在 Android 的开放性与用户的安全性之间,谷歌正在寻找一个新的平衡点。
谷歌宣布,将于 今年 8 月 在 Android 系统中引入一项名为 “高级流程” (Advanced Flow) 的新机制。该机制允许高级用户以更安全的方式从未经认证的开发者处侧载(Sideloading)APK 安装包,但前提是必须通过一套严格的验证流程,以此最大限度地降低恶意软件感染和电信诈骗的风险。
🚨 背景:每年 4420 亿美元的诈骗损失
根据全球反诈骗联盟的数据,仅去年一年,因各类诈骗造成的经济损失就高达 4420 亿美元。
其中,一种常见的诈骗手段是利用受害者的恐惧心理(如声称账户将被冻结、涉及法律纠纷或亲人遇险),制造极度的紧迫感,诱导受害者在慌乱中下载并安装恶意 APK 文件。诈骗者往往会在电话中实时指导受害者绕过系统警告,导致用户在未及思考的情况下中招。
🛡️ 核心机制:用“摩擦”换取“安全”
为了打破这种“高压胁迫”的诈骗链条,谷歌设计的“高级流程”特意增加了操作上的摩擦力和时间成本。对于想要安装来自未经认证开发者应用的高级用户,必须完成以下 5 个步骤:
- 开启开发者模式:进入系统设置,手动开启开发者选项。
- 确认非受胁迫:系统弹出提示,用户需确认自己并未受到威胁行为者的诱导。
- 重启并重新认证:必须重启手机,并再次通过生物识别或密码验证身份。
- 24 小时冷静期:重启后,系统强制要求等待一天。24 小时后,用户需再次确认修改是合法的。
- 最终授权:完成上述步骤后,用户方可安装应用。授权有效期可选择“一周”或“无限期”。安装时,系统仍会显示醒目的警告,提示该应用来自未经认证的开发者。
设计逻辑:这套流程的核心在于破坏诈骗的“紧迫性”。当诈骗者要求受害者“立刻、马上”安装时,这套需要重启手机并等待 24 小时的流程,给了受害者充足的时间去冷静思考、咨询亲友或报警,从而识破骗局。
⚖️ 战略定位:开放性与保护的折衷方案
谷歌将“高级流程”定位为 Android 开放传统与用户保护需求之间的安全折衷方案。
这一举措也是为了平稳过渡到谷歌去年 8 月首次宣布的 开发者验证要求:
- 新规则:所有 Android 应用发布者(无论通过何种渠道分发)都必须经过谷歌的身份验证。
- 后果:未经过验证的开发者所发布的软件,在已认证的 Android 设备上将被默认阻止安装。
尽管此前因社区强烈反对,谷歌推迟了该规则的原始实施时间表,但其推行身份验证系统的决心并未改变。最新的公告确认,这套包含“开发者验证”与“高级流程”的组合拳,仍将于 2026 年 8 月 正式落地。
💡 对谁有影响?
- 普通用户:几乎无感。他们主要依赖 Google Play 商店,受到的保护将进一步加强,误装恶意软件的概率大幅降低。
- 高级用户/极客:依然保留侧载权利,但门槛显著提高。你需要提前规划,无法再“即下即装”未知来源的应用。
- 开发者:必须尽快完成谷歌的开发者身份验证,否则其应用将无法被用户轻易安装,面临被市场边缘化的风险。
评论