O Google Android Developer Verifier é a nova ferramenta que o gigante de Mountain View está preparando para mudar radicalmente como os usuários instalarm aplicativos fora da Play Store. Em uma decisão controversa anunciada na semana passada, o Google revelou seu plano de verificar a identidade de todos os desenvolvedores que distribuem aplicativos para Android, inclusive aqueles fora de sua loja oficial, a partir de 2026.
A empresa justifica a medida como necessária para combater atores maliciosos que distribuem malware sob o manto do anonimato. No entanto, esta nova exigência causou uma onda de preocupação na comunidade, com muitos temendo que o Android esteja se transformando em um jardim murado semelhante ao iOS, perdendo sua característica de abertura que sempre foi um de seus principais diferenciais.
Em resposta às críticas, Sameer Samat, presidente do ecossistema Android no Google, afirmou que “o sideloading é fundamental para o Android e não vai a lugar nenhum”. Segundo ele, as novas exigências não visam limitar escolhas, mas garantir que se você baixa um aplicativo de um desenvolvedor, independentemente de onde o obtém, ele seja realmente de quem diz ser.
Porém, muitos questionam se não existem motivações ocultas, como a possibilidade de impedir a emulação no Android ou dificultar o funcionamento de leitores eletrônicos baseados na plataforma.
O que pouca gente sabe é como exatamente o Google pretende implementar essas restrições nos dispositivos. E é aí que entram informações recentes sobre o Google Android Developer Verifier.
Um novo verificador no pedaço
Contrariando as expectativas, o Google não usará o Play Protect (serviço de segurança já existente) para implementar as novas regras. Em vez disso, a empresa está criando um serviço completamente novo chamado Android Developer Verifier. Este aplicativo será responsável por validar se um pacote de aplicativo está associado a um desenvolvedor verificado no novo Console de Desenvolvedor Android.
Diferentemente do Play Protect, que é parte integrante da Play Store e já está presente em todos os dispositivos certificados, o Android Developer Verifier será distribuído no futuro. O Google exigirá que seus parceiros fabricantes pré-instalem o aplicativo em novos dispositivos lançados com Android 16 QPR2 ou posterior.
Esta diferença aparentemente simples pode ter grandes implicações. Primeiro, significa que a aplicação das novas regras de verificação de desenvolvedor provavelmente será desvinculada do mecanismo de verificação de pacotes do sistema, que é gerenciado pelo Play Protect. Portanto, desativar o Play Protect provavelmente não desativará o Android Developer Verifier, assumindo que este último não oferecerá um mecanismo de desativação (o que é improvável).
A escolha de criar um aplicativo separado levanta mais perguntas do que respostas. Especialistas em segurança e desenvolvedores de plataforma sugerem algumas possíveis justificativas:
- Poderia ser uma questão organizacional, com a equipe de segurança da plataforma Android desenvolvendo-o em vez da equipe do GMS (Google Mobile Services)
- Do ponto de vista de segurança, desacoplá-lo do GMS reduz a superfície de ataque
- Ao separar do GMS, dispositivos sem os serviços Google também poderiam usar o serviço, caso o Google libere o código-fonte
No entanto, essas justificativas parecem fracas. O Google nunca demonstrou grande preocupação com a minúscula base de usuários de ROMs personalizadas, e os benefícios de segurança e arquitetura são superados pelas enormes desvantagens.
Usar o Play Protect facilitaria muito a implementação das novas exigências, já que o serviço já está em todos os dispositivos Android certificados. Em contraste, os fabricantes terão que lançar atualizações para incluir o Android Developer Verifier. Até agora, o Google só anunciou planos para exigir o aplicativo em novos dispositivos, sem mencionar qualquer exigência para dispositivos existentes.
Isto significa que, na prática, muitos dispositivos Android mais antigos poderão continuar instalando aplicativos sem verificação de desenvolvedor, criando uma fragmentação na política de segurança do ecossistema.
A decisão de criar um verificador separado do Play Protect também levanta questões sobre a estratégia a longo prazo do Google. Se a empresa realmente quisesse aplicar esta política de forma ampla e eficaz, por que deixar nas mãos dos fabricantes, conhecidos por suas atualizações lentas — ou inexistentes — para dispositivos mais antigos?
A brecha para usuários avançados
Felizmente, há uma luz no fim do túnel para os usuários mais técnicos. Em uma página de FAQ, o Google afirma que os usuários estarão “livres para instalar aplicativos sem verificação com ADB”. O ADB (Android Debug Bridge) é uma ferramenta de linha de comando usada por desenvolvedores para controlar seus dispositivos a partir de um PC.
Instalar aplicativos via ADB é relativamente simples: basta baixar o binário em um PC, baixar o arquivo APK de um aplicativo Android e executar um comando para enviar e instalar o aplicativo no dispositivo. Existem até ferramentas de código aberto para executar comandos ADB diretamente no dispositivo, o que deve tornar possível instalar aplicativos não verificados sem a necessidade de um computador.
Permitir a instalação via ADB reduziria o transtorno para desenvolvedores, que frequentemente precisam instalar aplicativos durante o desenvolvimento inicial. Também permitiria que usuários avançados continuassem com o sideloading, enquanto desestimularia a maioria dos usuários comuns — os alvos mais frequentes de golpistas e hackers.
No entanto, esta exceção pode ser temporária. As mudanças só entrarão em vigor daqui a pelo menos um ano, deixando bastante tempo para o Google mudar de ideia. Embora esperemos que o Google mantenha sua palavra e preserve a instalação via ADB, reconhecemos que a empresa pode eventualmente decidir restringir este método para evitar que golpistas o explorem.
O cenário que se desenha para o futuro do Android é de um sistema operacional que, embora continue tecnicamente aberto, terá barreiras progressivamente maiores para quem deseja fugir do ecossistema oficial do Google. A implementação do Google Android Developer Verifier parece ser mais um passo nessa direção, ainda que com uma pequena brecha para os mais persistentes.
Fonte: Android Authority
