---
title: "Bloquear o sideload de APK e instalações sem supervisão"
description: "Instalar um APK de fora da loja pula toda trava de instalação e solta um navegador sem supervisão. Os movimentos de política gerenciada e conta que fecham isso."
url: https://tkot.com/journal/bloquear-o-sideload-de-apk-no-android/
canonical: https://tkot.com/journal/bloquear-o-sideload-de-apk-no-android/
author: "Arya Stark"
published: 2026-06-10
updated: 2026-06-10
category: "Loopholes"
tags: ["sideload", "apk", "android", "portas laterais", "bloquear pornografia"]
lang: pt-br
---

# Bloquear o sideload de APK e instalações sem supervisão

> **TL;DR** No Android, o sideload instala um app de um arquivo APK fora da loja oficial, o que contorna uma trava de instalação no nível da loja e pode soltar um navegador ou VPN sem supervisão. A TKO'T filtra por baixo do app, então um navegador instalado por sideload não muda nada, e some isso a desativar a instalação de fontes desconhecidas, de preferência por uma política gerenciada que uma conta de confiança controla. Trave as opções de desenvolvedor pela mesma política para fechar a rota do cabo também.

Você pode trancar a loja oficial de apps no Android e ainda deixar uma entrada dos fundos aberta: o sideload, instalar um app direto de um arquivo APK que você baixou, sem loja envolvida. É a mesma ameaça exata de [baixar um navegador novo](/journal/impedir-que-um-navegador-novo-reabra-tudo), só que por uma porta lateral que uma trava de instalação no nível da loja não cobre. Feche-a e você fecha a versão Android da brecha do app novo. O conserto é o padrão familiar: desativar a permissão de instalar de fontes desconhecidas com uma autoridade que você não tem, e filtrar por baixo do app para até um navegador instalado por sideload herdar o bloqueio, que é o que a [TKO'T](/#download) faz, de graça. Defesa apenas, nomeando a rota só para fechá-la.

## Por que uma trava de loja não cobre o sideload

Bloquear instalações na loja oficial para os downloads da loja, mas um APK é um arquivo, e instalá-lo usa uma permissão separada, instalar de fontes desconhecidas. Se essa permissão está disponível, a trava da loja é só meia parede: uma pessoa determinada baixa o APK e instala um navegador ou VPN limpo e sem supervisão que a loja nunca viu. É o mesmo problema de independência de um [navegador novo](/journal/impedir-que-um-navegador-novo-reabra-tudo) ou de uma [máquina virtual](/journal/fechar-o-bypass-de-maquina-virtual-e-remota), chegando pela rota de instalação direta do Android em vez da loja.

## Como bloquear a instalação de APK fora da loja oficial

Você bloqueia a instalação de APK fora da loja desativando a permissão de fontes desconhecidas, e a versão durável põe esse ajuste fora do seu próprio alcance. Um aparelho inscrito numa [política gerenciada](https://developers.google.com/android/management/reference/rest/v1/enterprises.policies) cuja conta de controle uma pessoa de confiança guarda pode proibir instalar apps de fontes desconhecidas por inteiro, então o usuário não consegue conceder a permissão de volta. É a mesma inscrição que fecha [o modo de segurança e o boot](/journal/fechar-bypass-por-modo-de-seguranca-e-boot) e [as opções de desenvolvedor](/journal/travar-opcoes-de-desenvolvedor-e-depuracao-usb), um perfil cobrindo a família inteira de bypasses do Android. Vale travar as opções de desenvolvedor também, porque o sideload muitas vezes viaja junto com elas e com as instalações por USB, então desativá-las pela mesma política fecha a versão por cabo da rota ao lado da versão no aparelho.

## Um perfil que fecha a família inteira de bypasses do Android

Vale notar que o sideload não é um problema isolado, é um membro de uma família, e a mesma inscrição gerenciada fecha a família toda de uma vez. A conta de controle que proíbe as fontes desconhecidas é a mesma que desativa o modo de segurança, tranca as opções de desenvolvedor e o ADB, e impede limpar os dados ou desinstalar o bloqueador nas Configurações. São rotas diferentes com a mesma raiz: o Android dá ao usuário muito poder sobre o próprio aparelho, e cada um desses ajustes é um lugar onde esse poder vira uma porta.

Por isso a jogada eficiente não é caçar cada rota separada, é montar o perfil gerenciado uma vez e deixá-lo fixar todas. Você decide, de cabeça fria, que a conta de controle fica com outra pessoa, e a partir daí o seu eu de momento fraco não consegue conceder de volta nenhuma das permissões que abririam qualquer uma dessas portas. Um perfil, uma família inteira de bypasses fechada, e a senha que reabre na mão de quem não está na fissura.

## Filtrar por baixo do app de qualquer jeito

O seguro mais fundo é que a fiscalização de verdade não deveria depender de quais apps existem. O [filtro de DNS fixado](https://developers.cloudflare.com/1.1.1.1/setup/) responde às consultas de todo app, inclusive um instalado por sideload, e uma camada de tela no aparelho julga o que renderiza em qualquer app, não importa como foi instalado, mesmo quando um navegador tenta o próprio [DNS cifrado](https://datatracker.ietf.org/doc/html/rfc8484). Então, mesmo que um APK chegue ao aparelho, ele abre na mesma rede filtrada e na mesma tela vigiada, a trava de instalação é a parede e o filtro por baixo do app é a rede de segurança, exatamente como na [loja de apps](/journal/travar-o-apple-id-e-a-loja-de-aplicativos). Mantenha a [resistência a violação](/journal/bloqueio-resistente-a-violacao) por baixo para o ajuste de fontes desconhecidas não ser religado num momento fraco.

O teto honesto é o de todo o Android: um dono determinado com controle total de um aparelho não gerenciado consegue conceder permissões de volta, que é justo por que a versão de política gerenciada, com a conta de controle na mão de outra pessoa, é a que de fato segura. Para um adulto trancando o próprio celular ou um pai trancando o de um filho, essa conta guardada é a diferença entre um ajuste e uma parede.

## Perguntas frequentes (FAQ)

### Como bloquear a instalação de APK para não instalar um navegador novo?

Desative a instalação de fontes desconhecidas, e faça segurar inscrevendo o aparelho numa política gerenciada cuja conta de controle uma pessoa de confiança guarda, para a permissão não poder ser concedida de volta. Trave as opções de desenvolvedor e as instalações por USB pela mesma política para fechar a rota do cabo. Depois filtre por baixo do app com DNS e uma camada de tela como a da TKO'T, de graça, para até um navegador instalado por sideload herdar o bloqueio.

### Por que travar a loja de apps não impede o sideload?

Porque o sideload instala um app de um arquivo APK usando uma permissão separada, instalar de fontes desconhecidas, que a trava da loja não toca. A trava da loja para os downloads da loja; o APK chega por uma porta diferente. Você tem que desativar a permissão de fontes desconhecidas especificamente, de preferência por uma política gerenciada, para fechar essa segunda rota.

### Como desativar permanentemente a instalação de fontes desconhecidas no Android?

A versão permanente é uma política de dispositivo gerenciada: uma conta de controle na mão de alguém de confiança pode proibir as instalações de fontes desconhecidas para o usuário do aparelho não poder reativá-las. Desligar nos ajustes sozinho é reversível por qualquer um com o aparelho, que é por que a versão da conta guardada é a que de fato segura contra um momento fraco.

### Um app instalado por sideload ainda é bloqueado pelo meu filtro?

Se a sua filtragem mora abaixo da camada do app, sim: o DNS fixado responde às consultas de todo app, inclusive um instalado por sideload, e uma camada de tela no aparelho julga o que renderiza em qualquer app, não importa como foi instalado. É por isso que o filtro por baixo do app é essencial, ele faz um navegador instalado por sideload abrir na mesma parede de todo app, em vez de numa folha em branco.

### Uma pessoa determinada ainda faz sideload de qualquer jeito?

Num aparelho totalmente não gerenciado que ela controla, no fim sim, ela pode conceder a permissão de volta, o que ferramentas honestas admitem. A versão de política gerenciada, com a conta de controle na mão de outra pessoa, remove essa capacidade, e o filtro por baixo do app mais a resistência a violação cobre o que for instalado. A meta é a de sempre: tornar o bypass lento e dependente de credencial, não impossível.

---

Source: https://tkot.com/journal/bloquear-o-sideload-de-apk-no-android/
Author: Arya Stark
