Como usuários de smartphones e cidadãos da Internet em geral, estamos acostumados a ver manchetes nos contando como o aplicativo loja para nossos telefones tem um punhado de aplicativos com malware e que foram baixados alguns milhões vezes. Essas histórias vêm de empresas de segurança que gastam 100% de seu tempo procurando por esse tipo de coisa, e é ótimo que essas empresas estão por aí fazendo todo esse trabalho sujo - quanto mais olhos estiverem nas coisas que podemos instalar em nossos telefones, mais melhorar. Mas também é importante colocar tudo em perspectiva; não subestimar os riscos envolvidos ao baixar qualquer aplicativo para qualquer tipo de computador, mas para reforçá-lo e descobrir o que há de melhor nas coisas que fazemos.
E quando tudo estiver dito e feito, Google Play ainda é o melhor lugar para quase todos usarem quando desejam baixar um aplicativo. Claro, não é perfeito. Até o Google sabe disso. Mas quando se trata de minimizar os riscos envolvidos quando você compartilha algo com outra empresa ou indivíduo que deseja lucrar com seus dados, é sua melhor aposta.
O que é malware?
A primeira coisa que você precisa considerar é que a definição de malware varia. Para você e para mim (e empresas de segurança como Sophos ou Lookout), malware é qualquer aplicativo ou parte de um aplicativo que faz algo que achamos que não deveria fazer. Um jogo que coleta informações do seu catálogo de endereços ou um aplicativo que possui anúncios que rastreiam sua localização e histórico da Internet é uma porcaria e é um malware. Mas há outro fator na equação, que é pedir permissão.
Malware é aquela coisa que todos nós odiamos falar, mas precisamos fazer isso de qualquer maneira.
As permissões do Android permitem que um aplicativo faça coisas realmente ruins e não seja classificado como malware por um scanner automatizado ou pelo próprio Google. E isso é péssimo. Mas também é perfeitamente aceitável em outro nível porque todas as regras estão sendo seguidas. É por isso que o Google muda regularmente essas regras e torna coisas como sobreposições de tela proibidas. Quando seu aplicativo de escurecimento de tela favorito ou aquela barra lateral no seu telefone Galaxy S edge muda como ele funciona e você não gosta disso, culpe os desenvolvedores de merda que usaram uma sobreposição para induzir as pessoas a clicar coisas. E há muitos desses.
Malware real é um aplicativo que faz algo que você não dê permissão para fazer. Eles existem e, às vezes, podem acabar no Google Play. Mas eles não duram muito e o Google tem verificações secundárias que os impedem de serem instalados em seu telefone, mesmo que estejam hospedados na Play Store e você os tenha baixado. Mesmo que um aplicativo faça algo complicado para que você adicione algo de uma fonte diferente por meio de um download, o Google Play Protect verifica todos os seus aplicativos regularmente e os encontra, desde que você os tenha habilitado. E você deve habilitá-lo totalmente.
Malware no Google Play
Como mencionado acima, isso acontece. Você verá uma manchete em todos os lugares quando isso acontecer (o que é bom) para informar que o malware foi encontrado em seu loja de aplicativos. Você também verá quantos milhões de vezes ele foi baixado, e ver que 5 milhões de pessoas baixaram um aplicativo que pode explorar o software do telefone e enviar dados de volta para algum servidor é assustador. Mas, novamente, alguma perspectiva está em ordem; O Google diz que existem mais de 2 bilhões de dispositivos Android ativos usando o Google Play todos os meses. 5 milhões de pessoas são 0,25% delas, o que significa que 99,75% dos usuários do Android não foram expostos.
Qualquer malware em uma loja de aplicativos é muito malware para o nosso gosto. O do Google também.
Esse 0,25% é ainda muito alto. O Google concorda e tem o grande objetivo de zero instâncias de malware em sua loja. Eles também sabem que isso não vai acontecer, mas ainda miram alto. E deveriam, porque estão pedindo nossa confiança. A confiança nunca deve ser dada livremente e também deve ser rapidamente revogada quando necessário. Lembre-se de que o Google é uma grande empresa e as pessoas que desejam fazer tudo o que podem para coletar seus dados não são as mesmas que desejam fazer tudo o que podem para proteger seus dados. Felizmente, o Google abrange ambos os departamentos.
A maior parte do "malware" encontrado no Google Play é outro tipo de malware. Aplicativos que seguem as regras, mas dependem de você não ler as permissões do aplicativo (ou nem saber sobre eles) e instalar suas porcarias de qualquer maneira. Este é um problema maior porque não há solução fácil.
Uma loja de aplicativos aberta
Queremos e adotamos uma loja de aplicativos "aberta". Isso significa que qualquer pessoa pode gastar apenas US$ 5, registrar-se no Google Play e fazer upload de um aplicativo para você e eu baixarmos. Vimos alguns aplicativos incríveis de pessoas que podem não ter recursos para escrever aplicativos para iOS por causa das taxas e equipamento necessário (você precisa de um computador Mac moderno para escrever aplicativos iOS) e o Google Play não tem o mesmo restrições. Mas com o bom, sempre há o ruim.
O Google Play coloca parte da responsabilidade sobre você quando se trata de permissões de aplicativos. Leia-os.
O outro lado de uma loja de aplicativos aberta não é tão bonito. Qualquer pessoa com um Iphone posso dizer que todos os aplicativos na App Store têm o mesmo nível de atenção à interface do usuário, e a Apple examina cada envio para garantir que ele atenda aos padrões de experiência do usuário e quais dados o aplicativo pode coletar e o que ele pode fazer com isso. Isso causa alguma dor de cabeça para os desenvolvedores, mas hipérbole à parte, faz beneficiar os usuários. Isso é você e eu.
O Google não usa os mesmos métodos de envio. Em vez disso, ele lista quais são os recursos do Android, como um desenvolvedor pode usá-los por meio de APIs expostas e força o aplicativo a pedir permissão para fazer isso. Isso coloca o ônus em você e em mim quando se trata de permitir que aplicativos que não são tecnicamente malware vivam em nossos telefones. Isso é bom e ruim; devemos ser capazes de instalar qualquer coisa que quisermos, já que pagamos pelo dispositivo, mas a maioria das pessoas nem conhece ou entende as permissões do aplicativo, muito menos as lê.
O que significam essas permissões de aplicativos assustadoras
O Google fez um bom trabalho ao liberar as permissões do processo de instalação e, desde o Android 6.0, você pode acessar suas configurações e revogar algumas ou todas as permissões de um aplicativo. Mas isso ainda não é bom o suficiente porque realmente precisamos saber o que as permissões realmente implicam e por que um aplicativo teria uma necessidade legítima dele. Devemos ter a maior parte da responsabilidade quando se trata de quais aplicativos instalamos em nossos telefones e o que esses aplicativos podem fazer. Mas também devemos estar devidamente informados sobre tudo isso. Neste momento, as informações disponíveis precisam de algum conhecimento técnico para percorrer e isso não é bom o suficiente para um produto voltado para o consumidor em geral.
Outras lojas de aplicativos
Existem outras lojas de aplicativos e não estamos tentando dizer que não são seguras de usar. Samsung, LG, Amazonas e outros nomes que todos conhecem têm seu próprio mercado para aplicativos Android. Outro serviço popular é F-Droid, que hospeda software 100% gratuito (o tipo de gratuito que significa que você pode obter o código-fonte e construí-lo você mesmo) para dispositivos Android. Geralmente, você pode confiar que os aplicativos obtidos em qualquer uma dessas lojas serão seguros de usar. Aplicativos de varredura da Amazon e F-Droid que são carregados e Google Play Protect também os verificam regularmente, mas há outras coisas a considerar.
Você sabe que a Samsung ou o F-Droid oferecem aplicativos seguros porque está lendo um blog do Android; nem todo mundo lê blogs Android.
Empresas como Samsung ou Amazon também estão no negócio de dados e têm suas próprias políticas quando se trata do que pode ser coletado, como pode ser coletado e com quem pode ser compartilhado. O F-Droid exige que você desative um recurso de segurança conhecido e permita aplicativos de "fontes desconhecidas" no seu telefone para instalar aplicativos. Nenhuma dessas situações é ruim, mas sobrecarrega o usuário.
Eu usei todas as lojas mencionadas acima e gosto muito do F-Droid em particular porque apela ao meu amor por Software gratuito e de código aberto. Muitas pessoas lendo isso terão feito o mesmo. Mas se você está online lendo um blog do Android, você não é aquele "consumidor médio" para o qual o Android e os telefones que o executam foram projetados. Muitas pessoas com um telefone Android não são tecnicamente inclinadas, e mesmo aquelas que são podem não ser interessado em alterar as configurações de segurança ou selecionar outro EULA para usar um aplicativo diferente loja. Estamos aqui para ajudar a informar qualquer pessoa, mas nosso alcance é extremamente limitado quando você volta para aquele número de 2 bilhões de usuários mensais.
O Google Play funciona para todos
Não estamos torcendo aqui, mas o Google Play continua sendo o melhor lugar para qualquer pessoa obter aplicativos para seu telefone. O Google tem interesse na plataforma Android e sabe que a loja de aplicativos é a razão pela qual possui 2 bilhões de usuários. Ele gasta muito dinheiro e tempo para torná-lo o mais seguro possível ou, pelo menos, tentar fazê-lo.
Queremos que o Google trabalhe duro para tornar a Play Store ainda melhor para usuários e desenvolvedores.
Tem muito espaço para melhorias, no entanto. Volte para as duas definições diferentes de malware e como a maioria acaba instalada no telefone de alguém (incluindo o seu e o meu). As políticas atuais do Google permitem que coisas como coleta de dados desnecessária ou injeção de anúncios incompletos aconteçam porque os usuários não conhecem ou não entendem as regras. Os infratores conhecem as regras e são muito bons em contorná-las para que possam lucrar com nossos dados. Dependem de consumidores desinformados que fazem escolhas ilógicas na hora de instalar apps, e isso precisa acabar, finalmente.
Apesar de tudo, o Google Play ainda é sua melhor aposta para uma grande variedade de aplicativos seguros. A pequena porcentagem que se enquadra em qualquer uma das definições de malware é algo que precisa ser abordado, mas são poucos e distantes entre si e podem muito bem estar em outras lojas de aplicativos também. "Usuários avançados", por falta de um termo melhor, podem se beneficiar de outros mercados abertos como o F-Droid, mas em geral recomendação que todos nós aqui no Android Central indicaríamos a qualquer pessoa para o Google Play e acreditamos que é o caminho certo decisão.