## Transparência Binária para Android O **Google** anunciou a expansão da [Transparência Binária](https://binary.transparency.dev/) para Android como uma forma de proteger o ecossistema contra ataques à cadeia de suprimentos. "Este novo ledger público garante que os aplicativos do Google em seu dispositivo sejam exatamente o que pretendíamos construir e distribuir", disseram as equipes de produto e segurança do Google [aqui](https://blog.google/security/bringing-binary-transparency-to-the-android-ecosystem/). A iniciativa se baseia na fundação da [Transparência Binária do Pixel](https://security.google.com/2023/08/pixel-binary-transparency-verifiable.html), que o Google [introduziu](https://security.google.com/2021/10/pixel-6-setting-new-standard-for-mobile.html) em outubro de 2021 para fortalecer a integridade do software. Ela garante que os dispositivos Pixel estejam executando apenas software de sistema operacional (OS) verificado, mantendo um [registro público e criptográfico](https://developers.google.com/android/binary_transparency/pixel_tech_details) que registra metadados sobre imagens de fábrica oficiais. A infraestrutura de segurança verificável espelha a [Transparência de Certificados](https://certificate.transparency.dev/howctworks/), um framework aberto que exige que todos os certificados SSL/TLS emitidos sejam registrados em logs públicos, somente de adição e criptograficamente verificáveis para ajudar a detectar certificados emitidos incorretamente ou maliciosos. ## Combatendo Ataques Binários à Cadeia de Suprimentos A medida visa combater os riscos apresentados por ataques binários à cadeia de suprimentos, que frequentemente entregam código malicioso ao envenenar os canais de atualização de software, mantendo as assinaturas digitais intactas. Um exemplo recente é o [comprometimento](https://thehackernews.com/2026/05/daemon-tools-supply-chain-attack.html) dos instaladores do Windows do software **DAEMON Tools** para entregar um backdoor leve, que então atua como um canal para um implante denominado QUIC RAT. Os instaladores foram distribuídos do site legítimo do DAEMON Tools e assinados com certificados digitais pertencentes aos desenvolvedores do DAEMON Tools. "Está se tornando insuficiente confiar apenas na assinatura do binário, pois uma assinatura não pode garantir que este binário em particular foi o pretendido para ser lançado ao público por seu autor", disse o Google. "Assinaturas digitais são um certificado de origem, mas a transparência binária é um certificado de intenção." ## Garantindo a Integridade do Software Ao expandir a Transparência Binária no Android, a empresa visa fornecer garantias de que o software do Google no dispositivo de um usuário é exatamente o que foi pretendido ser construído e distribuído. Para esse fim, os aplicativos de produção do Google lançados após 1º de maio de 2026 terão uma entrada criptográfica correspondente confirmando sua autenticidade. A iniciativa atualmente inclui [aplicativos do Google](https://play.google.com/store/apps/dev?id=5700313618786177705) de produção, incluindo tanto o **Google Play Services** quanto aplicativos Google independentes, bem como [módulos Mainline](https://source.android.com/docs/core/ota/modular-system) que fazem parte do OS e podem ser atualizados dinamicamente fora do ciclo de lançamento normal. "Isso fornece uma 'Fonte da Verdade' transparente que permite a qualquer pessoa verificar que o software do Google em seu dispositivo Android é uma versão de produção autorizada pelo Google e não foi modificado por um atacante", observou o Google. "Se o software não estiver no ledger, o Google não o lançou como software de produção. Qualquer tentativa de implantar uma versão 'única' será detectável." Como parte desse esforço, a gigante da tecnologia também está [disponibilizando ferramentas de verificação](https://github.com/android/android-binary-transparency) que usuários e pesquisadores podem usar para verificar o estado de transparência dos tipos de software suportados. O desenvolvimento ocorre em meio a uma série de ataques à cadeia de suprimentos que visaram desenvolvedores e usuários downstream de software popular nos últimos meses. Atacantes estão cada vez mais comprometendo as contas de desenvolvedores e abusando desse acesso para distribuir malware, permitindo que eles invadam vários usuários de uma vez. ## Um Pilar Crítico para a Segurança "Este é um pilar crítico para a privacidade e segurança do usuário porque muda a dinâmica de poder fundamental das atualizações de software", disse o Google. "Este nível de transparência serve como outra camada de proteção à integridade do nosso software, agindo como um poderoso impedimento contra lançamentos binários não autorizados."