Verificação de Desenvolvedores Android: Ameaça disfarçada de proteção
Pode parecer alarmante, mas a realidade é que, se você usa um dispositivo Android 8 ou superior, um "vírus" silencioso foi instalado nele e aguarda ativação remota. Não é uma obra de hackers obscuros, mas sim da própria Google. Estima-se que até 4 bilhões de handsets e tablets Android já estejam contaminados, significando que, potencialmente, metade da humanidade está sob risco dessa ameaça.
Este "vírus" se disfarça como um processo inofensivo chamado "Android Developer Verifier" (ADV). Ele roda sorrateiramente em segundo plano como um serviço de sistema com privilégios de root completos, intocável, inabilitável e inremovível. E, ao contrário do malware comum, o Play Protect – o serviço de varredura e remediação de malware da Google – não só não o detecta, como é o próprio vetor pelo qual ele é transmitido e instalado. O objetivo? Bloquear a execução de software de desenvolvedores que não foram aprovados centralmente pela Google.
Ameaça Disfarçada de Proteção
A Google racionaliza o programa Android Developer Verification como uma solução para conter a disseminação de malware. No entanto, o ADV não oferece nenhuma capacidade para prevenir que um ator mal-intencionado distribua malware em primeiro lugar. O único benefício alegado é que ele pode atrasar as ações de um reincidente já identificado, exigindo que ele crie (ou compre) outra conta para continuar distribuindo seu malware com uma nova chave de assinatura.
Para este vetor de ameaça bastante estreito de reincidência de malware, soluções consideravelmente menos drásticas foram propostas. O próprio Play Protect poderia ser aprimorado para examinar mais de perto os aplicativos recém-instalados com permissões elevadas ou obtidos por canais suspeitos, aproveitando os avanços recentes em recursos de segurança no dispositivo. Ou um sistema de verificadores federados poderia ser implementado, onde os usuários finais escolheriam seus próprios curadores e autoridades confiáveis para aprovação prévia. Em vez disso, a Google usou este vetor menor como pretexto para redesenhar radicalmente todo o ecossistema Android por decreto, derrubando uma tradição de 18 anos de desenvolvimento de software aberto e posicionando-se como a única guardiã global de quais aplicativos têm permissão para existir.
A Armadilha dos Termos de Serviço
Caso um desenvolvedor opte por se registrar junto à Google como um desenvolvedor "verificado", ele deve esperar se inscrever para uma conta, pagar uma taxa, fornecer informações pessoais detalhadas, fazer upload de identificação emitida pelo governo e, em seguida, registrar os identificadores e chaves de assinatura para todos os aplicativos que pretende distribuir (agora ou futuramente).
Mas o estágio mais diabólico é o acordo compulsório com os Termos de Serviço do Android Developer Console (ADC). Há inúmeros motivos de preocupação neste documento, mas o mais inquietante de todos deve ser a cláusula 6.5: "Se Você violar qualquer um dos Termos ou se Você distribuir malware ou outros aplicativos prejudiciais, a Google poderá encerrar Seu acesso ao ADC…"
Essa cláusula, que soa razoável, levanta a questão: o que exatamente significa "malware"? Nenhuma definição do termo pode ser encontrada em qualquer parte do documento. Na ausência de qualquer definição formal, padrão ou diretriz, ela implicitamente afirma: "...e 'malware' significa o que nós dissermos que significa."
Como já discutimos em outros contextos, é perigoso permitir que a terminologia de um debate seja definida por aqueles que não têm seus melhores interesses em mente. "Malware" ser sinônimo de "software de que não gostamos" significa que a Google pode ditar unilateralmente – seja por incentivos comerciais ou por ser compelida por um governo suficientemente poderoso – qual será a definição de "malware-do-dia".
Como precedente, o filtro de conteúdo pessoal na forma de "ad blockers" há muito tempo foi banido da Play Store, e até classificaram algumas instâncias como malware. Quanto tempo levará para designarem todo software de bloqueio de anúncios como malware, bloquear a instalação em todos os dispositivos Android certificados em todo o mundo e designar permanentemente todos os desenvolvedores dessa classe de software como criadores de malware? Tal medida estaria certamente alinhada com seus incentivos comerciais como monopolista global de ad-tech, e estaria completamente de acordo com a linguagem de seus Termos e Condições do ADC.
Por Que Isso Importa
Apesar das alegações da Google de que "mais de 99% dos aplicativos [de desenvolvedores da Play Store] foram registrados" – uma estatística enganosa, pois a maioria foi automaticamente incluída sem consentimento informado devido a acordos existentes – a oposição a este programa é esmagadora. Centenas de milhares de pessoas assinaram petições, e uma Carta Aberta foi assinada por mais de 70 organizações em todo o mundo, incluindo a EFF, FSF e ACLU.
O Android Developer Verification não é uma proteção, mas uma ameaça à abertura que definiu o Android por anos. É uma tentativa de centralizar o controle sobre o que pode e não pode ser executado em bilhões de dispositivos, transformando um ecossistema vibrante e aberto em um jardim murado onde a Google é a única jardineira. Para desenvolvedores, isso significa menos liberdade, mais burocracia e o risco constante de ter seu trabalho arbitrariamente classificado como "malware" por uma entidade com interesses comerciais conflitantes. É crucial que a comunidade de desenvolvedores e usuários esteja ciente e resista a essa mudança fundamental na natureza do Android.