Google 現正準備對 Android 的應用程式安裝系統進行重大改革,目的是減少惡意軟件的威脅,同時不完全關閉側載的選項。這項變革預計將於九月推出,將引入一個更為嚴格的框架,使 Android 更加接近一個受控的環境,同時仍然保留對高級用戶的有限靈活性。
這次更新的核心是一個新的信任模型。Android 設備將優先考慮由經過驗證的開發者分發的應用程式,即使這些應用來自 Play Store 之外。Google 計劃要求開發者確認其身份、註冊加密簽名憑證,並支付一小筆費用,然後才能獨立發佈應用程式。這一措施被公司描述為安全升級,而非內容打壓,目的是確保用戶能夠可靠地識別應用程式的開發者。
Google 並不打算在註冊過程中對應用程式進行審核,而是專注於問責制。如果經過驗證的開發者分發有害軟件,他們將面臨失去系統訪問權限的風險。這標誌著 Android 哲學的一個顯著轉變,多年來,側載一直是該平台的定義特徵,允許用戶從幾乎任何來源安裝應用程式。然而,新的做法在這一過程中引入了一些摩擦,尤其是對於在 Google 生態系統之外運行的開發者來說。
獨立開發者可能會首先感受到影響。增加的步驟使得在沒有 Play Store 參與的情況下分發應用程式的努力增加。儘管這筆費用保持在適度範圍內,但身份驗證的要求可能會讓一些喜愛匿名或希望保持最小監管的小型團隊或業餘者卻步。批評者認為這可能會逐漸將控制權集中在 Google 的生態系統之下。
Google 承認這種緊張關係,並為高級用戶建立了一條替代路徑。然而,這條旁路選項既不顯眼也不容易啟用。這個覆蓋選項位於開發者選項的深處,普通用戶幾乎不會訪問。即使啟用了相關設置,Android 仍會引入多重保障措施。用戶必須確認意圖、驗證設備訪問權限,並在進一步操作之前重啟系統。接下來會有一個強制性的 24 小時延遲,這一等待時間防止用戶立即安裝未經驗證的應用程式,即便所有設置均已啟用。
Google 設計這一延遲是為了抵抗社交工程攻擊,這類攻擊中騙子會施壓用戶進行緊急操作。經過冷卻期後,用戶需返回同一設置區域,並瀏覽額外的警告,然後才能選擇有限或持續的許可,以安裝未經驗證的應用程式。只有在完成這些步驟後,系統才會允許通過手動覆蓋進行安裝。這一層層的過程反映了 Google 更廣泛的策略。
Google 的目標並不是消除側載,而是減緩其進程,讓用戶三思而後行。這一做法針對的是衝動決策,而這往往在惡意軟件感染中起著重要作用。對於普通用戶而言,這些改變可能不會被注意到,因為大多數應用程式已經來自 Play Store,Google 在這裡已經應用現有的安全檢查。然後,權限用戶在從其他來源安裝應用程式時,將面臨更為複雜的過程。隨著這項更新,Android 在開放性與控制之間越來越接近一個中間地帶,Google 顯然決心減少風險,同時不會完全放棄幫助該平台定義的靈活性。
