Verificação de desenvolvedores Android: expansão começa a valer para todos os desenvolvedores

 (android-developers.googleblog.com)
4 pontos por GN⁺ 29 일 전 | 1 comentários | Compartilhar no WhatsApp
  • O Google está ampliando o programa de verificação de desenvolvedores Android para todos os desenvolvedores, reforçando ao mesmo tempo a abertura e a segurança da plataforma
  • Como a taxa de malware em apps instalados por sideload é 90 vezes maior do que no Google Play, foi introduzido um processo adicional de verificação para bloquear agentes maliciosos anônimos
  • A verificação pode ser feita no Play Console ou no Android Developer Console e deve ser concluída antes das mudanças do lado do usuário previstas para o fim deste ano
  • A partir de setembro de 2026, a medida será aplicada primeiro no Brasil, Indonésia, Singapura e Tailândia, com expansão global prevista para 2027
  • Esta medida é uma etapa central de reforço de segurança no ecossistema Android para conter a disseminação de malware e garantir a confiança dos usuários

Visão geral do programa de verificação de desenvolvedores Android

  • Para reforçar ao mesmo tempo a abertura e a segurança da plataforma Android, o Google está expandindo o programa de Verificação de Desenvolvedores Android (Developer Verification) para todos os desenvolvedores
  • Segundo análises do Google, a taxa de malware em apps distribuídos por sideload é 90 vezes maior do que no Google Play; por isso, foi introduzido um processo de verificação como camada adicional de segurança para bloquear agentes maliciosos anônimos
  • Após meses colaborando com a comunidade, o design foi aprimorado e ajustado para manter o equilíbrio entre abertura e segurança, considerando as diferentes formas de uso do Android

Início do processo de verificação

  • Todos os desenvolvedores podem iniciar a verificação pelo Android Developer Console ou pelo Play Console
    • Se o app for distribuído fora do Google Play, é possível criar uma conta no Android Developer Console
    • Se você usa o Google Play, pode verificar o status da verificação na sua conta do Play Console; se ela já tiver sido concluída, nenhuma ação adicional será necessária
  • Como as mudanças do lado do usuário começam no fim deste ano, a verificação e o registro do app precisam ser concluídos antes disso

Mudanças na experiência de download do usuário

  • As ferramentas de verificação serão disponibilizadas imediatamente, mas a experiência de download do usuário só mudará após setembro de 2026
  • Os recursos de proteção ao usuário serão aplicados primeiro no Brasil, Indonésia, Singapura e Tailândia, com expansão global em 2027
  • A maioria dos usuários poderá continuar instalando apps como hoje; somente a instalação de apps não registrados exigirá ADB ou o fluxo avançado de instalação (advanced flow)
  • Com isso, o sistema mantém flexibilidade para usuários experientes e reforça a proteção para usuários comuns

Melhorias com base no feedback de desenvolvedores

  • A experiência para desenvolvedores foi simplificada e integrada aos fluxos de trabalho existentes para tornar o processo de verificação mais eficiente

  • Desenvolvedores no Android Studio

    • Nos próximos 2 meses, será possível verificar diretamente no Android Studio o status de registro ao gerar um App Bundle ou APK assinado

  • Desenvolvedores no Play Console

    • Se a verificação já tiver sido concluída no Play Console, os apps do Play serão registrados automaticamente
    • Quando o registro automático não for possível, será necessário seguir o processo manual de registro de app, com orientações detalhadas fornecidas no console e por e-mail
    • Também será possível registrar no Play Console apps distribuídos fora do Play

  • Estudantes e desenvolvedores hobbyistas

    • Haverá uma conta de distribuição limitada (limited distribution account), gratuita e utilizável sem documento oficial de identidade
    • Será possível compartilhar apps com até 20 dispositivos, começando apenas com uma conta de e-mail
    • A partir de junho de 2026, serão enviados convites de early access

  • Usuários avançados (power users)

    • Será mantida a opção de instalar apps não registrados por meio de ADB ou do novo advanced flow
    • Isso permite conciliar segurança com liberdade de instalação

Próximas etapas

  • O Google está introduzindo o programa gradualmente em colaboração com desenvolvedores, usuários e parceiros
  • Abril de 2026: o serviço de sistema Android Developer Verifier aparecerá nas configurações do sistema do Google
  • Junho de 2026: início do early access para a conta de distribuição limitada voltada a estudantes e desenvolvedores hobbyistas
  • Agosto de 2026: lançamento global da conta de distribuição limitada e do advanced flow
  • 30 de setembro de 2026: no Brasil, Indonésia, Singapura e Tailândia, somente desenvolvedores verificados poderão instalar e atualizar apps; apps não registrados só poderão ser instalados via ADB ou advanced flow
  • A partir de 2027: expansão global dos requisitos de verificação

Conclusão

  • O Google afirma ter como objetivo manter um “ecossistema Android aberto e seguro”
  • Os desenvolvedores podem iniciar imediatamente o processo de verificação por meio dos developer guides
  • Esta medida é uma etapa central do reforço de segurança no Android para conter a disseminação de malware e garantir a confiança dos usuários

Leituras relacionadas

1 comentários

 
GN⁺ 29 일 전
Comentários do Hacker News

  • O processo de verificação de desenvolvedor do Android foi uma experiência completamente quebrada
    Tentei criar uma conta de desenvolvedor empresarial, validei o perfil de pagamento da empresa com um número DUNS, confirmei minha identidade com passaporte e extrato bancário, e depois ainda me pediram de novo verificação de identidade com documentos da empresa
    Também validei o e-mail várias vezes, mas a mensagem “verificação adicional necessária” continuava aparecendo
    Cada etapa levava vários dias, e se falhasse era preciso recomeçar do zero, então foi um processo lento e doloroso demais
    Isso me fez lembrar por que eu não uso Android. Dá a sensação de que ninguém é responsável pelo processo inteiro

    • Foi parecido quando publiquei um app Android há 10 anos. Na comunidade de desenvolvedores sempre havia o alerta: não publique apps com sua conta Google real. O motivo é que a conta inteira pode ser suspensa por um bot com justificativas vagas
      O Google parece ter uma postura de quem odeia desenvolvedores. Especialmente agora, com a geração mais jovem usando majoritariamente iPhone, isso é uma péssima estratégia
    • A experiência com o Google Play é realmente horrível
      Recentemente tive que reenviar um app que foi rejeitado por ter sido classificado erroneamente como app de apostas, e também me exigiram enviar uma nova versão de um app que estava sem problemas havia anos, sem qualquer motivo
      A equipe de suporte e o processo de recurso foram completamente inúteis. Toda vez parece que não há nenhuma intervenção humana
    • Como Apple Developer, tive quase a mesma experiência
      Cobraram antes mesmo de a verificação terminar, e a IA não conseguiu associar meu rosto ao meu documento, então também se recusaram a reembolsar
      Esses sistemas de verificação baseados em IA são um verdadeiro inferno
    • Não entendo por que pedem passaporte se é uma conta empresarial
      Fico curioso para saber se houve algum motivo para pagar com cartão pessoal
    • Cada etapa parece lógica isoladamente, mas no conjunto há agentes demais envolvidos. Acho que foi isso que transformou o sistema em uma bagunça

  • O Google alegou que encontrou 90 vezes mais malware em apps por sideloading, mas na prática já vi telefones de idosos cheios de apps de propaganda baixados do Google Play

    • Concordo totalmente. O Google está mudando a definição de “malware” conforme a própria conveniência
      Classifica como normais apps carregados de anúncios e rastreamento, focando apenas em proteger o valor para os acionistas
      É completamente diferente do conceito de malware definido por Wikipedia, IBM, Cisco, Kaspersky e outros
    • As duas coisas podem ser verdade ao mesmo tempo. Apps por sideloading podem ter maior chance de serem perigosos, mas a maior parte dos apps lixo realmente instalados pode ter vindo do Google Play
    • O pior é que boa parte dos anúncios que levam a esses apps estão dentro do app do YouTube
    • Não há absolutamente nenhuma fonte nem validação para essa análise do “90 vezes mais”. Um anúncio do tipo “nós investigamos, então acredite” não é confiável
    • Eu também fiz uma análise e cheguei à conclusão de que o Google é 90 vezes mais picareta que outras empresas (claro, sem nenhuma base)

  • Que porcentagem dos usuários do Android realmente quer esse tipo de política?
    Eu uso Android desde 2010, mas detesto ver a plataforma indo numa direção cada vez mais fechada
    Agora estou realmente fazendo planos para migrar para um celular Linux de verdade

    • Eu também migrei para o Android por causa da liberdade de sideloading
    • Mas, na prática, usuários avançados são quase 0% dos usuários de Android
    • Se a Apple anunciasse que vai permitir instalar APKs, haveria gente defendendo que “a Apple precisa controlar isso”
      Também houve muita gente assim durante o processo Epic vs Apple e nas discussões sobre o Digital Markets Act
    • Entendo o problema dos apps maliciosos na Play Store, mas isso é separado da questão da verificação de desenvolvedores
    • O motivo de o Google reforçar essa verificação é impedir que bots de IA publiquem apps de spam
      Se houver ligação entre identidade e app, fica mais fácil agir judicialmente

  • No momento em que vi a frase “Android é uma plataforma aberta para todos”, percebi imediatamente que o que vinha a seguir seria desfavorável ao usuário
    Um software que verifica apps instalados por sideloading é uma ideia antiusuário

    • Eu fico inseguro sempre que preciso instalar algo fora do F-Droid
      Em apps da Play Store, não dá para saber o que estão fazendo em segundo plano
    • A própria expressão “apps por sideloading” é um termo estigmatizante para apps que Google e Apple querem controlar
      No fim das contas, talvez reste procurar uma distribuição diferente do Android
    • É como quando o RH diz “vamos conversar rapidinho”: você já sente que algo ruim vai acontecer
    • O próximo passo talvez seja enviar uma amostra biométrica

  • Deve ter havido alguma conversa interna do tipo: “o que fazemos se 40M de pessoas estiverem usando YouTube Premium crackeado?”

    • Exato. Os países onde essa política está sendo aplicada provavelmente são regiões com muito YouTube Premium crackeado
      Clonagem de APK e pirataria de apps já estão amplamente popularizadas
    • Eu também pago YouTube Premium, mas uso um app alternativo. O app oficial frequentemente para de reproduzir em segundo plano
      Dá a sensação de que a tecnologia está até regredindo
    • NewPipe não é um app crackeado. É uma alternativa open source
    • O Google já poderia classificar esses apps como malware
      Esse novo sistema de verificação é apenas um mecanismo para detecção de apps polimórficos

  • Parece muito estranho entregar um documento de identidade emitido pelo governo a uma empresa
    Especialmente na Europa, onde ensinam “não envie seu documento governamental para ninguém”, e agora isso passou a ser exigido como algo normal para usar serviços
    Também é questionável por que exigem identidade pessoal quando a conta é da empresa, não de um indivíduo
    Se a relação entre desenvolvedor e empresa se romper ou surgir algum problema jurídico, a responsabilidade pode ficar nebulosa
    No caso de freelancers ou desenvolvimento terceirizado, também não fica claro quem exatamente deveria ser o sujeito da verificação

  • Se o Google vai assumir a verificação de desenvolvedores, fica a dúvida se ele não deveria assumir responsabilidade também
    Se um usuário cair num app fraudulento, será que poderia processar o Google?

    • Já passou da hora de considerar aplicar leis antitruste ao Google
    • Mas a realidade é sempre a mesma: “a responsabilidade só desce para baixo”

  • Segundo uma matéria do 9to5Google,
    a partir de abril o Android Developer Verifier será instalado como app de sistema e verificará nos servidores do Google se apps instalados por sideloading foram autenticados com documento de identidade do desenvolvedor

    • Quando li isso, pensei imediatamente que era hora de migrar para o GrapheneOS
      Só é uma pena que a maioria das pessoas não consiga fazer isso
      Fico curioso sobre como esse app de sistema funcionará dentro do sandbox do Google Play no GrapheneOS
    • Antigamente havia uma sátira dizendo que “até para usar depurador seria preciso licença”, e agora parece que isso virou um manual real

  • Troquei recentemente para /e/OS por causa das políticas fechadas do Google
    No começo foi incômodo, mas agora estou satisfeito por usar um software feito para o usuário, e não para anúncios
    Foi como respirar ar fresco depois de eu ter virado, aos poucos, um sapo na água fervendo dentro do Android

  • Uso mais de cinco apps Android open source fora da Play Store, e com uma política dessas isso vai ficar complicado daqui para frente
    Fico me perguntando se comprar um celular Motorola com GrapheneOS pré-instalado evitaria essas restrições

    • O plano atual é que a Motorola não pré-instale diretamente o GrapheneOS, mas ofereça suporte para instalação manual em alguns modelos flagship
    • O GrapheneOS ainda permite instalar APKs