0]: https://support.google.com/googleone/answer/9149304?hl=en&co...
  • O app oficial SyncThing para Android também deixou de ser distribuído por esse motivo. Existe um fork, mas, pelo que sei, ele não está na Play Store

    • O problema do app SyncThing para Android é que ele é praticamente um wrapper em torno do SyncThing, que é uma biblioteca em Go, e o SAF não fornece um descritor de arquivo simples que possa ser usado diretamente em código nativo
      Em vez disso, você recebe uma URL content://, e para transformá-la em um descritor de arquivo é necessária uma ponte Java/Kotlin. Esse trabalho teria de ser feito dentro do próprio SyncThing. Dito isso, o syncthing-fork parece ter conseguido fazê-lo funcionar de alguma forma, então pode haver outro truque. Mas, pelo que sei, esse problema provavelmente não se aplica ao app NextCloud
    • O fork está na Play Store e funciona bem no Android 15: https://play.google.com/store/apps/details?id=com.github.cat...
      Ainda assim, foi meio surpreendente o cliente oficial desaparecer de repente
  • A afirmação de que “não dá para usar o SAF porque ele serve para compartilhar/expor nossos arquivos a outros apps” não está correta. O SAF pode ser usado
    Há motivos pelos quais ele não se encaixa bem no Nextcloud. Por exemplo, não é possível compartilhar todo o armazenamento interno, a pasta Downloads ou a raiz do cartão SD. Ainda assim, a explicação do Nextcloud em si é difícil de aceitar

    • Totalmente correto. Por exemplo, veja a documentação a seguir
      https://developer.android.com/training/data-storage/shared/d...
      Isso também foi discutido ontem: https://news.ycombinator.com/item?id=43970959
    • O ponto central desse app é fazer backup de pastas inteiras. Compartilhar a partir de um app para o Nextcloud não concede acesso para continuar fazendo backup das versões posteriores dos arquivos
    • O que quero confirmar é se o software do Google, de modo geral, usa exatamente a mesma estrutura de permissões
      Por exemplo, quero saber se entre os produtos do Google não há nenhum que use a mesma permissão exigida pelo NextCloud e se, em vez disso, eles usam SAF — especialmente em funcionalidades que executam o que o NextCloud faz aqui. Quero ter certeza de que o Google também segue, para si próprio, as mesmas regras que aplica ao NextCloud e a outros desenvolvedores de apps
  • É uma prática monopolista. Se o Google se recusa a fazer o investimento necessário para arcar com a devida diligência que permitiria que outras empresas operassem exatamente da mesma forma que ele, então não tem legitimidade para administrar esse espaço
    Se houver custo de supervisão, que cobre das empresas uma taxa nominal para monitorar a carga. Bloquear outros participantes não é uma resposta adequada

  • O Google entrou em contato com o Nextcloud e ofereceu restaurar a permissão. Fico curioso se essa decisão veio por argumentos técnicos ou se o julgamento antitruste e a cobertura da imprensa foram fatores persuasivos

  • É exatamente por isso que existe o Digital Markets Act da UE, e por isso essa lei precisa ter força real de execução
    Se o Google bloqueia o acesso total a arquivos do Nextcloud no Android enquanto permite silenciosamente o mesmo para seus próprios apps e para grandes players, isso não é “segurança”, é controle. O Nextcloud é uma alternativa europeia, baseada em padrões abertos e com privacidade em primeiro lugar, e pode se alinhar totalmente aos requisitos do GDPR. Bloquear funcionalidades essenciais e favorecer seus próprios serviços é um caso clássico de abuso de poder de plataforma. O Android deveria ser aberto, mas movimentos como esse mostram que, pelo menos na versão com Play Services, ele é mais um jardim murado. Se a UE leva a sério a soberania digital e a concorrência justa, precisa impedir esse tipo de conduta. Caso contrário, nenhuma tecnologia europeia, por mais compatível, aberta e amigável ao usuário que seja, terá chance

    • Fico curioso para saber quais apps no ecossistema do Google têm a permissão de “todos os arquivos”. O Google Drive certamente não tem. O botão de “upload” do GDrive também abre um seletor de arquivos, assim como o NextCloud
      A função de “sincronizar apenas uma pasta” é possível com SAF, sem permissões de alto risco. A migração de perfis existentes pode ser incômoda, porque ao mudar para a nova API o usuário precisa conceder novamente a permissão da pasta. A sincronização de todo o armazenamento virtual, da pasta Downloads ou de pastas adicionais colocadas em blacklist por fabricantes como a Samsung não é possível com a nova API, mas também não é possível com serviços do próprio Google. O DMA apenas exige que o Google não fique em uma posição especial e, enquanto o Google não oferecer esse recurso, não precisa oferecê-lo ao NextCloud
    • Acho que vão aparecer pessoas implicando com “não é abuso de operador dominante porque dá para instalar AOSP ou fazer sideload de APKs facilmente”. É igual ao argumento da época do IE, “é só instalar outro navegador”, ou do iPhone, “é só comprar outra marca”
      Já havia gente assim em outra submissão
    • Mobile é uma plataforma de sistema operacional de segunda classe. No desktop, é fácil configurar bloqueios e filtros no navegador ou no sistema operacional que você usa
      Usuários móveis são expostos todos os dias a pop-ups, malware e sequestro de DNS. Se não fosse assim, mobile não seria esse trem de ouro que despeja receita de cliques para anunciantes
    • É uma abordagem bastante peculiar querer envolver a UE para punir o Google por impedir que apps leiam livremente todos os dados pessoais
      Sem esse tipo de aplicação, jogos maliciosos e apps como o Facebook teriam feito upload de fotos e escaneado localizações em EXIF sob o pretexto de que “precisam de acesso total”. E, nas discussões anteriores, também se confirmou que existem APIs melhores para preservar a privacidade; o Nextcloud é que simplesmente não quer usá-las
  • O Google tem um histórico de criar APIs exclusivas para first-party para dar vantagem aos seus próprios apps Android
    Em 2014, o Google dividiu o app Drive em vários apps Android separados, como Docs, Sheets etc. Fazer o usuário instalar novos apps e migrar para eles era uma carga, então eles projetaram um modal de instalação com um clique que podia ser usado a partir do Drive em vez do redirecionamento comum para a Play Store. Era elegante. Naquela época, a empresa em que eu trabalhava era uma grande concorrente do Drive e, por motivos parecidos, queria usar um fluxo semelhante ao separar algumas funcionalidades principais em apps independentes, mas não pôde. O Google escondeu essa API não atrás de uma permissão, mas de uma verificação de assinatura do app, para que apenas apps assinados pelo Google pudessem usá-la. Era uma exclusividade hardcoded, sem solicitação de permissão nem possibilidade de contestação. Há razões legítimas para dizer que esse tipo de recurso pode ser perigoso e precisa de mitigação contra abuso, mas o Google cruza com frequência a linha entre mitigação de abuso e conduta anticompetitiva

    • Nenhum app do Google usa a permissão que o Nextcloud quer. A única exceção é o app explorador de arquivos Files, pré-instalado, que não se integra à nuvem
  • O antigo lema do Google, “Don’t be evil”, era o núcleo de um código de conduta corporativa que enfatizava práticas de negócios éticas e transparentes
    Depois que esse lema foi removido em 2015, ficamos nas mãos do Google. Agora o Google virou a Microsoft, e esse também é o motivo pelo qual o Nextcloud foi criado

  • Pelo que li, a nova API parece um movimento na direção certa. Mas, de um jeito ou de outro, o Google está basicamente exigindo que o backup/sincronização do Nextcloud quebre silenciosamente até que o usuário conceda a permissão
    Muitos usuários provavelmente não vão perceber até descobrirem perda de dados, e isso deve causar danos consideráveis à confiança e à marca. Acho injusto o Google exigir isso nesse caso, em que o resultado recai quase inteiramente sobre o usuário

 
click 2025-05-15

O resumo por IA está estranho. É a primeira vez que vejo um erro que adiciona um ao final de todas as frases.

 
xguru 2025-05-15

Essa é a primeira vez que vejo um caso assim. Pedi para terminar com um substantivo... e isso foi a única coisa que ele seguiu direitinho rs