谷歌这回真下狠手了。3月20日,他们正式宣布针对未验证开发者来源的安卓App侧载,引入一套“高级流程”,核心就是强制等24小时才能装包。目的直白:砍掉恶意软件和诈骗成功率。
简单捋一下背景。去年谷歌就扔出开发者验证新规,所有要在认证安卓设备上装的App,必须由验证过的开发者注册。没这步,Play Protect直接拦。黑产一看路被堵,干脆诱导用户侧载恶意App,骗取高权限关掉防护。结果呢?去年底到今年,野外冒出至少17个安卓恶意家族,Perseus这种专门搞土耳其和意大利用户的设备接管+金融诈骗,杀伤力不小。
开发者社区炸锅了。F-Droid、Brave、EFF、Proton、Tor Project、Vivaldi等50多家联名抗议,说这套验证等于给隐私和开源加了层层关卡。开发者得交什么个人信息?数据怎么存、怎么用?政府要调取怎么办?谷歌没给清晰答复,大家自然慌。
这次谷歌算是让步了,推出“高级流程”给高级用户和极客用。步骤不少,但逻辑很防社工:
先去系统设置开开发者模式。 点确认“我是自愿的,没人忽悠我”。 重启手机再认证,防诈骗分子远程盯着你操作。 等满24小时。 用指纹/面部或PIN再确认一次“我真的要干这事”。 之后就能永久或7天内随便侧载未验证App。
Android生态总裁Sameer Samat对Ars Technica说得直白:24小时窗口期够让受害者冷静下来,发现“亲人没被抓进局子”“银行账户也没被冻结”。社工诈骗最怕时间,谷歌就卡在这点上。
还有个针对学生和爱好者的福利:免费“有限分发账户”,最多分享给20台设备,不用交政府ID也不收注册费。纯兴趣开发总算有个喘气空间。
时间表也定了。高级流程和有限分发账户8月上线,开发者验证强制要求9月才生效。谷歌自己表态:生态太杂,一刀切肯定玩不转,得给不同人群不同路。
说实话,这招防诈骗确实管用。侧载诈骗过去一年在东南亚和欧洲吃得开,很多受害者都是被假客服、假中奖、假亲属绑架电话一步步骗到装包。现在多等一天,骗子剧本就容易穿帮。
可对开源社区和隐私党来说,味道还是不对。24小时冷静期听着合理,实际操作门槛拉高不少。F-Droid那种纯净源用户本来就少,再加这套仪式感流程,装个新版App得跟过安检似的。EFF他们担心不是没道理:验证流程越复杂,后台数据收集越容易扩大,迟早变成监控工具。
加密圈其实也该留意这事。安卓手机仍然是链上钱包主力军,MetaMask、Trust Wallet这些热门App,很多用户习惯侧载最新版APK抢先体验。以后想装个未验证的DeFi测试版或新链钱包,至少得提前一天规划。黑产转头也可能更精准地用钓鱼网站诱导用户走这套高级流程,等于把门槛抬高了,但没彻底堵死。
当前行情里,BTC报$70,445(24h +1.22%),ETH报$2,142(24h -0.57%),链上活跃度还在爬升,移动端入口的重要性只会越来越高。谷歌这波操作,名义上是保护用户,实际上也在重新划定安卓生态的权力边界。
开源爱好者估计得再骂一阵子。普通用户可能压根察觉不到变化。真正受伤的,恐怕还是那些天天被诈骗电话轰炸、最后乖乖点“允许未知来源”的中老年群体——他们现在多了一天逃出生天的机会。
这事还没完。8月真上了流程,看实际落地效果再说。谷歌想两头通吃:既保安全,又别把开发者逼反。难。