O logotipo da Google Play Store em um fundo roxo

Seus aplicativos esquecidos representam um risco de segurança maior do que você imagina – e o Google está prestes a provar isso

Por

Percorra sua gaveta de aplicativos e provavelmente encontrará vários aplicativos que esqueceu que instalou.

Um aplicativo de controle remoto para um gadget que você não possui mais. Algum utilitário aleatório que você baixou para um problema específico e nunca mais abriu.

O problema é que quando os desenvolvedores abandonam esses aplicativos ou o Google os remove da Play Store, eles ainda podem ficar no seu telefone e você não tem ideia.

Em breve, o Google poderá avisar os usuários quando os aplicativos esquecidos em seus telefones não forem mais bem-vindos na Play Store.

As desmontagens do APK mostram recursos de trabalho em andamento. O recurso pode mudar, ser atrasado ou nunca ser implementado.

Uma desmontagem da Play Store aponta para um alerta de segurança útil

A Play Store pode revisitar instalações antigas

Uma análise do APK da versão 51.4.19 da Google Play Store pela Android Authority encontrou um código de trabalho em andamento mostrando que a empresa está se preparando para avisar os usuários quando um aplicativo instalado for retirado. A notificação diz:

%1$s foi removido do Google Play e não receberá mais atualizações

%1$s e %2$d outros aplicativos foram removidos do Google Play e não receberão mais atualizações

%1$s e %2$s foram removidos do Google Play e não receberão mais atualizações

O Play Protect resolve apenas parte do problema

Nem todo problema é malware

Ilustração de alguns escudos com o logotipo do Google, cadeado, senha e ícones de configurações
Crédito: Lucas Gouveia/Polícia Android

O Google Play Protect já verifica seu dispositivo e bloqueia aplicativos considerados de alto risco. Se algo for pego roubando credenciais ou mentindo sobre o que faz, você receberá uma notificação push agressiva.

Mas o Play Protect foi projetado para aplicativos prejudiciais e casos de risco. Na verdade, ele não foi desenvolvido para informar aos usuários quando um aplicativo antigo instalado foi removido da lista ou deixado para trás sem atualizações.

Se um desenvolvedor retirar seu aplicativo porque não pode mais pagar as contas do servidor, ou se o Google remover um aplicativo porque o desenvolvedor não atualizou uma política de privacidade, você estará em um ponto cego.

A negligência de aplicativos pode se tornar um problema de segurança

O código antigo não envelhece normalmente

Um mascote do Android na tela de um smartphone, cercado por um ícone de escudo de segurança azul e um símbolo de chave flutuante, com um gráfico de alternância de permissão desfocado no fundo
Crédito: Lucas Gouveia/Android Police

Mesmo aplicativos abandonados não maliciosos são um problema. O Android continua evoluindo com novos modelos de permissão e regras de privacidade, e códigos antigos apodrecem. O que antes era inofensivo pode se tornar uma porta aberta para seus dados.

Cybersecurity by Black Duck publicou um comunicado sobre três aplicativos remotos de mouse e teclado para Android com um total de dois milhões de instalações na Play Store. Eles encontraram vulnerabilidades críticas de execução remota de código em todos os três.

Os aplicativos foram abandonados, mas qualquer pessoa que já os tivesse instalado carregava consigo uma responsabilidade não corrigida, sem ter ideia de que algo estava errado.

Uma notificação direta da Play Store teria dado a essas pessoas o incentivo para excluir os aplicativos.

A maior questão é o que acontece fora da Play Store

Usuários avançados estão por conta própria

Um close de um prompt para instalar a loja da Epic Games via sideload em um Pixel 9 Pro.

Há um ponto de interrogação em torno do novo sistema de alerta do Google. Como ele lidará com aplicativos transferidos por sideload instalados de fora do ecossistema do Google?

Como esse recurso ainda está no código de pré-lançamento, teremos que esperar para ver se ele será estritamente limitado ao banco de dados da Play Store.

Por um lado, o recurso está sendo integrado ao aplicativo Play Store, sugerindo que ele poderá monitorar apenas pacotes retirados de seu próprio catálogo oficial.

Por outro lado, o Google Play Protect já verifica aplicativos transferidos por sideload em busca de malware conhecido e riscos de segurança e possui um mecanismo que analisa APKs de terceiros em seu dispositivo.

Até que o recurso seja lançado, não teremos certeza. Para o consumidor médio, uma restrição apenas à Play Store não seria um problema.

Mas para usuários avançados que confiam na natureza aberta do Android, significa ficar atento para ver se a nova rede de segurança do Google se estende a todos os aplicativos.

Google Play

Relacionado

Google facilitará avisos de sideload com opção de pausar o Play Protect

O Play Protect é ativado automaticamente no dia seguinte

Não espere que o Google limpe seu telefone

Tirar o fardo da descoberta do usuário é uma grande vitória. Você não deveria ter que ler blogs de segurança para saber que seu scanner de PDF de 2020 está morto.

Mas este sistema de alerta é atualmente uma série de códigos enterrados em uma desmontagem da Play Store. Pode levar meses até que o recurso chegue ao seu telefone.

Você não precisa esperar que o Google dê um tapinha no seu ombro para começar a limpar seu dispositivo. Abra sua gaveta de aplicativos, questione os aplicativos que você esqueceu e desinstale tudo o que você não usa ou não reconhece mais.

Também é uma boa desculpa para verificar as permissões do seu aplicativo. Nem todos os aplicativos do seu telefone precisam de acesso à sua localização, contatos, arquivos, microfone ou câmera.

Fuente