Google revela novo processo de 24 horas para sideload de apps Android não verificados

 (arstechnica.com)
4 pontos por GN⁺ 2026-03-20 | 6 comentários | Compartilhar no WhatsApp
  • O Google pretende implementar, a partir de setembro de 2026, um programa de verificação de desenvolvedores, restringindo a instalação de apps não certificados
  • Usuários avançados ainda poderão contornar a verificação para instalar apps, mas isso só será totalmente aplicado após passar por uma configuração oculta e por um período de espera de 24 horas
  • O Google explica que esse atraso é uma medida para prevenir ataques de engenharia social, projetada para impedir que usuários instalem apps maliciosos por impulso
  • A mudança busca equilibrar o reforço da segurança do ecossistema Android com a liberdade de escolha do usuário e deverá ser expandida globalmente em 2027

Mudança na política de sideload do Android

  • O Google está promovendo, a partir de 2026, uma grande mudança para evitar a disseminação de malware em todo o Android
    • A partir de setembro, apenas desenvolvedores certificados poderão distribuir apps por meio do programa de verificação de desenvolvedores
    • A verificação exigirá confirmação de identidade, envio da chave de assinatura e taxa de US$ 25
  • Apps de desenvolvedores não verificados não poderão ser instalados por padrão
    • Ainda assim, a instalação será possível como exceção por meio do “advanced flow”

Como funciona o Advanced Flow

  • Esse recurso fica escondido nas profundezas do menu de configurações de desenvolvedor
    • O usuário precisa ativar as opções de desenvolvedor tocando 7 vezes no número da compilação em About Phone
    • Depois, é necessário encontrar a opção “Allow Unverified Packages”, ativar a chave e inserir o PIN, além de reiniciar o dispositivo
    • Em seguida, após esperar 24 horas, o usuário pode voltar ao menu de configurações para escolher entre permissão temporária (7 dias) ou permissão indefinida
  • O atraso de 24 horas é um mecanismo de segurança para impedir instalações por impulso
    • O Google afirma que esse período ajuda a bloquear golpes de engenharia social
    • Por exemplo, reduz situações em que um atacante pressiona a vítima dizendo que “é preciso instalar o app imediatamente”

Equilíbrio entre segurança e escolha do usuário

  • O Google destaca que, considerando mais de 300 milhões de dispositivos ativos, precisa manter ao mesmo tempo a abertura e a segurança da plataforma
    • Sua posição é que “se a plataforma não for segura, tanto usuários quanto desenvolvedores saem perdendo”
  • O processo de verificação tem como objetivo confirmar identidades, não censurar o conteúdo dos apps
    • Assim, o usuário pode verificar que o app não veio de distribuidores de malware nem de impostores
    • Malware é definido como “um app que danifica o dispositivo ou dados pessoais sem a intenção do usuário”
  • O Google afirma que ferramentas de root para uso pessoal ou apps de bloqueio de anúncios, por exemplo, não são tratados como problema de verificação

Preocupações legais e de privacidade

  • Alguns defensores da privacidade se preocupam com a possibilidade de o banco de dados de verificação criar riscos legais para desenvolvedores independentes
    • O Google afirma que protege os dados dos usuários contra ordens judiciais indevidas
    • Também diz que não pretende armazenar permanentemente as informações de identidade dos desenvolvedores
  • Há preocupações de que desenvolvedores em países sob sanções (como Cuba e Irã) possam não conseguir se verificar por causa da taxa
    • O Google explica que o processo de verificação pode variar conforme o país e que o objetivo não é excluir determinadas regiões

Cronograma de implementação gradual

  • A medida começará em setembro de 2026 no Brasil, Singapura, Indonésia e Tailândia
    • Essas regiões têm incidência relativamente maior de golpes de impostura e phishing
  • Depois, a expansão para o mundo todo está prevista para 2027
  • O Google integrou a função de verificação ao Android 16.1 (lançado em 2025) e
    planeja oferecer a mesma interface e as mesmas telas de aviso em todos os dispositivos compatíveis
  • O Google ressalta que instalar apps fora do Play aumenta em 50 vezes o risco de infecção por malware
    • A introdução da verificação de identidade de desenvolvedores na Play Store em 2023 serviu de base para esta política
    • Em alguns países, existe pressão regulatória para resolver problemas de segurança

Leituras relacionadas

6 comentários

 
monotyp3 2026-03-20

Se é para restringir, eu até gostaria que apertassem mais, de um jeito que não desse para alternar no próprio celular e só pudesse ser ativado via adb
Pessoalmente, nesse nível ainda acho aceitável
 
unsure4000 2026-03-20

> Todo esse fluxo é entregue por meio do Google Play Services, e não do Android OS, o que significa que o Google pode modificá-lo, restringi-lo ou removê-lo a qualquer momento sem uma atualização do sistema operacional e sem qualquer consentimento do usuário. O fluxo avançado ainda não apareceu em nenhuma versão beta, prévia de desenvolvedor ou canary do Android. Até a data desta atualização, ele existe apenas como uma postagem de blog e mockups de interface. Está sendo pedido à comunidade que aceite um anúncio de produto como uma proteção funcional cinco meses antes de a exigência entrar em vigor.
> - https://keepandroidopen.org
 
unsure4000 2026-03-20

Não quero esse tipo de conversa fiada de “é só esperar 24 horas”. Não gosto dessa tentativa de inutilizar funções do aparelho quando fui eu que o comprei.
 
crawler 2026-03-20

No fim das contas, parece que os APKs não vão ser totalmente bloqueados, ainda bem mesmo.
 
lamanus 2026-03-20

E lá se vai mais dinheiro..
 
luiseok 2026-03-20

Agora parece que os padrões de ataques de phishing vão mudar para um método de armar a armadilha e esperar um pouco mais. Ainda assim, acho que é uma política que de fato vai tornar tudo muito mais seguro do que agora.