- Después de que se restringiera la carga de archivos en Nextcloud para Android, Google propuso el 15 de mayo restaurar el permiso de carga de todos los archivos, y Nextcloud está preparando una versión de prueba y una actualización de recuperación
- La versión distribuida en Google Play Store quedó bloqueada para el permiso de lectura y escritura de todo tipo de archivos, por lo que solo puede subir algunos medios como fotos y videos
- Según Nextcloud, este permiso se otorgó en 2011 y la función se ofrece desde 2016, pero junto con el rechazo de una actualización de la app en septiembre de 2024 se le exigió usar SAF·MediaStore API
- Nextcloud considera que SAF está pensado para compartir y exponer archivos entre apps, y que MediaStore API solo maneja archivos multimedia, por lo que es difícil que reemplacen la sincronización completa de archivos
- Alrededor de 1 millón de usuarios de Google Play Store se vieron afectados, mientras que la versión distribuida en F-Droid ofrece una nueva versión que mantiene el permiso, por lo que el problema se concentra en la política de distribución de Google Play Store
Propuesta de restauración del permiso del 15 de mayo
- Google contactó a Nextcloud la mañana del 15 de mayo para proponer la restauración del permiso, de modo que los usuarios pudieran recuperar la función desaparecida
- Nextcloud está preparando primero una versión de prueba y, si no hay problemas, la actualización final con todas las funciones restauradas podría distribuirse tan pronto como a inicios de la próxima semana
- El aviso sobre esta actualización se agregó el 15 de mayo a las 14:50 CET
Impacto de la restricción de carga de archivos en Android
- Durante varios meses, la carga de archivos de Nextcloud para usuarios de Android no funcionó como se esperaba
- Los archivos que podían subirse quedaron limitados a algunos archivos multimedia como fotos y videos
- Al no poder subir otros tipos de archivos, el objetivo de sincronización de archivos de la app Nextcloud Files quedó seriamente afectado
- Las quejas de los usuarios aparecieron en varios canales, como el foro de ayuda de Nextcloud, GitHub, Reddit y el foro de ComputerBase
Cómo cambió el permiso en Google Play Store
- El permiso de lectura y escritura para todos los tipos de archivos de la app Nextcloud Files fue otorgado en 2011
- En septiembre de 2024, una actualización de la app Nextcloud para Android fue rechazada de forma repentina
- Google exigió eliminar el permiso de acceso a todos los archivos o usar como alternativa más amigable con la privacidad Storage Access Framework (SAF) o MediaStore API
- Nextcloud concluyó que esas dos alternativas no pueden sustituir la función de carga completa de archivos
- Nextcloud considera que SAF sirve para compartir o exponer archivos de Nextcloud a otras apps, por lo que ve la exigencia como una interpretación equivocada del flujo de trabajo de la app
- MediaStore API solo puede acceder a archivos multimedia, por lo que no puede manejar otros tipos de archivos
- Nextcloud afirma que presentó objeciones varias veces y compartió contexto adicional desde mediados de 2024, pero que Google no aceptó restaurar el permiso
- Como necesitaba entregar a usuarios y clientes una actualización con correcciones de errores, Nextcloud distribuyó una actualización con la función de carga limitada para ajustarse a las nuevas exigencias de Google
Diferencia entre F-Droid y Google Play Store
- La app de Android en sí sigue funcionando con ese permiso
- Nextcloud distribuyó una nueva versión en la tienda alternativa F-Droid
- La limitación de funciones es un problema relacionado con la versión distribuida en Google Play Store
- Nextcloud considera que los usuarios con conocimientos técnicos pueden usar tiendas alternativas como F-Droid, pero que para cerca de 1 millón de usuarios de la app store no resulta una opción realista
Críticas de Nextcloud a Google
- Google citó preocupaciones de seguridad como motivo para retirar el permiso
- Nextcloud afirma que ha ofrecido esa función desde 2016 y que en todo ese tiempo nunca recibió de Google advertencias de seguridad al respecto
- La postura de Nextcloud es que varias apps de Big Tech y apps del propio Google siguen conservando esa función
- Critica que Google, al ser dueño de la plataforma, puede darse a sí mismo un trato preferencial y que de hecho lo hace
- Nextcloud ve este caso no como un pequeño detalle técnico, sino como un ejemplo de gatekeeping que debilita las funciones de productos competidores de pequeños proveedores de software
Un problema más amplio de política de competencia
- Nextcloud menciona el caso pasado en el que Microsoft bloqueó ciertas funciones de Windows para empeorar la experiencia de uso de WordPerfect, y sostiene que ahora Google dificulta construir productos competidores con reglas justificadas en la seguridad
- Considera que para las empresas pequeñas el costo de una respuesta legal es alto y que incluso presentar una queja ante la UE toma tanto tiempo que casi no hay vías reales de reparación
- Nextcloud afirma que en 2021 presentó una queja junto con unas 40 empresas y organizaciones por conductas anticompetitivas similares, pero que incluso cuatro años después no ha pasado nada
- La Digital Markets Act de la UE empezó a aplicarse en mayo de 2023, pero las primeras multas a Meta y Apple no se anunciaron sino hasta abril de 2025
- Nextcloud critica que las multas de 200 millones de euros y 500 millones de euros a Meta y Apple, respectivamente, son bajas frente a sanciones posibles de hasta el 10% de los ingresos anuales globales, y que para las Big Tech equivalen apenas a un leve tirón de orejas
4 comentarios
Al final, los permisos están para que el usuario los conceda a su criterio, así que adoptar un sistema de permisos y luego bloquear los permisos necesarios es como... jaja.
Opiniones de Hacker News
Se entiende el dolor desde la perspectiva de Nextcloud. El equipo de Everfind (búsqueda unificada en Drive, OneDrive, Dropbox, etc.) también lleva el último año peleando por obtener el alcance drive.readonly para descargar archivos, aplicarles OCR y crear un índice de búsqueda de texto completo para el usuario.
Google sigue insistiendo en que se las arreglen con drive.file + drive.metadata.readonly, pero esa combinación rompe el descubrimiento continuo y degrada mucho los resultados de búsqueda de documentos nuevos o actualizados. En conclusión, la retórica de Google sobre el “mínimo privilegio” suena razonable, pero en la práctica da acceso privilegiado a las apps first-party de Big Tech y obliga a los proveedores independientes a sacar productos que funcionan a medias o a ser expulsados de Play Store. Al final, los usuarios pierden funciones y opciones, y los desarrolladores pequeños queman tiempo peleando sin fin contra bots de políticas de copiar y pegar.
Trabajé varios años como PM en Google Workspace y es menos malicioso de lo que parece desde fuera. Las decisiones se optimizan para ingresos, y otras funciones, en especial las funciones para clientes empresariales, reciben una prioridad mucho más alta. Desde alrededor de 2012, casi todas las empresas se han enfocado en los ingresos corporativos, y la satisfacción del usuario final terminó pagando el costo.
Soy desarrollador de la plataforma AOSP, y mis opiniones sobre el sistema de archivos son personales y no representan a Google.
No uso Nextcloud ni he revisado esa app en particular, pero desde una perspectiva con cierto conocimiento interno, parece que SAF podría funcionar para este caso de uso, como han dicho otros. Google Drive no tiene los permisos que Nextcloud afirma que Google le concede como privilegio, y se distribuye a través de Play Store igual que la app de Nextcloud. Permisos como MANAGE_EXTERNAL_STORAGE se han abusado ampliamente en el pasado, a veces de formas terribles.
Según el extracto de [1], todas las operaciones de E/S de archivos de SAF usan llamadas IPC, por lo que tardan alrededor de 20~30 ms; cuando hay muchas operaciones de archivos, como comprobar si hay muchos archivos en el disco y crearlos si no existen, se vuelve tan lento que incluso los ejemplos de Google usan trucos para acelerar. En el ejemplo de [3], con SAF tomó 15 segundos, mientras que con
lsnativo tomó 6 milisegundos, y solo eran 128 archivos.[1] https://github.com/K1rakishou/Fuck-Storage-Access-Framework#...
[2] https://www.reddit.com/r/androiddev/comments/ga5u72/saf_is_s...
[3] https://issuetracker.google.com/issues/73044953#comment5
[4] https://magicbox.imejl.sk/forums/topic/storage-access-framew...
[5] https://issuetracker.google.com/issues/130261278#comment52
La cantidad de datos que se puede extraer de un dispositivo con este tipo de permisos probablemente sea enorme, y no se trata simplemente de “proteger al usuario de sí mismo”. No creo que me sentiría seguro activando este permiso para ninguna app, y aunque la función de sincronizar todos los datos del dispositivo es útil, desde la perspectiva de Google es una situación en la que lo criticarán haga lo que haga.
En la práctica son casi ransomware que la gente instala “voluntariamente” para obtener préstamos depredadores, pero muchas veces no sabe cómo funcionan realmente. Si no pagan, no solo bloquean el teléfono: usan los datos extraídos del teléfono para amenazar con enviar fotos íntimas a sus conocidos, o incluso hacen amenazas de muerte a familiares identificados a partir de esos datos — https://www.welivesecurity.com/en/eset-research/beware-preda...
Si el plan es eliminarlo por completo de forma gradual, las alternativas tendrían que ser lo suficientemente buenas, y por algunos comentarios más abajo no parece que lo sean. Nunca he desarrollado para Android y probablemente nunca lo haré por cosas como esta, así que me cuesta juzgarlo bien, pero entiendo que la app de Google Drive es más bien una UI encima del almacenamiento en la nube, y que las partes interesantes como Backup no se gestionan a través de esa app. Google Drive recibe un trato privilegiado en ese aspecto, y para imitar esa funcionalidad se necesitan permisos adicionales.
[0]: https://support.google.com/googleone/answer/9149304?hl=en&co...
Esta también es la razón por la que la app oficial de SyncThing para Android dejó de distribuirse. Hay un fork, pero tengo entendido que no está en Play Store.
En su lugar recibes una URL
content://, y para convertirla en descriptor de archivo hace falta un puente Java/Kotlin. Ese trabajo tendría que hacerse dentro de SyncThing mismo. Dicho eso, syncthing-fork parece haber logrado hacerlo funcionar de alguna manera, así que quizá haya algún otro truco. Pero, hasta donde sé, este problema probablemente no aplique a la app de NextCloud.Aun así, fue un poco sorprendente que el cliente oficial desapareciera de repente.
No es correcto decir que “SAF no se puede usar porque sirve para compartir/exponer nuestros archivos con otras apps”. SAF sí se puede usar
Hay razones por las que no encaja bien con NextCloud. Por ejemplo, no se puede compartir todo el almacenamiento interno, la carpeta de descargas ni la raíz de una tarjeta SD. Aun así, la explicación de NextCloud en sí resulta difícil de aceptar.
https://developer.android.com/training/data-storage/shared/d...
Esto también se discutió ayer: https://news.ycombinator.com/item?id=43970959
Por ejemplo, me pregunto si no hay ningún producto de Google que use el mismo permiso que pide NextCloud y si, en cambio, efectivamente usan SAF, en particular incluso en funciones que hacen lo mismo que NextCloud hace aquí. Quiero saber con certeza si Google cumple por su cuenta las mismas reglas que aplica a NextCloud y a otros desarrolladores de apps.
Es una conducta monopólica. Si Google se niega a invertir lo necesario para hacer la diligencia debida que permita que otras empresas operen exactamente de la misma manera que Google, entonces no está calificada para administrar ese espacio.
Si la supervisión tiene un costo, puede cobrarles a las empresas una tarifa nominal para monitorear la carga. Bloquear a otros participantes no es una respuesta adecuada.
Google se contactó con Nextcloud y ofreció restaurar el permiso. Me pregunto si esta decisión se debió a argumentos técnicos o si el juicio antimonopolio y la cobertura de prensa fueron factores persuasivos.
Esto es exactamente por lo que existe la Digital Markets Act de la UE, y por lo que esa ley necesita capacidad real de aplicación.
Si Google bloquea en Android el acceso completo de Nextcloud a los archivos mientras se lo permite discretamente a sus propias apps y a grandes actores corporativos, eso no es “seguridad”, es control. Nextcloud es una alternativa europea, basada en estándares abiertos y centrada en la privacidad, que puede alinearse plenamente con los requisitos del GDPR. Bloquear funciones clave y favorecer sus propios servicios es un caso de manual de abuso de poder de plataforma. Android debía ser abierto, pero movimientos como este muestran que, al menos la versión con Play Services, es otro jardín cerrado. Si la UE se toma en serio la soberanía digital y la competencia justa, debe frenar este comportamiento. De lo contrario, ninguna tecnología europea, por más cumplidora, abierta y amigable para el usuario que sea, tendrá posibilidades.
La función de “sincronizar solo una carpeta” es posible con SAF sin permisos de alto riesgo. La migración de perfiles existentes puede ser engorrosa porque, al pasar a la nueva API, el usuario tiene que volver a conceder permiso sobre la carpeta. La sincronización de todo el almacenamiento virtual, la carpeta de descargas o carpetas adicionales que proveedores como Samsung hayan puesto en una lista negra no es posible con la nueva API, pero tampoco lo es para los propios servicios de Google. La DMA solo exige que Google no quede en una posición especial, y mientras Google no ofrezca esa función, tampoco tiene que ofrecérsela a NextCloud.
Ya hubo gente así en otra publicación enviada.
Los usuarios móviles están expuestos todos los días a pop-ups, malware y secuestro de DNS. Si no fuera así, mobile no sería un tren dorado que les genera ingresos por clics a los anunciantes.
Sin este tipo de aplicación, juegos maliciosos y apps como Facebook habrían subido fotos y escaneado ubicaciones EXIF bajo el pretexto de que “necesitan acceso total”. Y en discusiones anteriores ya se confirmó que existen APIs mejores para preservar la privacidad; simplemente Nextcloud no quiere usarlas.
Google tiene un historial de crear APIs exclusivas de primera parte para darle ventaja a sus propias apps de Android.
En 2014, Google dividió la app Drive en varias apps separadas para Android, como Docs, Sheets y otras. Como era una carga pedirles a los usuarios que instalaran nuevas apps y migraran, diseñó un modal de instalación en un clic que Drive podía usar en lugar de una redirección común a Play Store. Era prolijo. En esa época, la empresa donde yo trabajaba era un gran competidor de Drive y, por razones similares, quería usar un flujo parecido al separar algunas funciones clave en apps independientes, pero no pudo. Google ocultó esa API detrás de una verificación de firma de app, ni siquiera detrás de un permiso, para que solo las apps firmadas por Google pudieran usarla. Era exclusividad hardcodeada, sin solicitud de permiso ni posibilidad de apelación. Hay razones legítimas por las que una función así puede ser riesgosa y necesitar mitigación de abusos, pero Google cruza con frecuencia la línea entre mitigación de abuso y conducta anticompetitiva.
El antiguo lema de Google, “Don’t be evil”, era una parte central de su código de conducta corporativa, que enfatizaba prácticas comerciales éticas y transparentes.
Desde que ese lema se eliminó en 2015, quedamos en manos de Google. Ahora Google se volvió como Microsoft, y esa también es la razón por la que se creó Nextcloud.
Por lo que leo, la nueva API parece un movimiento en la dirección correcta. Pero, de cualquier manera, Google en la práctica le está exigiendo a Nextcloud que permita que su backup/sincronización se rompa silenciosamente hasta que el usuario conceda el permiso.
Es probable que muchos usuarios no se den cuenta hasta descubrir una pérdida de datos, y eso parece causar un daño considerable a la confianza y a la marca. En este caso, donde las consecuencias recaen casi por completo sobre el usuario, no me parece justo que Google exija eso.
El resumen de IA está raro. Es la primera vez que veo un error que agrega
음al final de cada oración.Es la primera vez que veo un caso así. Le dije que terminara en forma nominal... y eso fue lo único que cumplió jaja