Até alguns anos atrás, qualquer aplicativo instalado em um dispositivo Android tinha acesso à lista de todos os outros aplicativos no seu telefone sem a sua permissão.

Com a chegada do Android 11 em 2022, o Google alterou essa realidade. Agora, por meio de uma nova política de visibilidade de pacotes, os desenvolvedores só podem visualizar outros aplicativos instalados se isso for essencial para a funcionalidade principal de seu aplicativo. Além disso, eles devem declarar explicitamente esses aplicativos no arquivo AndroidManifest.xml, um documento obrigatório para todos os aplicativos Android.

Eu não uso o Android como meu telefone principal, mas tenho um aparelho reserva e decidi investigar quais aplicativos de empresas indianas tinham acesso à lista de outros aplicativos. Para isso, baixei alguns aplicativos indianos e comecei a analisar seus arquivos de manifesto, acreditando que respeitariam minha privacidade.

É importante reconhecer que existem razões legítimas para um aplicativo verificar quais outros aplicativos estão instalados. Por exemplo, um aplicativo pode precisar saber quais aplicativos de pagamento estão disponíveis para exibir opções relevantes. A maioria dos arquivos de manifesto que analisei incluía verificações para esses aplicativos. Outros buscavam aplicativos de clonagem ou multi-contas, provavelmente por questões de segurança e detecção de fraudes, o que é aceitável.

No entanto, algumas empresas indianas foram além do aceitável. O caso da Swiggy é emblemático: seu arquivo de manifesto lista impressionantes 154 nomes de pacotes, permitindo que consulte esses aplicativos. Pergunto: como saber se tenho o aplicativo Xbox ou Playstation instalado é essencial para a funcionalidade central da Swiggy? Isso levanta suspeitas sobre a coleta de dados para perfis de usuários, o que parece violar as diretrizes da Play Store sobre dados pessoais e sensíveis.

Outro aplicativo que merece destaque é o Zepto, que lista 165 aplicativos para verificar no dispositivo. Recentemente, surgiram relatos de que o Zepto exibia preços diferentes para usuários de iOS e Android. Com essas informações, eles podem também ajustar preços para diferentes dispositivos Android, o que alguns clientes já notaram.

Embora Swiggy e Zepto tenham que declarar esses aplicativos no arquivo de manifesto, os usuários não têm acesso a essa lista ao baixar os aplicativos da Play Store. Ao analisar os aplicativos destinados aos entregadores da Swiggy e do Zepto, percebi que a lista de consulta era diferente, mas ambas incluíam verificações para quais outras empresas seus entregadores trabalham.

O caso dos aplicativos de empréstimos pessoais na Índia também é preocupante. O Kreditbee, um dos principais aplicativos nesse segmento, verifica impressionantes 860 aplicativos instalados no seu telefone. A lista inclui desde calendários regionais até aplicativos de astrologia, revelando dados sobre os hábitos e prioridades diárias de uma grande parte da população.

A política da Play Store proíbe explicitamente aplicativos de empréstimo pessoal de usar a permissão QUERY_ALL_PACKAGES. No entanto, muitos deles estão contornando essa restrição ao listar cada aplicativo que desejam detectar em seus arquivos de manifesto. O Cred, por exemplo, possui essa permissão, mas não consigo entender como ainda é permitido, considerando que oferece também empréstimos pessoais.

Após analisar cerca de 50 aplicativos populares de empresas indianas, além da Swiggy, Zepto e alguns aplicativos de empréstimo pessoal, a maioria tinha listas de consulta razoáveis e respeitosas. No entanto, a situação é alarmante, pois muitos aplicativos, como o Facebook e o Instagram, também utilizam uma configuração que permite acesso a todos os aplicativos instalados, burlando a política de visibilidade de pacotes do Google.

Esse cenário levanta questões sobre a eficácia da política de visibilidade de pacotes do Google, que deveria proteger os usuários, mas parece que muitos aplicativos encontraram maneiras de contorná-la. A coleta de dados sobre aplicativos instalados é uma questão sensível e pessoal, e os usuários devem estar cientes de que suas informações estão sendo compartilhadas sem o devido consentimento. Portanto, é fundamental ter cautela ao instalar novos aplicativos, pois esses dados podem ser utilizados para perfis de usuários e decisões de preços em serviços diversos.