O Google anunciou que vai reforçar a ficha cadastral e a segurança das contas de desenvolvedores de aplicativos para Android. A mudança tornará obrigatório o uso da autenticação em duas etapas e a verificação de informações de contato (telefone e e-mail).

Também será necessário associar um endereço físico à conta – uma informação que hoje não é obrigatória – e especificar se ela é pessoal ou representa uma organização.

As contas de desenvolvedores são aquelas habilitadas a colocar aplicativos na Play Store. Quando invasores obtêm algum acesso indevido a essas contas, eles podem enviar atualizações maliciosas em nome do desenvolvedor.

Caso essas adulterações não sejam barradas pelo Google, elas chegarão aos smartphones dos usuários que baixaram o aplicativo como parte das atualizações automáticas realizadas pela Play Store.

Criminosos recorrem a vários truques para divulgar apps maliciosos na loja do Google, seja invadindo contas de desenvolvedores, criando contas falsas para cadastrar aplicativos ilegítimos ou até comprando o acesso a apps existentes.

Para o Google, coibir essas ações e manter a Play Store livre de apps maliciosos tem sido um desafio.

Em fevereiro, um aplicativo de leitura de código de barras foi retirado da loja após o cadastramento de uma atualização maliciosa. O software tinha alcançado 10 milhões de downloads.

As novas regras para desenvolvedores devem endurecer a segurança dos cadastros, evitando a transferências e o acesso indevido às contas. Será mais uma medida do Google para combater a atividade irregular na Play Store.

Embora passem a fazer parte dos cadastros dos desenvolvedores, os novos dados solicitados não serão mostrados aos usuários, segundo o Google. A informação será mantida apenas para processos internos da empresa.

Regras começam a valer em agosto

A partir de agosto, os novos cadastros terão de especificar o tipo de conta (se ela pertence a um indivíduo ou a uma organização), ativar a verificação em duas etapas e confirmar as informações de contato.

O processo também se tornará obrigatório para as contas que já existem. Embora o Google não tenha definido um prazo limite, a empresa disse que a regra deve começar a valer ainda em 2021.

Como as contas pessoais e empresariais serão diferenciadas, o Google recomendou que desenvolvedores sempre utilizem um e-mail próprio para essa tarefa – diferente da conta Google, por exemplo.

Contas que pertencem a uma organização devem usar o e-mail profissional, preferencialmente sem vínculo a uma pessoa específica. Assim, várias pessoas dentro da empresa podem receber os comunicados do Google.

Já os dados de contato devem permanecer atualizados. O Google informou que pode telefonar para o número informado caso seja preciso "checar se a conta está ativa".