Perguntas incômodas sobre a certificação de desenvolvedores Android

 (commonsware.com)
5 pontos por GN⁺ 2025-08-28 | Ainda não há comentários. | Compartilhar no WhatsApp
  • O programa de certificação de desenvolvedores Android que o Google implementará a partir de 2026 exige que todos os desenvolvedores de aplicativos verifiquem sua identidade, o que gera controvérsia sobre o equilíbrio entre privacidade e segurança
  • O caso ICEBlock mostra que, para desenvolvedores que precisam de anonimato, a divulgação de identidade pode causar danos pessoais e profissionais
  • A política de privacidade do Google afirma que pode compartilhar informações de desenvolvedores com terceiros sem limitações claras, levantando preocupações sobre confiabilidade e transparência
  • Se, após 2027, houver restrições ao uso de debug keystore e de nomes de pacote duplicados, o desenvolvimento e os testes de apps em ambientes educacionais podem se tornar mais difíceis
  • Embora o programa tenha como objetivo impedir apps maliciosos, é necessário discutir anonimato, acessibilidade educacional e a falta de cooperação com organizações civis

Contexto e problema

  • A partir de 2026, o Google exigirá que todos os desenvolvedores de apps Android concluam a verificação de identidade, permitindo a instalação apenas de apps de desenvolvedores verificados
    • Essa política também se aplica a apps distribuídos fora do Google Play (sideloading)
    • O acesso antecipado começa em outubro de 2025, será aberto a todos os desenvolvedores em março de 2026 e entrará em vigor em setembro de 2026 no Brasil, Indonésia, Singapura e Tailândia
  • O caso do app ICEBlock destaca a importância do anonimato
    • O ICEBlock é uma plataforma em que usuários denunciam anonimamente atividades do ICE (Immigration and Customs Enforcement), e, após revelar sua identidade, o desenvolvedor sofreu ameaças legais e outros danos, como a demissão do cônjuge
    • O desenvolvedor de um app semelhante para Android (provisoriamente chamado de “ICE Scream”) pode enfrentar riscos parecidos caso precise revelar sua identidade

Pergunta 1: consideração pelo anonimato

  • Não está claro como o Google pretende apoiar desenvolvedores que precisam manter o anonimato por motivos legítimos
    • Desenvolvedores de apps como o ICE Scream podem temer ameaças à segurança ou retaliação legal caso sua identidade seja exposta
    • O Google não divulgou medidas concretas nem políticas de exceção para esse tipo de cenário

Pergunta 2: cooperação com organizações civis

  • Não foi confirmado se o Google trabalhou com organizações civis como a EFF ou a AccessNow para discutir o equilíbrio entre privacidade e segurança no programa de certificação
    • Essas organizações têm longa experiência em lidar com o equilíbrio entre privacidade e segurança
    • Faltam informações sobre se o Google aproveitou essa expertise e quais teriam sido os resultados

Pergunta 3: ambiguidade na política de privacidade

  • A política de privacidade do Google afirma que os dados pessoais de desenvolvedores podem ser compartilhados com “empresas ou indivíduos confiáveis”
    • Não há explicação clara sobre o critério de “confiável” nem sobre limitações de uso das informações compartilhadas
    • Isso dificulta que pessoas como o desenvolvedor do ICE Scream confiem na forma como o Google trata essas informações

Pergunta 4: debug keystore e ambiente de desenvolvimento

  • O desenvolvimento de apps Android usa debug keystore, que é temporário e frequentemente substituído
    • Após 2027, se o debug keystore não for incluído no programa de certificação, pode se tornar impossível testar apps em hardware Android certificado pelo Google
    • Em ambientes educacionais (por exemplo, salas de aula e servidores de CI), exigir o registro de keystores pode elevar a barreira de aprendizado

Pergunta 5: problema de nomes de pacote duplicados

  • Em ambientes educacionais, é comum usar nomes de pacote duplicados, como nos projetos de exemplo do Google
    • O programa de certificação proíbe nomes de pacote duplicados, o que pode impedir desenvolvedores iniciantes de executar código de exemplo
    • Exemplo: o autor, que escreve livros sobre desenvolvimento de apps Android, teme que seus leitores não consigam mais executar os exemplos
    • O Google não apresentou uma solução para esse problema

Discussão adicional e feedback

  • O Google disponibilizou um formulário online para receber feedback de desenvolvedores, permitindo o envio de perguntas e preocupações
  • Organizações civis ou pessoas interessadas podem entrar em contato pelo e-mail dev.verification@commonsware.com
  • Se o próprio Google quiser discutir o tema, pode contatar did.you.really.need.a.written.invitation@commonsware.com

Implicações

  • O programa de certificação de desenvolvedores Android tem a intenção de reforçar a segurança do usuário, mas há pouca consideração suficiente sobre o impacto que a limitação do anonimato pode ter sobre os desenvolvedores
  • Há risco de prejudicar a acessibilidade educacional e a proteção da privacidade, sendo necessárias explicações mais transparentes do Google e cooperação com organizações civis
  • A política apresenta desafios para equilibrar a prevenção de apps maliciosos com a manutenção de um ecossistema aberto, tornando importante o diálogo com a comunidade de desenvolvedores

Leituras relacionadas

Ainda não há comentários.

Ainda não há comentários.