F-Droid e o decreto de registro de desenvolvedores do Google

 (f-droid.org)
8 pontos por GN⁺ 2025-09-30 | 1 comentários | Compartilhar no WhatsApp
  • F-Droid é um repositório que há 15 anos oferece instalação segura de apps Android gratuitos e de código aberto
  • Com o Google exigindo unilateralmente registro centralizado e verificação de identidade de todos os desenvolvedores Android, repositórios alternativos como o F-Droid passam a enfrentar risco existencial
  • Se essa política entrar em vigor, o projeto F-Droid e o ecossistema de apps de código aberto sofrerão um impacto severo
  • A política do Google parece ter como objetivo não reforçar a segurança, mas ampliar o domínio de mercado, enfraquecendo a liberdade do usuário e a diversidade
  • O F-Droid pede às autoridades regulatórias e aos usuários que protejam a liberdade de operar lojas de apps alternativas e os direitos dos desenvolvedores

Visão geral do F-Droid e do decreto de registro de desenvolvedores do Google

  • O F-Droid é um repositório que, há 15 anos, oferece aos usuários Android apps gratuitos e de código aberto, seguros e verificados
  • Ao contrário de lojas de apps comerciais, especialmente a Google Play Store, o F-Droid prioriza a privacidade do usuário e a transparência, oferecendo apenas apps sem anti-features que prejudiquem o usuário, como anúncios ou rastreadores
  • O código-fonte público dos apps é revisado pela equipe do F-Droid, que então compila e distribui os pacotes, assinando-os com a chave criptográfica do F-Droid ou com a chave pessoal do desenvolvedor
  • Por meio do F-Droid, os usuários podem instalar apps confiáveis baseados em código-fonte publicamente verificado
  • Ele oferece soluções centradas em privacidade, como apps de clima que não enviam dados pessoais a corretores de dados ou agendas que não vazam informações para redes de anúncios

Anúncio da política de registro de desenvolvedores do Google e seus impactos

No mês passado, o Google declarou unilateralmente a obrigatoriedade de registro centralizado para todos os desenvolvedores Android

  • Exige taxa de registro de desenvolvedor, envio de documentos de comprovação de identidade (como documento oficial emitido pelo governo) e registro de um identificador exclusivo para cada app a ser distribuído (nome do pacote)
  • O projeto F-Droid não pode obrigar desenvolvedores a se registrarem no Google, nem monopolizar os identificadores de apps de código aberto
  • Se essa política for de fato implementada, o F-Droid e a maioria das lojas de apps alternativas semelhantes ficarão, na prática, sob risco de encerrar as operações
  • Os usuários passariam a não conseguir instalar nem atualizar apps de código aberto confiáveis
  • Como o F-Droid não faz rastreamento de usuários nem exige cadastro, ele nem sequer conhece seu número de usuários

Problemas do discurso de segurança e centralização

O Google justifica o registro centralizado e as restrições à instalação direta em nome da segurança, mas isso, na prática, é uma alegação enganosa

  • Mesmo na Google Play Store, apps maliciosos já foram repetidamente encontrados e removidos
  • O F-Droid garante confiabilidade de segurança ao aumentar a transparência, com código-fonte aberto/processo de build totalmente público/builds reproduzíveis
    O Google já pode detectar e neutralizar apps maliciosos no dispositivo por meio do serviço Play Protect
    Os riscos reais podem ser enfrentados de forma suficiente com mais educação do usuário, transparência e reforço das medidas de segurança existentes
    O sistema de registro centralizado enfraquece a diversidade do ecossistema e a capacidade de difusão do código aberto, concentrando o controle em poucas grandes empresas

Direitos do usuário e liberdade de software

Quem possui um computador, incluindo um smartphone, tem o direito de executar qualquer software que desejar

  • Exigir de autores registro centralizado compulsório e verificação de identidade para distribuir apps contraria a liberdade de expressão e a liberdade de criação
  • Ao vincular identificadores de apps à verificação de identidade pessoal/taxa de registro, o Google está, na prática, elevando a barreira de entrada para ecossistemas alternativos
    Para garantir concorrência saudável e a liberdade de escolha dos usuários, o Google deve apresentar uma solução adequada

Propostas e pedidos do F-Droid

O F-Droid pede que autoridades regulatórias e órgãos de política concorrencial analisem com atenção se o Google está reforçando seu controle monopolista sob o pretexto de segurança

  • É necessária proteção regulatória para que lojas de apps alternativas e projetos de código aberto possam operar livremente
  • É importante proteger desenvolvedores que não concordam com um sistema de registro compulsório e excludente

Desenvolvedores e usuários podem fazer sua voz chegar a órgãos reguladores, como parlamentares e a Comissão Europeia, ou participar de abaixo-assinados para defender a liberdade digital

  • Com isso, é possível contribuir não apenas para a sobrevivência do F-Droid, mas também para um ambiente em que o software permaneça um bem público e a liberdade de escolha de todos os usuários seja preservada

Leituras relacionadas

1 comentários

 
GN⁺ 2025-09-30
Comentários do Hacker News

  • O F-Droid me parece diferente de outras lojas de apps por oferecer apenas apps verificados, com foco no interesse do usuário durante o processo de distribuição. Certa vez não consegui encontrar um app da Simple™ no F-Droid e assim descobri naturalmente que a SimpleMobileTools havia sido adquirida por uma empresa e seu código-fonte foi fechado, além de descobrir que existia um fork livre chamado Fossify (issue sobre a aquisição da SimpleMobileTools, GitHub do Fossify). Se eu tivesse instalado pelo Google Play, provavelmente teria ignorado essa mudança e continuado recebendo atualizações do novo dono. Cada app store tem seus prós e contras, mas isso faz perceber como é importante a existência de vários marketplaces

    • Neste fim de semana precisei enviar um arquivo PNG por e-mail, então procurei na Play Store um app para comprimir imagens. Baixei cinco apps com milhões de downloads e todos eram cheios de coleta de dados e anúncios. Quando tentei pagar para remover os anúncios, só havia armadilhas como “teste grátis e depois assinatura de US$ 5/mês” ou compra vitalícia de US$ 19. No fim, eram basicamente apps que só empacotavam bibliotecas já existentes, e as avaliações pareciam claramente manipuladas. Foi a primeira vez em um ano que voltei a baixar apps da Play Store, e a experiência foi tão ruim que resolver direto no navegador acabou sendo mais rápido

    • A confusão com o SimpleMobileTools e a resposta do F-Droid são um exemplo perfeito de como o argumento de “segurança” para proibir sideloading e exigir registro de desenvolvedor é vazio e, na verdade, prejudicial

    • Eu usava os apps da Simple no passado e depois perdi as notícias sobre eles; hoje descobri o motivo e sou grato por isso. Precisamos de diversidade real no ecossistema

    • Eu não sabia que o Fossify tinha sido um fork do SimpleMobileTools. Descobri agora, e como tinha apps dos dois misturados no telefone, decidi migrar para o Fossify. O fato de o app de calendário não estar funcionando direito esse tempo todo também era, no fim, porque as atualizações tinham parado

    • Concordo com a ideia de que, sem o F-Droid, seria muito difícil tomar esse tipo de decisão depois de pesquisar tudo por conta própria

  • Enviei um comentário à equipe do DMA da União Europeia sobre a política de verificação de desenvolvedores do Google e recebi resposta. A UE informou que gatekeepers como o Google devem permitir a instalação de apps por lojas de terceiros ou pela web, ao mesmo tempo em que podem impor medidas de segurança inevitáveis, necessárias e proporcionais. Mas, na prática, o DMA acaba fortalecendo ainda mais a posição monopolista de Google e Apple

    • Sou o autor do post. Também participei de workshops regulatórios da UE e do processo de implementação, e a lógica de “medidas estritamente necessárias e proporcionais” aparece repetidamente. Do ponto de vista do desenvolvedor, essa cláusula parece significar que lojas de apps de terceiros não devem enfraquecer mecanismos de segurança do dispositivo, como sandbox e verificação de assinatura, mas na prática os gatekeepers interpretam isso do jeito que lhes convém para escapar da regulação. A Apple também redistribui todo software para lojas de terceiros por meio de notarization, que na prática é uma forma de “revisão”, resignando e criptografando tudo, e o Google agora está introduzindo a mesma política em todo o ecossistema Android. Estamos caminhando para uma situação em que bilhões de dispositivos móveis no mundo inteiro serão efetivamente controlados por duas empresas americanas. Ainda falta senso de urgência. Usuários de Android deveriam instalar o F-Droid e se recusar a abrir mão dos direitos do software livre

    • Acho exagerado esperar que o órgão executivo da UE, apenas com base na denúncia de um cidadão, chegue a conclusões ou tome medidas envolvendo centenas de milhões. É uma questão que exige análise jurídica e técnica. Além disso, uma resposta insuficiente ou morna não basta para concluir que o DMA pretende ou aceita reforçar o duopólio Android-iOS

    • A resposta foi tão mecânica e passiva quanto eu esperava. Talvez entrando em contato com um eurodeputado (MEP) fosse possível ouvir uma posição mais forte, mas a equipe do DMA não vai tomar uma decisão com base em um único e-mail. Pelo comunicado do F-Droid, espero que o Google acabe sendo criticado e punido da mesma forma que a Apple. Ainda assim, penso que enrolar pode ser justamente a verdadeira intenção do Google

    • Não sou especialista em direito, mas a redação “medidas estritamente necessárias” está sendo interpretada de forma ampla demais. Lobistas colocam cláusulas absurdas em nome da segurança, como restrições de acesso e exigências extras de autenticação, e empacotam isso como se fossem exceções “razoáveis”, quando na prática serve para controlar a distribuição de apps. Também é difícil afirmar que algo usado por décadas sem problema algum de repente se tornou “essencial”

    • É uma tentativa de impedir que apps seguros e open source de mensagens como o Signal sejam instalados pelo F-Droid para evitar vigilância. Se a UE continuar assim, começo a achar que a decisão do Brexit no Reino Unido talvez tenha sido melhor. Os EUA nos impõem tarifas, e ainda assim a UE só apresenta políticas que favorecem as big techs americanas

  • O F-Droid lidera muito bem o ecossistema de app stores alternativas há mais de 15 anos, e acho que devemos ouvir o que ele tem a dizer neste caso. Se houver funcionários do Google lendo isso, peço que apoiem internamente a posição do F-Droid desta vez. Bloquear até software anônimo, ainda que bem-intencionado, é cruzar uma linha perigosa para um ecossistema aberto. Hoje é a Play Store; amanhã pode ser a web sendo fechada também

    • Sinceramente, acho que hoje em dia a maioria das pessoas dentro do Google só está preocupada com benefícios da empresa ou com a própria sobrevivência. O único interesse é escapar do próximo corte

    • Sou o autor do post. O Google já havia considerado implantar um sistema de verificação parecido alguns anos atrás, mas recuou depois de ouvir do F-Droid que isso causaria confusão. Desta vez não houve nenhum contato. Se alguém quiser conversar, pode me procurar a qualquer momento (veja o e-mail do F-Droid e o perfil no Signal)

    • Em vez de dizer que estão bloqueando software anônimo, talvez seja mais exato dizer que, por causa da forma como o Google implementou isso, o próprio F-Droid é atingido tecnicamente. Mesmo que seja um dano não intencional, o resultado é que sua própria existência fica ameaçada

    • Não concordo com a expressão “o melhor entre escolhas imperfeitas”. Não acho que haja um problema no sistema atual. Desde a época do G1 instalo livremente qualquer APK, e para o usuário isso é perfeito. Quem está insatisfeito é o Google, por causa de apps que atrapalham sua receita de anúncios, como ReVanced e PipePipe; o usuário não tem problema nenhum. Eu até sugeriria que cobrassem US$ 30 pelo Android OS

  • Durante alguns anos eu tinha ferramentas que usava pessoalmente, inclusive apps Android feitos por mim, mas se isso continuar assim pretendo parar completamente o desenvolvimento para Android. Recomendo que outros desenvolvedores adotem a mesma posição. Essa mudança só serve para trancar de vez a plataforma, e é um ponto sem retorno. O que torna o Android atraente é o Linux na palma da mão; na verdade, o que o Google deveria fazer seria facilitar o acesso root. No fim, acho que a última plataforma livre que restou é o Firefox, então vou me concentrar em criar ferramentas baseadas na web que funcionem bem no Firefox, tanto no mobile quanto no desktop

    • Desenvolver para Android e iOS é tão difícil, e às vezes a abordagem via navegador é melhor do que a nativa, que pretendo levar o máximo possível para a web daqui para frente

    • Parei de desenvolver para Android justamente por causa da interpretação que o Google fez das regras da UE. Eu não queria que o endereço do desenvolvedor tivesse de ficar todo público. Não estou nem um pouco surpreso com a situação atual

    • Gostaria de ouvir uma explicação mais concreta de como esse fluxo de trabalho funciona. No meu caso, acabei portando tudo para Emacs lisp

    • Em vez de olhar só para o Firefox, eu recomendaria mirar logo em Linux ou BSD como plataformas-alvo

    • Concluí que nem Android nem iOS valem mais a pena. Cheguei a preparar até um stack nativo multiplataforma (Flutter etc.), mas a complicação de empacotar, revisar e distribuir para cinco sistemas diferentes é absurda. Web apps estão cada vez mais dominando, e acho que o jogo dos apps nativos já acabou

  • Tenho a sensação de que não é só o Google sendo maligno sozinho; o ambiente regulatório mundial também contribui para limitar escolhas e restringir a liberdade do consumidor. Tentei instalar o e-mail Thunderbird para meu filho de 17 anos, mas desisti por causa de todo tipo de restrição, inclusive problemas de verificação de idade. No fim, graças ao F-Droid ainda dá para começar a desenvolver apps. Parece que, para os reguladores, liberdade soa como desvio ou evasão. Eu voluntariamente uso apenas Flathub, arch, debian e f-droid em vez das app stores da Apple/Google/Microsoft, e só compro dispositivos sem sistema operacional. Pessoas comuns e desenvolvedores open source não têm oportunidade de participar da criação de normas da indústria, e tudo precisa se adaptar às exigências do governo. Fico preocupado com até que ponto o FOSS ainda poderá ser permitido no futuro

    • Na prática, são grandes empresas como o Google que fazem lobby por esses padrões da indústria para que os desenvolvedores só possam publicar apps nas suas próprias lojas

    • Isso me lembra uma tirinha de Calvin & Hobbes em que jogar spam fora faz você parecer terrorista. Instalar meu próprio software no meu próprio dispositivo também está começando a passar a impressão de que sou um “hacker”

    • Do ponto de vista do F-Droid, este caso é claramente uma resposta regulatória. Está conectado tanto ao DMA quanto ao processo da Epic. O Google parece querer manter o AOSP enquanto reforça o controle sobre a distribuição de apps. Mas, como no futuro ainda vai depender em parte do open source, acho difícil que o Google consiga impor um fechamento total. Hoje o open source, especialmente em IA, está mais ativo do que nunca e produzindo muitos resultados excelentes. Google/Apple/Microsoft querem ecossistemas fechados, mas também não querem ficar presos ao ecossistema do concorrente. O ambiente regulatório é claramente uma ameaça ao open source, mas talvez o futuro da liberdade acabe ficando mais nos EUA. Por outro lado, como desenvolvedores e usuários dependem demais do Android, a ideia de que “só dá para desenvolver pagando” me parece o pior tipo de incentivo possível

  • É uma pena que a discussão atual não trate adequadamente dos problemas criados para apps que incluem componentes GPLv3 sob as novas regras de distribuição. Pelas exigências da GPLv3, é preciso fornecer ao usuário final todos os meios para compilar e executar por conta própria, incluindo chaves, e sob os novos requisitos do Google isso se torna tecnicamente inviável na prática

    • Por causa disso, a controvérsia sobre compatibilidade com a licença GPL pode acabar se impondo tanto ao Google quanto à Apple da mesma forma. Pessoalmente, ainda acho que a GPL pode coexistir com ambas as plataformas. Há vários softwares GPL na Play Store e na App Store, como Signal, Element e Wordpress. A exigência obrigatória de registro de desenvolvedor pode reacender a discussão sobre essa convivência com a licença. Blog relacionado

    • Os detalhes jurídicos são importantes, mas na prática isso será aplicado da mesma forma que as políticas da App Store da Apple, e a FSF considera que não é compatível texto relacionado da FSF

    • Pela minha interpretação, essa cláusula se aplica a fabricantes que vendem dispositivos embutindo software GPLv3. Já para um desenvolvedor distribuir um app GPLv3, isso não parece ser um grande problema, e passando pelo registro de desenvolvedor do Google ainda seria possível cumprir a licença

  • Acho que agora precisamos olhar para os celulares de outra forma. A liberdade de rodar apps pessoais está desaparecendo aos poucos, e eles estão virando apenas ferramentas de coleta de dados, publicidade e vício. Ao mesmo tempo, continuam sendo itens essenciais do dia a dia. Hoje eu deixo o celular desligado e só ligo quando preciso, como para 2FA, depois desligo de novo

    • Concordo com essa visão. Em desktops, servidores e laptops, a computação de propósito geral ainda está viva, mas smartphones e tablets estão se transformando em dispositivos limitados. A maioria dos usuários quer ainda mais restrições desse tipo, e quando defendemos liberdade e escolha viramos uma voz ínfima. Uso meu smartphone apenas para serviços que já partem do princípio da vigilância constante, e deixo qualquer tarefa importante para um computador sério

    • Graças ao F-Droid ainda continuo usando celular. Os apps do Google estão com a rede bloqueada via Rethink VPN. Se essa mudança passar, penso em tirar o chip e colocá-lo num celular comum, deixando o smartphone ligado só para navegação offline e mídia

    • Se a creche ou a escola precisar entrar em contato, fico pensando no que fazer. Estou até considerando usar um feature phone de verdade, tipo um 3310

  • Essa política é realmente um desastre. Não vai mais existir celular totalmente livre. Se não der para instalar APKs nem usar torrent, então talvez seja melhor migrar para o iPhone e pelo menos ter mais segurança e menos rastreamento

    • Recomendo experimentar o Ubuntu Touch. Há uma comunidade ativa e, para desenvolvedores, pode ser especialmente divertido. Fugir de um tubarão corporativo para cair em outro não é solução. Já publiquei app na Ubuntu Touch Store, e o processo foi muito simples, desde preencher o formulário até receber feedback imediato

    • Por outro lado, também fica a dúvida se um telefone Android do Google alguma vez foi realmente um sistema aberto. Outros sistemas operacionais e Linux phones de fato abertos ainda existem, e talvez possam até se tornar mais atraentes ou populares

    • Mas aí você também precisa aceitar todos os incômodos do ecossistema Apple: política restritiva para apps, dificuldade para extrair seus dados, pouco espaço de armazenamento em vários aparelhos e outros problemas

    • Eu, pessoalmente, não pretendo dar mais nenhum dinheiro para a Apple. Ela foi a pioneira em todo esse tipo de política, e quando começa a tirar direitos em um lugar, o Android logo vai atrás

  • A era atual da computação vive uma realidade grave de bloqueio dos dispositivos. SoCs, drivers fechados e restrições ao usuário já são o normal. Ironicamente, depois da onda de hacks na época do jailbreak do iPhone, as empresas perceberam como isso podia ser lucrativo. A UE provocou alguma mudança ao exigir a permissão de apps fora da app store, mas bastaria ter criado um simples “interruptor” para o usuário decidir se quer assumir esse risco no dispositivo; em vez disso, contornou a questão com um sistema complexo de provisionamento. Agora o Google/Android segue a mesma lógica, e isso já está sendo implementado com a “bênção” de governos específicos, como Brasil, Indonésia, Singapura e Tailândia. Nessas regiões, todos os apps só poderão ser instalados se vierem de desenvolvedores registrados

    • Como morador de Singapura, sinto isso na prática. Eu gostava de usar o F-Droid, mas troquei de aparelho e agora nem acesso à pasta de dados via shizuku é possível; estou quase tendo de considerar root ou uma custom ROM

    • Mesmo com a regra de “só desenvolvedores verificados podem distribuir apps”, ainda acho perfeitamente possível que golpistas paguem algumas dezenas de dólares e registrem apps usando nomes de terceiros

    • Entendo o contexto: há muitos golpes e os governos querem impedir isso de algum jeito. Ainda continua sendo possível instalar diretamente por cabo ou adb, e isso pode reduzir o número de vítimas. Agora ficou muito mais trabalhoso e difícil enganar um desenvolvedor para fazê-lo registrar um app fraudulento

  • Eu estava esperando a posição ou o comunicado do F-Droid, e como eu imaginava, a movimentação do Google é tão grave quanto parecia quando ouvi falar dela pela primeira vez. Desenvolver para Android piora a cada ano, e me preocupa que essa tendência possa se espalhar para a web também

    • O sistema europeu de verificação de idade na web deve depender de recursos de segurança de dispositivo do Android/iOS issue relacionada. No fim, para permitir um nível de controle interno e externo comparável ao da China, seria necessário excluir da web os dispositivos sob controle do próprio usuário, então dá para inferir a direção das políticas futuras

    • Enquanto o Google tenta dominar completamente a Web, o problema é que muitos desenvolvedores reclamam de inconveniência e acusam Firefox/Safari de travar a evolução da Web quando esses navegadores bloqueiam novas Web APIs. Somado ao excesso de apps baseados em Electron, isso pode acabar empurrando a Web para um caminho cada vez mais fechado