Você pode trancar a loja oficial de apps no Android e ainda deixar uma entrada dos fundos aberta: o sideload, instalar um app direto de um arquivo APK que você baixou, sem loja envolvida. É a mesma ameaça exata de baixar um navegador novo, só que por uma porta lateral que uma trava de instalação no nível da loja não cobre. Feche-a e você fecha a versão Android da brecha do app novo. O conserto é o padrão familiar: desativar a permissão de instalar de fontes desconhecidas com uma autoridade que você não tem, e filtrar por baixo do app para até um navegador instalado por sideload herdar o bloqueio, que é o que a TKO’T faz, de graça. Defesa apenas, nomeando a rota só para fechá-la.
Por que uma trava de loja não cobre o sideload
Bloquear instalações na loja oficial para os downloads da loja, mas um APK é um arquivo, e instalá-lo usa uma permissão separada, instalar de fontes desconhecidas. Se essa permissão está disponível, a trava da loja é só meia parede: uma pessoa determinada baixa o APK e instala um navegador ou VPN limpo e sem supervisão que a loja nunca viu. É o mesmo problema de independência de um navegador novo ou de uma máquina virtual, chegando pela rota de instalação direta do Android em vez da loja.
Como bloquear a instalação de APK fora da loja oficial
Você bloqueia a instalação de APK fora da loja desativando a permissão de fontes desconhecidas, e a versão durável põe esse ajuste fora do seu próprio alcance. Um aparelho inscrito numa política gerenciada cuja conta de controle uma pessoa de confiança guarda pode proibir instalar apps de fontes desconhecidas por inteiro, então o usuário não consegue conceder a permissão de volta. É a mesma inscrição que fecha o modo de segurança e o boot e as opções de desenvolvedor, um perfil cobrindo a família inteira de bypasses do Android. Vale travar as opções de desenvolvedor também, porque o sideload muitas vezes viaja junto com elas e com as instalações por USB, então desativá-las pela mesma política fecha a versão por cabo da rota ao lado da versão no aparelho.
Um perfil que fecha a família inteira de bypasses do Android
Vale notar que o sideload não é um problema isolado, é um membro de uma família, e a mesma inscrição gerenciada fecha a família toda de uma vez. A conta de controle que proíbe as fontes desconhecidas é a mesma que desativa o modo de segurança, tranca as opções de desenvolvedor e o ADB, e impede limpar os dados ou desinstalar o bloqueador nas Configurações. São rotas diferentes com a mesma raiz: o Android dá ao usuário muito poder sobre o próprio aparelho, e cada um desses ajustes é um lugar onde esse poder vira uma porta.
Por isso a jogada eficiente não é caçar cada rota separada, é montar o perfil gerenciado uma vez e deixá-lo fixar todas. Você decide, de cabeça fria, que a conta de controle fica com outra pessoa, e a partir daí o seu eu de momento fraco não consegue conceder de volta nenhuma das permissões que abririam qualquer uma dessas portas. Um perfil, uma família inteira de bypasses fechada, e a senha que reabre na mão de quem não está na fissura.
Filtrar por baixo do app de qualquer jeito
O seguro mais fundo é que a fiscalização de verdade não deveria depender de quais apps existem. O filtro de DNS fixado responde às consultas de todo app, inclusive um instalado por sideload, e uma camada de tela no aparelho julga o que renderiza em qualquer app, não importa como foi instalado, mesmo quando um navegador tenta o próprio DNS cifrado. Então, mesmo que um APK chegue ao aparelho, ele abre na mesma rede filtrada e na mesma tela vigiada, a trava de instalação é a parede e o filtro por baixo do app é a rede de segurança, exatamente como na loja de apps. Mantenha a resistência a violação por baixo para o ajuste de fontes desconhecidas não ser religado num momento fraco.
O teto honesto é o de todo o Android: um dono determinado com controle total de um aparelho não gerenciado consegue conceder permissões de volta, que é justo por que a versão de política gerenciada, com a conta de controle na mão de outra pessoa, é a que de fato segura. Para um adulto trancando o próprio celular ou um pai trancando o de um filho, essa conta guardada é a diferença entre um ajuste e uma parede.
Perguntas frequentes (FAQ)
Como bloquear a instalação de APK para não instalar um navegador novo?
Desative a instalação de fontes desconhecidas, e faça segurar inscrevendo o aparelho numa política gerenciada cuja conta de controle uma pessoa de confiança guarda, para a permissão não poder ser concedida de volta. Trave as opções de desenvolvedor e as instalações por USB pela mesma política para fechar a rota do cabo. Depois filtre por baixo do app com DNS e uma camada de tela como a da TKO’T, de graça, para até um navegador instalado por sideload herdar o bloqueio.
Por que travar a loja de apps não impede o sideload?
Porque o sideload instala um app de um arquivo APK usando uma permissão separada, instalar de fontes desconhecidas, que a trava da loja não toca. A trava da loja para os downloads da loja; o APK chega por uma porta diferente. Você tem que desativar a permissão de fontes desconhecidas especificamente, de preferência por uma política gerenciada, para fechar essa segunda rota.
Como desativar permanentemente a instalação de fontes desconhecidas no Android?
A versão permanente é uma política de dispositivo gerenciada: uma conta de controle na mão de alguém de confiança pode proibir as instalações de fontes desconhecidas para o usuário do aparelho não poder reativá-las. Desligar nos ajustes sozinho é reversível por qualquer um com o aparelho, que é por que a versão da conta guardada é a que de fato segura contra um momento fraco.
Um app instalado por sideload ainda é bloqueado pelo meu filtro?
Se a sua filtragem mora abaixo da camada do app, sim: o DNS fixado responde às consultas de todo app, inclusive um instalado por sideload, e uma camada de tela no aparelho julga o que renderiza em qualquer app, não importa como foi instalado. É por isso que o filtro por baixo do app é essencial, ele faz um navegador instalado por sideload abrir na mesma parede de todo app, em vez de numa folha em branco.
Uma pessoa determinada ainda faz sideload de qualquer jeito?
Num aparelho totalmente não gerenciado que ela controla, no fim sim, ela pode conceder a permissão de volta, o que ferramentas honestas admitem. A versão de política gerenciada, com a conta de controle na mão de outra pessoa, remove essa capacidade, e o filtro por baixo do app mais a resistência a violação cobre o que for instalado. A meta é a de sempre: tornar o bypass lento e dependente de credencial, não impossível.