Orientações para desenvolvedores sobre os avisos do Google Play Protect

O Google Play Protect oferece proteção integrada e proativa contra malware e software indesejado para ajudar a manter os dispositivos e dados dos usuários seguros em dispositivos Android com o Google Play Services.

Esta página tem mais informações sobre cada um dos vários alertas do Play Protect que os usuários podem encontrar, com orientações para os desenvolvedores entenderem por que um app está sendo afetado por um alerta do Play Protect e algumas alternativas ou soluções comumente usadas para resolver um problema antes de enviar uma contestação ao Google Play Protect.

O app foi bloqueado para proteger seu dispositivo

Mensagem exibida: "Esse app pode pedir acesso a dados sensíveis. Isso pode aumentar o risco de roubo de identidade ou fraude financeira."

Depois que o usuário seleciona um link de instalação, uma caixa de diálogo pop-up aparece explicando que o app está bloqueado
Figura 1. Mensagem do Google Play Protect que aparece quando um app é bloqueado durante o processo de instalação.

Motivo desta notificação:os aplicativos baixados diretamente de fontes on-line, como navegadores da Web, apps de mensagens ou gerenciadores de arquivos, são comumente chamados de fontes de sideload da Internet. Se esses aplicativos também usarem permissões sensíveis (RECEIVE_SMS, READ_SMS, NOTIFICATION_LISTENER e ACCESSIBILITY), eles serão considerados de alto risco porque essas permissões são frequentemente usadas indevidamente para fraude financeira. Quando um usuário tenta instalar um aplicativo dessas fontes e uma dessas permissões sensíveis é declarada, o Google Play Protect bloqueia automaticamente a instalação. Em segundo lugar, se você tentar registrar dispositivos no gerenciamento corporativo, todos os apps das mesmas fontes de transferência por cabo da Internet com as mesmas permissões sensíveis também serão bloqueados.

Ações recomendadas para desenvolvedores:

  • Verifique se os aplicativos estão seguindo as diretrizes para desenvolvedores e as práticas recomendadas.
  • Verifique se as APIs e as permissões estão sendo usadas para os fins pretendidos.
  • Verifique se o aplicativo está usando apenas as permissões mínimas necessárias para realizar as funções exigidas.
  • Verifique se o aplicativo está seguindo as diretrizes de privacidade e segurança responsáveis.
  • Use as APIs SMS Retriever ou User Consent em vez da permissão READ_SMS ao realizar um processo de verificação com base em SMS.
  • Exemplos comuns (não exaustivos) de casos de uso de permissões:
    • Exemplos de SMS:
      • Permitido:
        • Apps que têm como principal objetivo processar conteúdo de SMS / MMS.
        • Apps que fazem backup do conteúdo de SMS após a declaração em destaque e o consentimento do usuário.
      • Não permitido:
        • Apps que acessam ou enviam conteúdo de SMS sem o consentimento explícito do usuário.
        • Apps que solicitam permissões de SMS com o único objetivo de validar a verificação por SMS. Use as APIs SMS Retriever ou User Consent permitidas.
    • Exemplos de vinculação do listener de notificações:
      • Permitido:
        • Apps de saúde e fitness que transmitem notificações para os respectivos dispositivos wearable.
        • Apps que agregam notificações para ajudar os usuários a se concentrar.
        • Apps que mostram notificações em interfaces alternativas, por exemplo, usando widgets ou launchers.
      • Não permitido:
        • Apps que acessam o conteúdo de notificações sem o consentimento explícito do usuário.
        • Apps que ocultam ou impedem notificações de outros apps sem o consentimento prévio do usuário.
    • Exemplos de acessibilidade:
      • Permitido:
        • Apps de assistência que aumentam a usabilidade de um dispositivo para usuários com deficiência visual.
        • Apps utilitários de leitura de tela que oferecem suporte à tradução de texto com consentimento do usuário.
      • Não permitido:
        • Apps que interagem com outros apps ou com o dispositivo do usuário de qualquer forma sem consentimento explícito do usuário.
        • Apps usados para extrair credenciais do usuário.

Depois de verificar se o app está de acordo com as diretrizes anteriores (incluindo os princípios de software indesejado para dispositivos móveis e aplicativo potencialmente nocivo, conforme definido pelo Google Play Protect), se você ainda achar que o app foi bloqueado por engano, envie uma contestação.

App nocivo bloqueado

Uma caixa de diálogo pop-up que explica por que o app está bloqueado, além de um link "Entendi"
Figura 2. Mensagem que aparece quando um app nocivo é bloqueado.

Solicitações exibidas:os detalhes variam de acordo com a violação, dependendo do tipo de malware ou software indesejado para dispositivos móveis detectado.

Motivo da notificação:o ecossistema Android não pode ter comportamentos maliciosos. O aplicativo foi identificado como um aplicativo potencialmente nocivo e se enquadra em uma categoria de malware ou categoria de software indesejado para dispositivos móveis.

Ações recomendadas para desenvolvedores:

Os dois botões na caixa de diálogo, de cima para baixo, são "Verificar app" e "Não instalar app".
Figura 3. A caixa de diálogo Verificação de app recomendada mostrada pelo Google Play Protect.

Mensagem exibida: "Este app ainda não foi analisado pelo Play Protect. Para proteger seu dispositivo e seus dados, envie ao Google algumas informações sobre o app para verificação antes de instalar."

Motivo desta notificação:o Google Play Protect realiza verificações de segurança durante a instalação para ajudar a proteger os usuários. Ele verifica apps em busca de código malicioso e permissões sensíveis de aplicativos desconhecidos que estão sendo instalados no seu dispositivo. Ao permitir que as verificações sejam executadas no aplicativo, o Play Protect pode ajudar a reduzir a chance de apps nocivos serem instalados no dispositivo de um usuário.

Ações recomendadas para desenvolvedores:

Aviso de compatibilidade muito baixa do app Android

O botão na caixa de diálogo é "OK" para confirmar que o SDK de destino é muito baixo.
Figura 4. Uma solicitação do Google Play Protect notificando o usuário de que o app foi criado para uma versão mais antiga do Android.

Mensagem exibida: "Esse app foi criado para uma versão mais antiga do Android e não inclui as proteções de privacidade mais recentes"

Motivo desta notificação:esses avisos do Google Play Protect só vão aparecer se a targetSdkVersion do app estiver mais de duas versões abaixo do nível atual da API Android. Por exemplo, um usuário com um dispositivo executando o Android 13 (API atual = 33) vai receber um aviso ao instalar um APK destinado a um nível de API inferior a 31. As versões do Android e os níveis de API correspondentes podem ser revisados na página de nível de API.

Se um dispositivo estiver abaixo da API de destino, ele não vai receber um aviso. Cada nova versão do Android apresenta mudanças que trazem melhorias de segurança e desempenho e aprimoram a experiência do usuário no Android. Algumas dessas mudanças se aplicam somente a apps que declaram o suporte explicitamente pelo atributo de manifesto targetSdkVersion, também conhecido como o nível desejado da API. Configurar o app para que ele seja direcionado a um nível de API recente garante que os usuários se beneficiem dessas melhorias. Ao mesmo tempo, o app ainda poderá ser executado em versões mais antigas do Android. Segmentar um nível de API recente também permite que o app aproveite os recursos mais recentes da plataforma para conquistar os usuários.

Ações recomendadas para desenvolvedores:

Para garantir a compatibilidade entre as versões do Android, os desenvolvedores precisam verificar se as novas versões dos apps são destinadas ao nível da API mais recente. Para saber como mudar o nível desejado da API do seu app, consulte o guia de migração.

Enviar app para verificação de segurança

Os três botões na caixa de diálogo, de cima para baixo, são: "Sempre enviar apps desconhecidos", "Enviar desta vez" e "Não enviar".
Figura 5. Uma solicitação do Google Play Protect para enviar o app para uma verificação de segurança.

Mensagem exibida: "O serviço Play Protect não reconheceu este app. Para proteger você e outras pessoas, envie o app ao Google para uma verificação de segurança."

Motivo desta notificação:aplicativos desconhecidos podem representar um risco para os usuários. Para os usuários, enviar (uma vez ou sempre) esse aplicativo ao Google Play Protect para verificar se há malware em potencial fará com que essa notificação desapareça. As contestações não são relevantes e não vão remover esta mensagem.

Ações recomendadas para desenvolvedores:

Contestações

Contestar o status do app na Play Store

É possível contestar a remoção de um app da Google Play Store. O app será restabelecido em circunstâncias adequadas, inclusive se um erro tiver sido cometido e concluirmos que ele não viola as Políticas do programa para desenvolvedores do Google Play nem o Contrato de distribuição do desenvolvedor do Google Play. Para mais informações sobre como contestar uma violação da política, consulte Meu app foi removido do Google Play.

Contestar status de aviso do Play Protect

É possível contestar o status de classificação do Google Play Protect do seu app.

Antes de enviar uma contestação ao Google Play Protect, recomendamos que você use as orientações acima para entender por que um app está sendo afetado por um aviso do Play Protect e algumas alternativas ou soluções comumente usadas para resolver um problema.

Vamos corrigir a classificação dos apps em circunstâncias apropriadas, incluindo se um erro tiver sido cometido e concluirmos que o app não viola os princípios de software indesejado para dispositivos móveis e não é um aplicativo potencialmente nocivo, conforme definido pelo Google Play Protect.

Depois de garantir que seu app está de acordo com as políticas acima e se você ainda achar que ele foi bloqueado por engano, clique no botão Enviar uma contestação do Play Protect abaixo para contestar a classificação:

Enviar uma contestação do Play Protect