Perguntas incômodas sobre a certificação de desenvolvedores Android

 (commonsware.com)
5 pontos por GN⁺ 2025-08-28 | 2 comentários | Compartilhar no WhatsApp
  • O programa de certificação de desenvolvedores Android que o Google implementará a partir de 2026 exige que todos os desenvolvedores de aplicativos verifiquem sua identidade, o que gera controvérsia sobre o equilíbrio entre privacidade e segurança
  • O caso ICEBlock mostra que, para desenvolvedores que precisam de anonimato, a divulgação de identidade pode causar danos pessoais e profissionais
  • A política de privacidade do Google afirma que pode compartilhar informações de desenvolvedores com terceiros sem limitações claras, levantando preocupações sobre confiabilidade e transparência
  • Se, após 2027, houver restrições ao uso de debug keystore e de nomes de pacote duplicados, o desenvolvimento e os testes de apps em ambientes educacionais podem se tornar mais difíceis
  • Embora o programa tenha como objetivo impedir apps maliciosos, é necessário discutir anonimato, acessibilidade educacional e a falta de cooperação com organizações civis

Contexto e problema

  • A partir de 2026, o Google exigirá que todos os desenvolvedores de apps Android concluam a verificação de identidade, permitindo a instalação apenas de apps de desenvolvedores verificados
    • Essa política também se aplica a apps distribuídos fora do Google Play (sideloading)
    • O acesso antecipado começa em outubro de 2025, será aberto a todos os desenvolvedores em março de 2026 e entrará em vigor em setembro de 2026 no Brasil, Indonésia, Singapura e Tailândia
  • O caso do app ICEBlock destaca a importância do anonimato
    • O ICEBlock é uma plataforma em que usuários denunciam anonimamente atividades do ICE (Immigration and Customs Enforcement), e, após revelar sua identidade, o desenvolvedor sofreu ameaças legais e outros danos, como a demissão do cônjuge
    • O desenvolvedor de um app semelhante para Android (provisoriamente chamado de “ICE Scream”) pode enfrentar riscos parecidos caso precise revelar sua identidade

Pergunta 1: consideração pelo anonimato

  • Não está claro como o Google pretende apoiar desenvolvedores que precisam manter o anonimato por motivos legítimos
    • Desenvolvedores de apps como o ICE Scream podem temer ameaças à segurança ou retaliação legal caso sua identidade seja exposta
    • O Google não divulgou medidas concretas nem políticas de exceção para esse tipo de cenário

Pergunta 2: cooperação com organizações civis

  • Não foi confirmado se o Google trabalhou com organizações civis como a EFF ou a AccessNow para discutir o equilíbrio entre privacidade e segurança no programa de certificação
    • Essas organizações têm longa experiência em lidar com o equilíbrio entre privacidade e segurança
    • Faltam informações sobre se o Google aproveitou essa expertise e quais teriam sido os resultados

Pergunta 3: ambiguidade na política de privacidade

  • A política de privacidade do Google afirma que os dados pessoais de desenvolvedores podem ser compartilhados com “empresas ou indivíduos confiáveis”
    • Não há explicação clara sobre o critério de “confiável” nem sobre limitações de uso das informações compartilhadas
    • Isso dificulta que pessoas como o desenvolvedor do ICE Scream confiem na forma como o Google trata essas informações

Pergunta 4: debug keystore e ambiente de desenvolvimento

  • O desenvolvimento de apps Android usa debug keystore, que é temporário e frequentemente substituído
    • Após 2027, se o debug keystore não for incluído no programa de certificação, pode se tornar impossível testar apps em hardware Android certificado pelo Google
    • Em ambientes educacionais (por exemplo, salas de aula e servidores de CI), exigir o registro de keystores pode elevar a barreira de aprendizado

Pergunta 5: problema de nomes de pacote duplicados

  • Em ambientes educacionais, é comum usar nomes de pacote duplicados, como nos projetos de exemplo do Google
    • O programa de certificação proíbe nomes de pacote duplicados, o que pode impedir desenvolvedores iniciantes de executar código de exemplo
    • Exemplo: o autor, que escreve livros sobre desenvolvimento de apps Android, teme que seus leitores não consigam mais executar os exemplos
    • O Google não apresentou uma solução para esse problema

Discussão adicional e feedback

  • O Google disponibilizou um formulário online para receber feedback de desenvolvedores, permitindo o envio de perguntas e preocupações
  • Organizações civis ou pessoas interessadas podem entrar em contato pelo e-mail dev.verification@commonsware.com
  • Se o próprio Google quiser discutir o tema, pode contatar did.you.really.need.a.written.invitation@commonsware.com

Implicações

  • O programa de certificação de desenvolvedores Android tem a intenção de reforçar a segurança do usuário, mas há pouca consideração suficiente sobre o impacto que a limitação do anonimato pode ter sobre os desenvolvedores
  • Há risco de prejudicar a acessibilidade educacional e a proteção da privacidade, sendo necessárias explicações mais transparentes do Google e cooperação com organizações civis
  • A política apresenta desafios para equilibrar a prevenção de apps maliciosos com a manutenção de um ecossistema aberto, tornando importante o diálogo com a comunidade de desenvolvedores

Leituras relacionadas

2 comentários

 
ndrgrd 2025-08-28

Se for um app cujo APK é distribuído diretamente pelo desenvolvedor, instale-o pelo Obtainium sempre que possível. Em plataformas conhecidas de distribuição, como GitHub e GitLab, dá para instalar com um ou dois ajustes e ainda ter atualizações automáticas.
Não inclui código relacionado ao Google e é melhor em todos os aspectos.

Se você não consegue confiar no desenvolvedor, então nem deveria instalar o app em primeiro lugar.
 
GN⁺ 2025-08-28
Comentários do Hacker News

  • Isso não deveria ser apenas um conjunto de perguntas, mas uma oposição total e explícita
    Se cederem minimamente, existe o risco de perderem todos os direitos num instante
    Fico lembrando do alerta que Stallman fez em 1997 em The Right to Read: “em 2047, depuradores serão numerados e distribuídos oficialmente apenas a programadores certificados”

  • Não entendo por que é tão complicado ter um sistema operacional móvel de código aberto que funcione direito
    Eu uso apenas PCs Linux, tanto no pessoal quanto no trabalho (laptops, servidores)
    No trabalho preciso de MS365, Google Workspace, Zoom etc., mas pelo menos consigo acessar pelo navegador e evitar ecossistemas fechados, então isso já me satisfaz
    No mundo móvel existem PostmarketOS, Phosh e Ubuntu Touch, mas nunca usei nenhum deles no dia a dia de verdade
    Às vezes penso se isso é culpa minha, mas até o nosso governo só oferece o app de verificação de identidade para iOS/Android
    O certo seria resistir usando só a web, mas por comodidade acabo usando app no fim das contas, e isso me faz sentir fraco
    Se eu tivesse Ubuntu Touch e até um iPad, talvez ao menos teria dispositivos sobre os quais eu realmente controlasse meus dados pessoais
    No fim, precisamos de uma verdadeira “plataforma de computação pessoal” que dê para carregar sem bolsa
    É triste até o GrapheneOS depender, no fim, das mãos do grande adversário (aquela empresa que odeia controle do usuário) para o seu futuro

  • Espero que, num futuro próximo, smartphones e tablets fechados superem em número desktops/laptops comuns
    A maioria das pessoas provavelmente nem terá a chance de possuir um dispositivo totalmente aberto
    E pode acontecer de até os laptops se tornarem fechados também

  • Hoje já é possível comprar chips RISC-V totalmente abertos e depurar à vontade
    O x86 também é quase totalmente aberto (com exceções como Xbox e PS5, que são tentativas pontuais de fechamento)
    Por isso, acho que a história do “direito de ler” do Stallman ainda é um exagero prematuro

  • A lógica que falta em Stallman pressupõe que todos os sistemas são perfeitos, impossíveis de invadir, e que as pessoas têm compreensão perfeita de software e sistemas, querendo ou não
    Se depuradores forem restringidos, no fim todo mundo vai usar depuradores piratas
    A esmagadora maioria das pessoas (99,9%) não liga nem um pouco para OSS
    O que as pessoas querem é simplesmente usar o celular como bem entenderem, sem apps maliciosos, apps inúteis ou apps cheios de anúncio
    Além disso, publicação e desenvolvimento são atividades separadas

  • Forçar verificação sempre que qualquer app for instalado por fora é controle fascista
    Fiquei envergonhado por Google e Apple, porque esse sempre foi claramente o objetivo final
    O próximo passo será apagar qualquer app que eles não gostem, e nós não vamos conseguir impedir isso
    O alerta de Stallman estava certo

  • O PC só ficou aberto porque a IBM não previu o que aconteceria
    Quando a IBM tentou retomar o controle, já era tarde demais

  • Acho que até a palavra “sideload” já é parte do problema
    Por que dizer “sideload” em vez de simplesmente “executar um programa”?
    Um sistema operacional que não me deixa executar o programa que eu quiser não faz sentido

  • Eu perguntei a uma LLM o que significa “Stallman was right” e entendi mais ou menos, mas queria saber se alguém poderia explicar diretamente
    Sempre fico desconfortável de depender só da resposta de LLM para entender esse tipo de coisa, então prefiro perguntar a pessoas

  • Me oponho firmemente a esse tipo de medida e, por esse motivo, boicoto produtos da Apple por convicção há a vida toda
    Ainda assim, acho exagero chamar tudo de “fascista”
    Espero que essa medida gere uma reação fortíssima contra o Google, e que ROMs como o LineageOS recuperem a popularidade de antes
    Também seria ótimo se os mecanismos de burlar detecção de root evoluíssem a ponto de apps bancários etc. simplesmente funcionarem em aparelhos rooteados
    Essas exigências complicadas de identidade, como certificação de desenvolvedor, são tão ruins quanto as da Apple
    Por isso, desenvolvedores que usam produtos da Apple nunca me pareceram realmente sérios

  • Isso é absolutamente inaceitável
    Se você é dono do dispositivo, deveria poder executar tudo o que quiser nele
    Se o acesso ao produto que você comprou pode ser restringido ou bloqueado, então isso não é propriedade de verdade
    Não é diferente de alugar o dispositivo
    Nem precisa imaginar se as pessoas aceitariam uma montadora proibir dirigir em certas áreas

  • Por outro lado, a VW já limita potência quando a assinatura anual deixa de ser paga
    Por ganância corporativa e ignorância dos usuários, esse tipo de coisa já está acontecendo no mundo real

  • Você pode comprar uma licença de videogame na Steam e instalar mods livremente
    O modelo de aluguel já está escondido de forma sorrateira em vários lugares

  • Antigamente eu usava o Shizuku no celular para usar o Hail (ferramenta de pausa temporária de apps)
    Mas meu banco do cartão de crédito recentemente começou a verificar a presença de depuração USB, então desisti de usar (até o OTP 3DS agora preciso receber por SMS)
    Na Tailândia, no momento, só uns dois bancos ainda não fazem essa verificação, mas parece questão de tempo até todos bloquearem
    No fim, migrei para o Dhizuku; a configuração foi meio complicada, mas depois de pronto ficou ótimo, porque não preciso mais iniciar o Shizuku manualmente toda vez, então a sensação é parecida com a de um jailbreak untethered completo
    O Dhizuku basicamente funciona como um celular corporativo, com a diferença de que o dono sou eu mesmo
    Para “gerenciar o perfil principal”, é preciso apagar todas as contas do sistema de contas do Android e inserir um comando longo de ADB, então é inviável usar isso de forma maliciosa
    No futuro, se alguém quiser usar F-Droid, esse método pode acabar virando padrão entre engenheiros

  • Gostaria de sugerir usar o site do banco
    Eu não instalo app bancário no celular; sempre que preciso fazer uma transferência, sento no computador e resolvo por lá

  • Esse dispositivo claramente é meu, e eu deveria poder usá-lo como eu quiser
    Mas também é preciso considerar que usar ferramentas como essas mencionadas (Shizuku, Dhizuku) pode de fato afetar a segurança do aparelho e facilitar ataques
    Acho perigoso abusar de permissões, inclusive emprestar temporariamente permissões de DeviceOwner para outro app
    Além disso, se até sistemas de segurança como o GrapheneOS começarem a bloquear esse tipo de configuração, o problema cresce muito
    Detecção de root, inspeção de call stack e afins também têm efeito limitado na prática, porque são fáceis de burlar

  • Há um formulário de feedback para quem quiser expressar sua opinião
    Link para o formulário de feedback do Google
    Discussão relacionada

  • Acho que essa política não será aplicada a OEMs chineses
    Aparelhos chineses saem de fábrica com Google Mobile Services desativado por padrão e sem app da Play Store para o usuário
    Não faz sentido exigir aprovação do Google para desenvolvimento interno de apps
    Cada OEM teria que construir seu próprio serviço de licença de depuração, e depurar apps baseados no ecossistema do Google pode acabar ficando muito mais difícil

  • Muitos OEMs chineses já nem recebem certificação do Google, então realmente acho que essa política não se aplicaria a eles
    Alguns (como a Huawei) já têm sua própria loja de apps e soluções substitutas para os serviços do Google
    Na prática são dispositivos de-googled, mas infelizmente muitas vezes vêm carregados com spyware do outro lado

  • Permitir ou não a instalação de apps por fora (sideloading) é um direito que deve caber ao dono do dispositivo
    Assim como é possível habilitar o desbloqueio do bootloader no celular, esse tipo de função essencial também deveria ser configurável pelo usuário
    É um princípio básico inquestionável

  • Há perguntas incômodas a serem feitas, mas achar que esse tipo de pergunta pode realmente deixar o Google desconfortável é otimismo demais
    O Google simplesmente não liga para esse tipo de questão

  • O departamento de PR é pago justamente para driblar esse tipo de pergunta incômoda com habilidade
    Na verdade, esse tipo de comunicação serve ao Google para construir a imagem de que eles estão “dialogando”

  • Isso está eliminando um dos principais motivos pelos quais eu usava Android em vez de iPhone

  • Na verdade, acho isso ainda pior do que as políticas da Apple
    Usuários de iPhone chegam a tratar a impossibilidade de instalar apps de terceiros como um recurso
    Eu discordo, mas a Apple ao menos sempre foi honesta desde o início ao deixar claro que o usuário não controla de fato o próprio dispositivo
    Essa experiência é desagradável para mim, mas pelo menos é honesta
    Já o Google atrai usuários com a promessa de uma plataforma aberta e depois os trai — é um verdadeiro produto-isca

  • Quando Android e iPhone competiam no começo, a maior vantagem do Android era justamente poder instalar qualquer app sem pedir autorização ao Google

  • Acho que isso (o fechamento das políticas do Google) pode acabar se voltando contra o próprio Google
    Se o Android também seguir pelo caminho de ser tão fechado e rigidamente controlado quanto o iOS, deixa de ficar claro por que alguém escolheria Android

  • Fico me perguntando se isso poderia dar a empresas como a Epic base para processar o Google
    Explicação do caso relacionado
    Se o Google monopolizar o processo de verificação, então o poder de distribuição dos apps Android vendidos na Epic Store deixará de estar com a Epic e passará para o Google

  • Por isso, acho que nos EUA (e na UE, embora por outros motivos) o Google na prática não conseguiria implementar essa política
    Na verdade, eu nem imaginava que eles cogitariam tentar algo assim, mas agora já me parece que qualquer coisa é possível, então nem sei mais prever nada