Android 生态装新锁:Google 新规或将限制应用获取渠道
Google 最新宣布,自2026年起所有应用开发者均需完成身份验证,其应用方能继续在 Android 设备上运行。此规则适用于所有应用(无论安装来源),但已上架 Google Play 商店的开发者可能几乎感受不到变化。
Google 表示,若应用已在 Play 商店,开发者很可能已提供验证所需全部信息。商店将直接使用现有资料自动完成应用注册。
真正受影响的是通过 Play 商店以外渠道分发应用的开发者,以及依赖这些应用的用户。这包括通过 APKPure、F-Droid、Amazon 应用商店等第三方平台分享的应用,以及开发者网站直接提供的 .APK 文件。
Google 解释称,推出此验证流程旨在“更好地保护用户免受重复作恶者传播恶意软件和诈骗的侵害。”据其数据显示,Google Play 上架应用的恶意软件数量比外部渠道应用低50倍以上。
验证流程与受影响群体
Google 正在为 Play 商店以外的开发者专门构建新的 Android 开发者控制台。感兴趣的人可以查看该公司发布的文档了解初步流程。
更重要的是,若开发者同时通过 Play 商店和外部渠道分发应用,无需创建独立控制台账户。其现有 Play 控制台账户将新增选项,用于注册外部渠道分发的应用。不过,仅通过外部渠道分发应用的开发者需创建新账户。
注册流程要求开发者(无论个人或组织)提交政府签发的有效身份证件(如护照或驾照)、已验证邮箱和手机号。这些信息需通过 Google 发送的一次性代码确认。随后系统将引导开发者通过提交签名密钥的 SHA-256 公钥指纹、包含特定验证文件的已签名 APK,将其应用包名与已验证身份关联。对使用单一密钥和唯一包名的开发者而言,该过程约需10分钟即可完成。
值得注意的是,此过程不审核应用实际内容。 Google 将验证步骤比作机场身份证检查,是为了确认身份而非“用 X 光扫描行李”。
Google 同时声明,业余开发者与学生可豁免完整验证流程,这些要求对他们而言可能构成额外负担。此类开发者可创建特殊账户类型,仅需简化审查且无需支付常规的25美元费用。其他所有开发者仍需完成完整验证流程,并支付25美元费用方可在新控制台创建账户。
用户能否获益未可知,开发者头痛已注定
这项新政策立即引发了开发者社区的强烈反对。主要担忧在于:新规几乎无法阻止恶意行为者,鉴于顽固的攻击者早已证明其有能力绕过 Google 自有生态内的现有防护措施,他们必将找到钻新系统空子的方法。
众所周知,尽管 Google Play 商店的开发者早已接受身份验证与安全审查,但仍有数百款恶意应用持续钻过系统漏洞。Bitdefender 最新调查发现,331款恶意应用在 Google Play 上发起大规模广告欺诈与钓鱼攻击,累计下载量超6000万次。这些应用不仅轻松绕过 Android 13的安全限制、使用高阶技术隐藏行踪,甚至通过钓鱼攻击窃取用户凭证与信用卡数据——全程伪装成合法工具应用运作。
与此同时,对于数量远超过恶意行为者的守法开发者而言,新系统很可能只会带来更多额外负担。虽然具体操作流程的繁琐程度尚不明确,但其影响预计将十分显著。依赖侧载或第三方应用商店(而非Google Play)的小型开发者群体,预计将感受到最强烈的冲击。
虚假安全感与受限的选择空间
从用户视角来看,这些变化可能引发某些意料之外且影响深远的负面后果。最直接的影响是:应用选择范围(尤其是 Google Play 之外的应用)可能会收缩。依赖侧载或第三方应用商店的合法独立开发者,宁可选择退出也不愿应对额外的验证流程。讽刺的是,这反而可能导致这些平台中恶意应用的浓度上升。因为欺诈者比几乎无利可图的小开发者更有动力通过该验证。
新政策还可能制造虚假安全感。如果用户开始认为任何来自已验证开发者的应用(包括从 Play 商店外安装的应用)都是安全的,他们可能会降低警惕性。这可能导致更轻率的下载习惯:用户跳过基本的风险评估流程,未经审慎考虑就安装应用。
AdGuard Android 版将何去何从?
Android 版 AdGuard 用户皆知,此应用无法在 Google Play 中寻得。原因在于 Google 政策禁止功能完备的网络级广告拦截器上架。用户可以通过官网直接下载 AdGuard 完整版,亦可从多家第三方应用商店获取。
我们将始终坚持让 AdGuard 惠及每一位用户。郑重保证:必将采取一切必要措施遵循 Google 新规,确保应用持续可用。
