A maioria de nós baixa um aplicativo do Google Play ou da iOS App Store sem pensar duas vezes, confiante de que as corporações gigantes por trás das lojas estão nos mantendo a salvo de danos digitais. Se você possui um telefone Huawei recente, deve confiar no AppGallery para as necessidades do seu aplicativo e, quando um aplicativo não estiver disponível, ele indica a instalação de um arquivo APK de uma fonte não oficial.
Mas esses arquivos são igualmente seguros e o que a Huawei está fazendo para garantir que você não esteja correndo risco de malware, vírus e roubo de dados? A Digital Trends conversou com o Dr. Jaime Gonzalo, vice-presidente da Huawei Mobile Services Europe, e Fernando Garcia Calvo, diretor da Huawei Petal Search Europe, para descobrir.
O que é um APK?
Antes de prosseguirmos, vamos falar sobre arquivos APK. APK significa “Android Package Kit” e é o formato de arquivo usado para instalar aplicativos no Android. Pense nisso como um arquivo .exe para Windows ou um arquivo .dmg para MacOS. Normalmente, pelo menos se você usa o Google Play, nunca terá que lidar com um arquivo APK.
No entanto, qualquer pessoa que possua um telefone Android pode baixar e instalar aplicativos usando arquivos APK, uma prática geralmente chamada de “sideloading”. Esses arquivos geralmente são distribuídos por meio de repositórios de terceiros, embora algumas empresas também permitam baixar arquivos APK oficiais diretamente. A Huawei perdeu o acesso à Google Play Store em 2019 e, desde então, usou seu aplicativo Petal Search para empurrar os proprietários para arquivos APK para obter os aplicativos que faltam em sua própria loja.
Por ser simplesmente um formato de arquivo, não há problemas legais com o download e a instalação de APKs. Mas isso não perdoa violações de direitos autorais ou quebra dos termos e condições do aplicativo contidos no arquivo APK.
OK – mas é seguro?
Devido à maneira como os arquivos APK são distribuídos e instalados em um telefone, há uma chance um pouco maior de o aplicativo ser um risco de segurança do que quando você usa uma loja oficial. Na maioria dos telefones Android, o sideload de um aplicativo ignora as proteções oferecidas pelo Google Play, e é possível que um APK tenha sido modificado para incluir malware antes da instalação em seu telefone.
Isso coloca qualquer pessoa com um telefone Huawei recente em uma posição difícil. Por quê? O Petal Search da Huawei levará você aos repositórios APK quando você procurar um aplicativo não disponível na AppGallery. Isso acontece se você quiser Twitter, Instagram, Netflix, VSCO, Waze, Microsoft Teams, aplicativo da Fitbit, Duolingo e muitos outros aplicativos comuns e usados com frequência. Petal Search recomenda arquivos APK de sites como APKPure, APKMonk, AppParks e Uptodown.
Queríamos entender o que a Huawei está fazendo para protegê-lo contra danos ao usar esses sites e os APKs que eles fornecem. Dr. Jaime Gonzalo disse que o Petal Search só analisa sites publicamente disponíveis, não aqueles ocultos do Google ou de outros mecanismos de busca, e que só faz referência a sites que considera legítimos. Por exemplo, o site precisa ser uma empresa registrada na Europa ou nos EUA, mas a Huawei vai além disso, como explicou Gonzalo.
Como a Huawei examina os downloads de APKs
“Primeiro, garantimos que a fonte é confiável e fazemos uma verificação diária de todos os resultados, e verificamos a segurança e compatibilidade do dispositivo”, explicou Gonzalo, afirmando os esforços de alto nível da Huawei para verificar a credibilidade dos links do site Petal Search para. “Segundo, quando o aplicativo é instalado o canal é criptografado, então qualquer mensagem enviada fora do processo será bloqueada. E terceiro, temos um processo antivírus e malware em tempo real, o que significa que durante o uso regular [of APK sites] você estará protegido”.
Quando você procura aplicativos, o sistema da Huawei prioriza primeiro a App Gallery. Mas se o aplicativo não estiver lá, ele procurará fontes oficiais. Se não estiver em nenhum dos dois, a pesquisa inclui fontes de terceiros.
“Examinamos a popularidade do site e do aplicativo para avaliar a credibilidade e nos certificamos de que a página tenha a versão mais recente do aplicativo disponível, pois geralmente possui os patches de segurança mais recentes. No final do processo, fazemos uma verificação interna para procurar malware.”
Tudo isso acontece antes que o aplicativo seja instalado – então o que acontece então?
“No próprio dispositivo durante o download, a integridade do app é verificada para não descompilar ou instalar outro APK em paralelo, e o nome do app é verificado. Em seguida, vem a proteção contra ameaças de malware e vírus e, em seguida, nossa própria proteção de segurança de IA. Isso observa o aplicativo fazer algo inesperado, como tentar acessar algo que não deveria. Se a IA detectar isso, bloqueará a instalação. Depois de tudo isso, se não houver ameaças, o aplicativo pode ser instalado.”
Gonzalo disse: “Podemos dizer que o risco de segurança é baixo”, em relação à instalação de arquivos APK. Fernando Garcia Calvo reforçou esta confiança, revelando que desde que a Huawei perdeu o acesso ao Google Play em 2019, 830 milhões de aplicações foram descarregadas através do sistema Petal Search e mais de metade não eram da AppGallery. Durante esse período, nenhuma reclamação de direitos autorais foi feita contra ele, não houve reclamações de desenvolvedores contra o sistema e também nenhuma reclamação oficial de usuários sobre malware ou perda de dados devido a um vírus.
Nem todos os APKs são criados iguais
A Huawei certamente parece estar fazendo muito para manter você, seu telefone e seus dados pessoais seguros. Mas não recomenda baixar arquivos APK em todos os casos. Tome os aplicativos bancários como exemplo. Calvo disse que a Huawei conversou com bancos sobre aplicativos.
“Nós os encorajamos [banks] para fazer upload de aplicativos para a App Gallery”, disse ele. “No começo, estávamos relutantes em mostrar APKs de aplicativos bancários no Petal Search, mas percebemos que as pessoas queriam encontrá-los de qualquer maneira e sem nossa segurança. Por esse motivo, os links no Petal Search para aplicativos bancários vão para a versão web dos bancos e não para um APK.”
A Huawei não tem nenhuma relação comercial com repositórios APK, mas Gonzalo disse que considera o uso de repositórios APK como “aceito e seguro, considerando a quantidade de tempo [the sites] estão em funcionamento”. Entramos em contato com o APKPure, que é uma das principais recomendações da Huawei no Petal Search, para comentar esta história. No entanto, a empresa não respondeu aos nossos e-mails.
Os avisos da Huawei pintam uma imagem clara
Obviamente, a Huawei deseja que você obtenha os aplicativos que deseja em seu telefone e, embora esteja trabalhando para mantê-lo seguro ao usar sites APK de terceiros, a experiência no próprio telefone ainda pode causar preocupação.
“Baixar aplicativos de fontes externas pode colocar seus dispositivos e dados pessoais em maior risco. Ao tocar em Permitir, você indica que aceita esses riscos.”
“Os aplicativos listados abaixo, incluindo conteúdo e páginas vinculados, são resultados de pesquisa na Internet gerados automaticamente com base nas palavras-chave inseridas. A AppGallery exibe apenas esses resultados de pesquisa e não é responsável por seu conteúdo.”
Esses são apenas dois dos avisos que você recebe ao baixar qualquer aplicativo que não seja da App Gallery, removendo efetivamente a Huawei de quaisquer obrigações legais caso algo dê errado. Além disso, apesar das promessas de vincular a fontes oficiais antes de fontes de terceiros, o Petal Search ainda me empurrou para o AppParks para WhatsApp e Facebook antes da fonte oficial do site.
Cuidado ao baixador
O que as pessoas que trabalham com segurança ou desenvolvimento de aplicativos pensam sobre os arquivos APK? Professor Assistente Cori Faklaris, que estuda segurança utilizável na Universidade da Carolina do Norte, disse ao Digital Trends em uma mensagem no Twitter que o download de arquivos APK, ou sideload em geral, é uma situação de “cuidado com o downloader”. Deixando de lado os arquivos APK de fontes confiáveis, ela disse:
“Se você acha que pode lidar com uma infecção por malware ou analisar o aplicativo sozinho em busca de vulnerabilidades de segurança, e o dispositivo móvel pertence a você e só será usado em uma rede privada, eu diria que vá em frente. Mas eu não faria o download de APKs para telefones que se conectam a redes públicas ou redes institucionais seguras, como empresas ou escolas. Então você não está apenas colocando seus dados em risco, mas também os de qualquer pessoa que esteja potencialmente exposta a um hack através do seu aplicativo de telefone conectado à rede.”
E os desenvolvedores? Desenvolvedor de aplicativos Roscoe Juckett disse ao Digital Trends por meio de uma mensagem no Twitter que, embora não tenha problemas em lançar um aplicativo em sites como o APKPure, ele ainda tem preocupações:
“Minha preocupação é que as pessoas vão baixá-lo, infectá-lo e republicá-lo”, referindo-se ao problema de gerenciar atualizações para resolver problemas fora de uma loja oficial. Talvez de forma reveladora, acrescentou. “Eu implantei todos os aplicativos do meu cliente no Google Play, nenhum me pediu para implantar em nenhum outro lugar.”
O download de arquivos APK, ou sideload em geral, é uma situação de “cuidado com o downloader”.
Embora os escândalos sobre repositórios de APK não sejam tão comuns, eles acontecem. Em abril de 2021, a Kaspersky cobriu uma infecção por Trojan no próprio aplicativo móvel do APKPure, que veio de um SDK de publicidade malicioso. Embora seja uma preocupação, os aplicativos baixados de fontes oficiais também continham publicidade maliciosa e outras formas de malware no passado, portanto, não é um problema exclusivo de um repositório APK.
Segurança Não Garantida
O fato de malware ter sido encontrado em aplicativos baixados do Google Play mostra que os aplicativos, em geral, podem ser riscos de segurança — independentemente de onde eles são baixados. Os proprietários de telefones Huawei que baixam arquivos APK para aplicativos são, sem dúvida, um pouco menos protegidos do que qualquer pessoa que usa o Google Play, mas a Huawei fez um esforço para tornar o download e a instalação seguros. No entanto, não tem controle sobre os aplicativos ou sites de terceiros e, como mostram seus avisos na App Gallery, a empresa não se responsabiliza por quaisquer problemas decorrentes do uso desses aplicativos.
Onde isso te deixa? Há alguma paz de espírito que vem da Huawei compartilhando suas práticas de segurança e proteção, mas seus avisos na App Gallery e Petal Search enfatizam que você está muito sozinho aqui. Se você está preocupado, talvez deva usar o tratamento de aplicativos bancários da Huawei como um barômetro. Se você considerar as informações armazenadas ou inseridas em um aplicativo como confidenciais ou se estiver usando para trabalho, talvez não seja aconselhável usar uma versão proveniente de um repositório não oficial.
Recomendações dos editores