Do que estamos falando quando falamos de sideloading | F-Droid

 (f-droid.org)
1 pontos por GN⁺ 2025-10-29 | 1 comentários | Compartilhar no WhatsApp
  • A nova política de registro de desenvolvedores do Google está sendo criticada por restringir a liberdade do dispositivo e o direito de escolha de software dos usuários de Android
  • O Google afirma que o "sideloading não vai desaparecer", mas, na prática, a estrutura muda para exigir que toda distribuição de apps passe por um processo de aprovação do Google
  • Na prática, essa política tira dos usuários a liberdade de instalar apps diretamente ou de usar repositórios de código aberto como o F-Droid
  • O Google apresenta isso como um reforço de segurança, mas a repetição de casos de apps maliciosos na Play Store mantém a controvérsia sobre sua confiabilidade
  • Destaca-se a necessidade de respostas sociais e políticas para proteger a abertura e a soberania digital do ecossistema Android no mundo todo

Contestação à afirmação do Google de que “o sideloading não vai desaparecer”

  • O Google declarou em um vídeo do Android Developers Roundtable e em um post de blog que "o sideloading é parte central do Android e não vai desaparecer", mas o F-Droid afirma que isso não corresponde aos fatos
    • O novo decreto de verificação de desenvolvedores (developer verification decree) encerra, na prática, o direito de indivíduos instalarem livremente o software que quiserem
  • Explica-se que o próprio termo “sideloading” foi criado artificialmente e, originalmente, não passa de um simples ato de “instalar”
    • Aponta-se que a instalação direta, sem passar por marketplaces intermediários como Google Play Store ou Apple App Store, foi distorcida e passou a ser vista de forma negativa
  • Segundo a definição da Wikipedia, sideloading é o “ato de transferir apps a partir de uma fonte da web não aprovada pelo fornecedor”; se o Google passar a exigir aprovação de todas as fontes, isso deixa de ser sideloading
    • O desenvolvedor terá de pagar uma taxa de registro ao Google, enviar comprovação de identidade e informações da chave de assinatura, e aguardar a aprovação do Google

Impacto sobre os direitos de usuários, desenvolvedores e países

  • Ao comprar um dispositivo Android, os usuários confiaram na promessa de uma “plataforma aberta”, mas futuras atualizações deverão impor restrições irreversíveis
    • A estrutura passa a ser uma em que o Google decide em quais softwares é possível confiar
  • Os desenvolvedores não poderão mais criar apps livremente e distribuí-los diretamente, tendo de obter aprovação prévia do Google
    • A abertura do Android era um valor central e um diferencial em relação ao iPhone, mas esse princípio agora estaria sendo abandonado
  • Em nível nacional, também existe o risco de a soberania digital dos cidadãos ficar subordinada a uma empresa
    • O Google já teve precedentes de remover apps legais a pedido de governos autoritários, o que gera insegurança até para a operação de software público
  • A política se aplica não apenas à Google Play Store, mas a todos os dispositivos Android Certified, de modo que usuários de lojas alternativas como F-Droid e Epic Games Store também estarão sujeitos às mesmas restrições

A fragilidade da alegação do Google de um “ambiente mais seguro”

  • O Google justifica a política citando uma análise própria segundo a qual "foram encontrados 50 vezes mais malwares em fontes de sideloading na internet do que na Play Store"
    • Porém, o F-Droid afirma nunca ter visto esse material de análise e critica o dado como um número sem fundamento
  • Ao mencionar o caso recente de 224 apps maliciosos removidos da Play Store devido a uma campanha de fraude publicitária, o texto argumenta que o Google deveria focar em melhorar seu próprio sistema de segurança em vez de culpar comunidades externas
  • Outra reportagem indica que foram encontrados apps maliciosos com mais de 19 milhões de downloads na Play Store, o que reforça a tese de que é difícil confiar na identificação de malware baseada apenas no julgamento de uma única empresa
    • Levanta-se a preocupação de que os interesses comerciais do Google possam vir antes da proteção dos usuários

O que pode ser feito

  • As críticas ao controle excessivo de políticas pelo Google existem há muito tempo e vêm se acelerando nos últimos anos
    • Em 2024, com a adoção do Manifest v3 no Chrome, enfraqueceu-se a funcionalidade de bloqueio de anúncios, e
    • em 2025, o desenvolvimento do Android Open Source Project (AOSP) foi fechado, permitindo construir secretamente essa infraestrutura de verificação
  • O sistema de verificação de desenvolvedores representa uma ameaça existencial a plataformas de distribuição de software livre como o F-Droid e a concorrentes comerciais da Play Store
    • A reação de usuários, desenvolvedores, imprensa e organizações civis está crescendo, mas a conscientização entre formuladores de políticas públicas ainda é necessária
  • Consumidores podem agir por meio de keepandroidopen.org para enviar sua opinião a instituições representativas e defender a manutenção de um ecossistema Android aberto
  • No momento, recomenda-se que desenvolvedores não participem do programa de registro de desenvolvedores do Google
    • O F-Droid declara rejeitar de forma clara esse sistema coercitivo
  • Mais da metade da população mundial usa smartphones Android, e a propriedade do dispositivo pertence ao usuário, não ao Google
    • Os usuários devem ter o direito de decidir em quem confiar e de onde obter seu software

Leituras relacionadas

1 comentários

 
GN⁺ 2025-10-29
Comentários do Hacker News

  • Sou o autor. Fiquei bem surpreso com o tom agressivo de muitos comentários e com as acusações de má-fé
    Não importa muito discutir a origem do termo sideload. Quem usa essa palavra normalmente quer fazer parecer que isso é algo hackeado e fora do normal
    No Linux, Windows e macOS, isso não se chama sideload, chama-se simplesmente install
    Eu acredito que tenho o direito de instalar qualquer software no meu computador, ou no computador que carrego no bolso. É uma convicção que vou defender até o fim

    • Mesmo dentro desta comunidade há pessoas que gostam de controle autoritário. Elas acreditam que a Apple ou a Google Play nos protegem, e acham que isso deve ser defendido
      Essa atitude aparece com frequência em temas como o fechamento dos dispositivos móveis. Ainda assim, essas pessoas são apenas uma minoria barulhenta
    • Acho melhor abandonar o projeto de vez. Já contribuí para um projeto de privacidade e percebi isso depois de ser atacado por supostamente prejudicar os “criadores” do YouTube. As pessoas sofrem nas mãos do Google e ainda gostam disso. Depois que parei, pela minha saúde mental, passei a ter muito mais tempo
    • Não daria para argumentar que o F-Droid é de fato mais seguro do que a Google Play Store? O Google trata o sideloading como um problema de malware, mas talvez a Play Store tenha distribuído mais apps maliciosos na prática. Uma loja de apps pequena e independente pode até ter mais chance de ser bem administrada
    • O problema está se espalhando de forma mais ampla. Agora não é só software: até hardware como equipamentos de exercício está preso a modelos de assinatura. Antes a resistência era ajustada com uma manivela; agora você não consegue usar sem uma assinatura de 30 dólares por mês. É pior do que a obsolescência programada do cartel das lâmpadas dos anos 1920. É deprimente ver o mercado continuar sustentando isso, mas quando a estrutura monopolista se consolida, esse tipo de padrão aparece
    • Também penso assim. Só queria dizer que você não está sozinho

  • É preciso elevar o nível da discussão. O debate sobre sideloading é secundário. O ponto central é a propriedade do dispositivo e os limites da transação
    No momento em que eu compro um dispositivo, a transação deveria terminar, e depois disso eu deveria ter 100% do controle. O fabricante e o criador do sistema operacional deveriam ter 0%

    • A primeira coisa a fazer é reformar a DMCA. Hoje, até fornecer ferramentas ou informações para que o usuário controle o próprio dispositivo pode violar a lei federal
      Veja este texto relacionado da EFF
      Leis assim permitem que empresas intimidem as pessoas usando o poder do governo. Em contrapartida, eliminar essas cláusulas permitiria que consumidores desenvolvessem suas próprias gazuas (lockpicks)
    • Mas esse ideal parece inviável na prática. No fim, estamos caminhando para um mundo em que alugamos dispositivos autorizados pelas big techs. Toda execução de código só será possível para desenvolvedores autorizados, e todos os dados serão monitorados. Assusta pensar no que vem depois de uma centralização total
    • Um dispositivo só será realmente meu quando puder executar software perfeito sob meu controle no hardware. Caso contrário, no fim das contas é apenas “meu dispositivo com o software deles instalado”
    • Alguém pode perguntar: “então como você vai fazer atualizações?” Mas a questão central é a autonomia de permitir atualizações apenas quando o usuário quiser

  • O comportamento das plataformas é só um sintoma, não o problema de fundo

    1. Meu celular é meu, e eu deveria poder instalar qualquer app
    2. Canais verificados como a loja oficial são úteis para a segurança
      Se as duas coisas são verdadeiras, então bastaria mostrar um aviso de “instale por sua conta e risco” ao instalar fora da loja oficial. A maioria dos usuários usaria só a loja oficial de qualquer forma
      Mas Apple e Google não fazem isso porque ganham comissão (vig) nas transações dentro dos apps. Se o imposto da plataforma acabasse, o problema do sideload também desapareceria
    • O importante não é o que é “oficial”, e sim um canal confiável. O F-Droid é esse tipo de canal; o Google Play não é. O Google, na verdade, está tentando eliminar esse tipo de canal confiável
    • O Android já mostra um aviso de “instale por sua conta e risco”. O que o Google quer agora é permitir a distribuição de apps apenas por desenvolvedores registrados
    • O aviso já existe, mas as pessoas clicam e passam por ele de qualquer jeito. A realidade da engenharia de segurança é que os usuários não entendem os avisos. A postura de simplesmente dizer “eu avisei, então não é minha responsabilidade” não ajuda em nada a reparar os danos
    • Esse recurso do Android já existia, e agora vai desaparecer
    • Eu também não confio na Google Play Store

  • É insano que a gente não tenha nem acesso root. As restrições ao sideload são só um símbolo dessa distopia

    • Eu ainda mantenho root num Poco F3 com LineageOS. Mas me preocupa que essa liberdade desapareça quando a atestado por hardware virar padrão. Se root e sideload forem bloqueados, o Android deixa de valer a pena
    • Como resultado desse controle, Apple e Google acabam decidindo até que tecnologias e serviços podem crescer no mercado

  • Como usuário de iOS, eu estava cansado das políticas fechadas da Apple e comprei um aparelho Android para criar apps de PoC. Ainda hoje instalo apps em vários dispositivos pelo F-Droid. Se isso for bloqueado, meus dispositivos vão perder a utilidade

    • Este ano descobri o SideStore no iOS, e o recurso de renovação automática é excelente. Eu mesmo fiz dois apps para iOS e os uso todos os dias. Graças à nova política do Google, provavelmente não vou voltar ao Android tão cedo

  • Muitos comentários se fixam mais no significado da palavra do que no ponto principal do texto

    • Dá vontade de brincar que o HN ficaria feliz se o F-Droid trocasse coined por popularized no artigo
    • Isso acontece muito no HN: pegam uma palavra de um texto longo e ficam presos nela, sem enxergar a floresta por causa das árvores

  • Se o Google realmente estivesse empurrando essa política por segurança, poderia ao menos criar uma conta de usuário em sandbox para instalar apps não oficiais ali dentro. Mas quem quer isso é uma minoria tão pequena que o Google provavelmente não se importa. Gente como nós teria de simplesmente importar um celular chinês

    • Mas em países com restrições de importação, como o Brasil, não dá para trazer celulares não certificados
    • Na verdade, o objetivo de proibir sideload não é segurança, e sim bloquear apps como NewPipe e Vanced
    • Talvez exista algum jeito de contornar isso rodando ADB diretamente pelo Termux para instalar o app do F-Droid. Mas o Google provavelmente vai bloquear essas tentativas em breve
    • De qualquer forma, se a base de usuários ficar pequena demais, os desenvolvedores não terão motivo para criar apps

  • Pena que ninguém mencionou Raymond Carver
    Ao ver sua obra mais conhecida, dá para pensar que a situação atual dos sistemas operacionais móveis é igualmente sombria. Também recomendo o filme Shortcuts

    • Sim, foge um pouco do tema, mas Carver é um ótimo escritor

  • A palavra sideload foi criada originalmente com a intenção de fazer isso soar como algo clandestino e perigoso
    Antigamente, serviços de hospedagem de arquivos como Rapidshare e Megaupload também tinham um recurso chamado sideload, que significava transferir arquivos diretamente para o servidor

  • No macOS, ao executar um app baixado da internet, aparece apenas um aviso do tipo “deseja abrir este app?”. A instalação em si não é bloqueada. Nos celulares deveria ser assim também

    • Mas, na prática, é mais complicado. Por exemplo, se eu enviar para outra pessoa um binário em golang feito por mim, o macOS bloqueia a execução dizendo que é um “app corrompido”. Acho que isso foi projetado para barrar usuários não técnicos
    • Esta atualização vai além: ela remove do usuário a própria possibilidade de decidir se quer instalar, e passa a exigir que o desenvolvedor se registre e pague para que o app possa ser instalado. No fim, é um empurrão para um ecossistema fechado
    • O macOS mostra o aviso, mas o usuário tem a opção de ignorá-lo e executar mesmo assim. O iOS não é assim, e o Google quer seguir por esse caminho
    • O macOS mostra avisos sempre que um app fora da App Store é executado, mas o usuário pode rodar normalmente se compilar ele mesmo ou remover a flag de quarantine
    • Ao instalar por um gerenciador de pacotes como o brew, nem esse aviso aparece