O Android 15 pode tornar ainda mais difícil para aplicativos transferidos obterem permissões confidenciais

Embora a maioria dos usuários do Android baixe aplicativos de lojas de aplicativos pré-carregadas como o Google Play, alguns usuários obtêm seus aplicativos de fontes on-line alternativas, uma prática chamada sideload. Isso é possível porque o Android permite que os usuários instalem aplicativos de terceiros sem a Google Play Store, desde que tenham os arquivos de instalação de aplicativos necessários. A capacidade de carregar aplicativos livremente é uma grande parte do que torna o Android uma plataforma mais aberta que o iOS. Infelizmente, é também a razão pela qual as pessoas acreditam erroneamente que o Android é menos seguro que o iOS.

Isso ocorre porque, independentemente de onde você obtém os aplicativos, os recursos integrados de privacidade e segurança do Android garantem que eles não possam acessar permissões confidenciais sem o seu consentimento. No entanto, é verdade que o sideload de aplicativos de fontes on-line alternativas traz um pouco mais de risco para o usuário médio em comparação com o Google Play. Isso ocorre porque é simplesmente mais fácil para desenvolvedores mal-intencionados distribuírem aplicativos fora do Google Play, uma vez que eles não precisam lidar com as regulamentações, a burocracia e o escrutínio que a distribuição de aplicativos do Google Play exige.

Aplicativos Android maliciosos, independentemente de sua origem, geralmente tentam enganar os usuários para que lhes concedam acesso às APIs de acessibilidade e ouvinte de notificação devido ao seu poder. A API de acessibilidade permite que os aplicativos leiam o conteúdo da tela e também executem entradas em nome do usuário, enquanto a API Notification Listener permite que os aplicativos leiam ou executem ações em qualquer notificação. Essas APIs podem ser usadas para cometer fraudes publicitárias, roubar senhas de uso único (OTPs), instalar cargas adicionais e fazer muito, muito mais.

Embora o Google Play tenha algumas medidas (principalmente burocráticas) para garantir que essas APIs sejam usadas para os fins pretendidos, o próprio Android depende principalmente das declarações do próprio aplicativo para decidir quanto acesso conceder. Por exemplo, a partir do Android 13, o sistema operacional impede que os usuários habilitem facilmente os serviços de acessibilidade ou ouvinte de notificação de aplicativos que foram carregados de fora de uma loja de aplicativos. Se você, por exemplo, carregasse um aplicativo enviado a você por e-mail, o Android impediria que você ativasse o serviço de acessibilidade ou ouvinte de notificação desse aplicativo, pois eles estão marcados como “configurações restritas”.

Como o sistema operacional sabe quando os aplicativos são transferidos de fora de uma loja de aplicativos? Ele determina isso com base no fato de o aplicativo que fez a instalação usar ou não APIs de instalação baseadas em sessão do Android (que são comumente usadas, mas não exclusivamente, por lojas de aplicativos) versus APIs de instalação não baseadas em sessão do Android (que são comumente usadas por gerenciadores de arquivos , navegadores da web e outros aplicativos com suporte genérico para download de arquivos). O problema com essa abordagem é que qualquer aplicativo pode utilizar APIs de instalação baseadas em sessão do Android para fazer o sideload de outro aplicativo, o que significa que não há garantia de que uma loja de aplicativos legítima de terceiros seja realmente aquela que está fazendo o sideload. Infelizmente, desenvolvedores de aplicativos maliciosos reconheceram essa lacuna no recurso Configurações restritas do Android e já a exploraram para contornar esse recurso de segurança.

Felizmente, o Google está trabalhando para fechar essa lacuna óbvia no recurso Configurações restritas do Android. No Android 15, a empresa está se preparando para apresentar um novo recurso “Modo de confirmação aprimorado” que é basicamente uma versão mais restrita e aprimorada das configurações restritas. Embora o recurso Modo de confirmação aprimorado ainda não esteja habilitado na atualização mais recente do Android 15 Beta 1.1, analisei o código e expliquei como ele funcionará com alguns detalhes.

Para começar, o texto na caixa de diálogo Modo de confirmação aprimorado corresponde aproximadamente à caixa de diálogo Configurações restritas existente. Assim como nas configurações restritas, a caixa de diálogo do ECM dirá “para sua segurança, esta configuração não está disponível no momento” quando você tentar ativar o serviço de acessibilidade ou ouvinte de notificação de um aplicativo. No entanto, a caixa de diálogo irá expandir um pouco o raciocínio, acrescentando que “este aplicativo solicitou a permissão %1$s, que é uma configuração restrita porque pode colocar sua segurança e privacidade em risco. A restrição a esta permissão pode impedir o funcionamento deste aplicativo.” Fora isso, o resto da caixa de diálogo é o mesmo, até o título e os dois botões.

Uma diferença crucial entre o novo modo de confirmação aprimorado do Android 15 e o recurso Configurações restritas do Android 13 é como eles são aplicados. Em vez de diferenciar com base nas APIs de instalação usadas, o Modo de confirmação aprimorado no Android 15 verifica uma lista de permissões pré-carregada na imagem de fábrica. Esta lista de permissões é um arquivo XML localizado no /system/etc/sysconfig caminho do Android 15 e determina quais pacotes e instaladores estão isentos de quaisquer restrições.

Quaisquer pacotes explicitamente incluídos na lista de permissões no arquivo XML são considerados “pacotes confiáveis” e estão isentos de restrições de ECM. Da mesma forma, todos os instaladores listados no arquivo XML são considerados “instaladores confiáveis”, o que significa que os aplicativos que eles instalam são elegíveis para isenção das restrições de ECM. Um aplicativo instalado por um “instalador confiável” está isento das restrições de ECM se for marcado como proveniente de uma fonte de pacote “confiável” (ou seja, não estiver marcado como PACKAGE_SOURCE_DOWNLOADED_FILE ou PACKAGE_SOURCE_LOCAL_FILE).

Isso significa que os usuários serão forçados a ver a caixa de diálogo Modo de confirmação aprimorado se tentarem ativar o serviço de acessibilidade ou ouvinte de notificação de um aplicativo, desde que o aplicativo venha de um instalador não confiável ou de uma fonte não confiável. Isso fecharia efetivamente a brecha que existia no recurso Configurações restritas do Android 13, tornando mais difícil para aplicativos maliciosos de terceiros obterem permissões altamente privilegiadas.

Infelizmente, não tenho certeza se ainda será possível ativar o serviço de acessibilidade ou ouvinte de notificação de um aplicativo legítimo e transferido por sideload se ele for atingido por restrições de ECM. É possível desabilitar configurações restritas para um aplicativo, então também deveria ser possível com restrições de ECM, mas não posso dizer com certeza, pois ainda não consegui fazer o recurso funcionar no Android 15.

Também é importante notar que, atualmente, nenhum pacote e instalador são permitidos pelo sistema a partir do Android 15 Beta 1.1. Se o ECM estivesse ativado, isso significaria que todos os aplicativos estariam isentos das restrições do ECM, exceto aqueles marcados como provenientes de uma fonte não confiável. Como o ECM não está habilitado e não há instaladores ou pacotes permitidos, não tenho nenhuma informação sobre como o Google planeja usar esse recurso. O Google exigirá que a Play Store seja listada como instalador confiável em todos os dispositivos Android? Quais lojas de aplicativos de terceiros, se houver, serão permitidas pelo Google e pelos OEMs? Essas são perguntas para as quais não sei a resposta, mas, independentemente disso, estou feliz em ver o Google tomar medidas para melhorar a segurança no Android e estou ansioso para descobrir mais detalhes sobre o Modo de confirmação aprimorado no Android 15.