O Google anunciou esta semana uma série de mudanças nas suas políticas da Play que procuram, por um lado, reforçar a privacidade das pessoas e, por outro, proporcionar maior proteção às empresas contra fraudes e transferências não seguras de aplicativos. Ao mesmo tempo, a empresa fez públicos seus últimos números de moderação: em 2025 bloqueou ou eliminou mais de 8.3 mil milhões de anúncios e suspendeu quase 24.9 milhões de contas, números que refletem o esforço do Google por conter abusos em seu ecossistema publicitário e na loja de apps.
Entre as novidades mais relevantes estão mudanças em como os apps acessarão a agenda de contatos e a localização dos usuários. Em matéria de contatos, o Google promove um uso padronizado e mais restrito através de um Contact Picker que atua como porta de acesso segura e buscavel para que uma app receba apenas os dados dos contatos que o usuário autoriza nesse momento. Isso substitui a prática anterior, na qual muitas apps pediam READ_CONTACTS e com isso podiam ver a lista completa e todos os campos associados. A documentação oficial para desenvolvedores sobre como tratar permissões e fornecedores de contatos é um bom ponto de partida para entender as mudanças: Guia de Licenças Android e Contact Provider.
Com o Android 17 – a versão que introduz estas ferramentas – os aplicativos poderão declarar exatamente que campo precisam de um contato, por exemplo um telefone ou um endereço de e-mail, em vez de solicitar o acesso a todo o registro. O Google pede que, sempre que aplicável, as apps usem o Contact Picker ou o Android Sharesheet como o principal mecanismo para acessar contatos; READ_CONTACTS ficaria reservado somente para as aplicações que realmente não podem funcionar sem acesso contínuo e completo. Se uma aplicação aponta para o Android 17 ou posterior, a recomendação prática é retirar a permissão READ_CONTACTS do manifesto quando não for imprescindível. Além disso, se a app precisar de acesso permanente à livreta de contatos, será necessário justificar isso através de um formulário de declaração para desenvolvedores na Play Console.
No que respeita à localização, o Android 17 incorpora um botão simplificado para solicitar acesso pontual à localização precisa. A ideia é facilitar que o usuário dê permissões limitadas e temporárias para ações concretas, evitando que as apps peçam mais informações da necessária. Juntamente com isso, um indicador persistente que avisa o usuário sempre que uma aplicação não sistema acede à sua localização, uma medida pensada para dar transparência e controle em tempo real. O Google publicou guias práticas sobre boas práticas e permissões de localização que os desenvolvedores deveriam revisar: Permissões de localização no Android.
Para cumprir estas atualizações, os desenvolvedores devem revisar o uso que fazem da localização em suas aplicações e pedir apenas o nível mínimo necessário. No caso de ações pontuais que exijam localização precisa, o Google sugere implementar o botão através da bandeira onlyForLocationButton no manifesto quando a app a apontar para Android 17 ou superior. Se uma aplicação precisa de localização persistente, a Play Developer Declaration deverá ser completada para explicar por que razão a função central da app requer esse acesso. O Google anunciou que o formulário de declaração estará disponível antes de outubro de 2026 e que, além disso, serão implementados controlos preventivos na Play Console, com revisões prévias que arrancam a partir de 27 de outubro (segundo o calendário oficial comunicado).
Outra mudança importante atende à segurança comercial: o Google integrará uma funcionalidade nativa no Play Console para transferir a propriedade de aplicativos entre contas de forma segura. A empresa recomenda usar esta via oficial a partir de 27 de maio de 2026 para evitar transferências informais – como compartilhar credenciais ou comprar contas em mercados de terceiros – que aumentam o risco de fraude e perda de controle do negócio. Se precisar de mais detalhes sobre como transferir uma aplicação entre contas de desenvolvedor, a ajuda oficial do Play explica o procedimento: Transferir apps para outra conta de desenvolvedor.
Essas medidas de privacidade e controle chegam em paralelo ao investimento do Google em sistemas automatizados para detectar abusos publicitários. A empresa enfatizou que está aproveitando as capacidades de Gemini, seu modelo de IA, para melhorar a detecção de anúncios maliciosos e evitar que os usuários cheguem. Segundo o Google, mais de 99% dos anúncios que violavam as políticas foram interceptados pelos seus sistemas antes de se mostrar, e a detecção baseada em modelos de linguagem e entendimento de intenções permite identificar conteúdo projetado para contornar filtros tradicionais. Para contexto das iniciativas do Google em IA e Gemini, você pode consultar a informação oficial: Introdução a Gemini, e para dados sobre seu trabalho de segurança em publicidade, a página de segurança do Google recolhe relatórios e estatísticas relevantes: Segurança em anúncios do Google.
Os números publicados pelo Google ilustram a escala do problema e o esforço de mitigação: além dos 8,3 mil milhões de anúncios bloqueados ou eliminados em 2025, a empresa informou a retirada de 602 milhões de anúncios relacionados com fraudes e a suspensão de 4 milhões de contas ligadas a atividades fraudulentas no mesmo período. Ele também informou de milhares de milhões de anúncios restritos por conter ou potenciar conteúdos como material sexual explícito, promoção de armas, jogos de azar e malware. Esses números sublinham como os maus atores estão aproveitando técnicas automatizadas, incluindo a geração com IA, para criar conteúdo malicioso em escala, e por isso o Google aposta em modelos que detectem intenção além de palavras-chave.
O que significa tudo isso para usuários e desenvolvedores? Para as pessoas que instalam apps, a mudança promete um controle mais fino sobre quais dados são partilhados e quando, com sinais visíveis como o indicador de localização e uma interface transparente para escolher contatos. Para os criadores de aplicativos, as mudanças implicam trabalho: revisar permissões, atualizar manifestos e, em determinados casos, preparar e apresentar justificativas para o Play Console se a app exigir acessos contínuos. Também convém adotar o processo nativo de transferência de apps para proteger o negócio frente a vendas e transferências não oficiais. Em suma, é uma transição para autorizações mais limitadas e mecanismos de segurança mais integrados, concebida para equilibrar funcionalidade e proteção em um ecossistema cada vez mais automatizado e complexo.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...