简讯
Google 宣布将于 9 月开始在部分国家(地区)限制未经验证的开发者的应用安装。
如果想在实施这项政策的国家(地区)的 Android 设备上安装应用,那它的开发者就必须在 Android 开发者管理中心注册账号,要想通过验证,通常需要向 Google 提供这些信息:
- 法定全名
- 地址
- 电子邮件地址
- 电话号码
- 官方政府身份证件
通过认证之后向 Google 提供签署应用和对应的公钥,即可完成应用和开发者的关联,也就是说通过了这项政策的要求。无论应用是否在 Google Play 分发,都受限制。
Google 目前计划在 9 月在巴西、印度尼西亚、新加坡和泰国推行这项政策,在 2027 年之后向全球推广。
Google 的新政策到底限制了什么?Android 引以为傲的开放性真的死了吗?这项政策会如何实施?
除了主流观点之外,我想分享一些我自己的看法。
以安全之名,行控制之实?
包括 keepandroidopen 在内的很多组织和个人都认为 Google 借着安全的幌子去扩张自己的平台控制力,这种说法非常迎合大众情绪,但它没错,只是说的片面。
先来看一些事实:
- 根据国际刑警组织的全球金融欺诈威胁评估报告,2025 年度网络诈骗导致的直接经济损失达到了 4420 亿美元
- GASA 调研显示,全球有 70% 的成年人经历过电信诈骗,其中 23% 的受访者最终蒙受资金损失
- GASA 调研显示,被诈骗过的 3 个人中就有 1 个人被再次诈骗
- UNODC 和国际刑警组织指出,网络诈骗已经严重到了前所未有的地步
- 据 OneSpan 报道,全球超过 60% 的诈骗都通过 Android 和 iOS 设备实施
保护普通用户免受电信诈骗威胁,确实是一个充分且正当的理由。网络诈骗已经成为全球性问题,任何移动平台都不可能对此置之不理。认为这项政策所谓的安全是幌子,并不符合现实。
但另一方面,安全目标并不会自动否定平台控制力的扩张。
对 Google 而言,这两件事情并不存在冲突。提高开发者准入门槛,有助于打击匿名恶意软件分发,但它也让 Android 软件生态进一步依赖 Google 提供的信任体系。
也就是说,Google 在一次调整中同时获得了安全和平台收益。
实施不会畅通无阻
欧盟的 DMA 法案明确要求守门人(Gatekeeper)必须允许侧载和第三方应用商店。
Google 可以辩称,它们并没有禁止侧载,也没有禁止第三方应用商店,只是要求开发者完成身份验证。然而,这样的解释很难让监管机构相信。
欧盟近年来在多个案件中都反复重申:限制措施必须与其追求的合法目标相称,并且是在现有条件下侵害最小的方案。
Google 为高级用户保留了 Advanced Flow,但用户仍需要等待 24 小时才能完成安装。相比部分 Android 厂商要求等待 7 天才能解锁 Bootloader,这样的要求确实不算太严苛。然而,监管机构关注的并不是”等待时间是否足够短”,而是这种等待是否属于实现安全目标所必需的成本。
更重要的是,Google 还得证明,这种限制能够带来与其代价相称的安全收益。
根据卡巴斯基和 Zscaler 的统计,仅 2025 年,Google Play 就成功上架了 239 款恶意欺诈应用,累计下载量超过 4200 万次。这意味着,开发者身份验证并不能从根本上保证软件安全,Google 建立的信任体系本身也早就有过失效记录。
这项政策很大概率上会继续实施,但不会按原样实施。例如,可能只在部分国家(地区)适用,允许用户选择是否启用,或者提供更低摩擦的高级用户方案。
有趣的是,对于不想上传隐私信息的开发者,Google 提供了部分发行的选项,注册这样的开发者账号是匿名的,但只允许在最多 20 台设备上安装,考虑到没有限制 ADB 安装,这一限制究竟能够阻止哪些现实中的攻击场景,并不十分明确。同时也说明,Google 并没有把匿名等同于恶意,这是一个妥协的例外选项。
政策如何落地?
按照目前公布的信息来看,这项政策将通过 GMS 实施,它的实现与 AOSP 本身无关,这也就意味着无 GMS 的系统和使用自定义 Gapps 的系统不会受到这项政策限制。
Google 似乎并没有试图修改 Android 本身,而是在 GMS 生态内调整应用分发规则。
这项政策的落地也不够底层,通过 ADB 进行的安装不会受到限制,通过 pm 直接发起的安装行为也不会受到限制,也就是说类似于 InstallX 这样通过调用 pm 的安装器也不受限。
值得注意的是,Google 在它们的网站上强调了 ADB 安装不受限1:
ADB 工作流程和体验保持不变
您的应用仍然可以旁加载。用户的体验可能会因您选择的路径而异。
它们同时在同一个页面上列出了旁加载未注册的应用,未经验证的开发者可以通过任何渠道(除了经过验证的)分发应用2。
截止目前 Google 的合作伙伴(即受信渠道)包括:
- Google (Google Play)
- Honor(荣耀应用市场)
- OPlus(OPPO 应用商店)
- Samsung(Galaxy 商店)
- Transsion(Palm 商店)
- vivo(V 应用商店)
- Xiaomi(GetApps)
一些思考
比例原则
欧盟监管可能成为政策实施的最大阻碍。
一项措施的目标可以是正当的,但并不意味着任何手段都是正当的。为了实现同一个目标,通常存在不同的实现方式,而这些方式对用户权利造成的影响并不相同。因此,监管机构需要判断:一项限制措施是否真的有必要,以及它带来的收益是否足以抵消它所造成的代价。
这是欧盟在近些年来监管中最重要的核心原则之一:比例原则
就在本文写作期间,Apple 再次就 DMA 下的 Gatekeeper 认定败诉3。Apple 认为部分要求会削弱安全和隐私,而欧盟则坚持,大型平台不能仅以安全为由拒绝开放生态,平台需要证明其限制措施是必要且相称的。
Google Play 在上文所述事实中,并非绝对安全,细看这些合作伙伴应用商店,遭受过供应链攻击的也不在少数。Google 很难向监管机构证明,阻止用户自行(常规方法)未经验证的侧载应用是安全的,例如,Galaxy 商店分发过带有 AbstractEmu 的恶意软件,GetApps 分发过带有 Android.Phantom 和 Keenadu 的恶意软件,荣耀、OPPO 和 Vivo 均在应用商店分发过携带 TrojanSMS 的恶意软件。
仅以开发者验证和受信任分发渠道作为区分标准,究竟能够额外降低多少风险,以及是否足以支撑由此带来的限制,仍然需要更充分的证据。
就目前掌握的信息来看,Google 很难证明它的措施对安全目标带来了显著的提升,以及这种安全性的提升与政策是否符合比例原则。如果 Google 无法证明,它就需要提供侵害性更小,更低摩擦的解决方案。
仅仅以我个人的看法,这项政策的强制性制造的巨大摩擦是与安全收益不符的。
高级用户与开发者到底损失了什么?
向开发者索要 25 美元的验证费用显然不是 Google 的目的。
整个事件中最暧昧的一点就是,Google 强调了 ADB 安装不受限制4,如果 Google 真的想彻底封堵侧载,为什么还要强调?ADB 安装照样可以被拦截,可以验证,这在国产 ROM 上已经有了非常成熟的先例。
然而 Google 没有这么做。
实际上,对于一个普通用户来说,骗子想教会他使用 ADB 在手机上安装应用,这在合理的时间成本内是无法实现的,同时 Google 可能也认为 ADB 是一个较强的信任信号。当然也可以说 Google 是妥协,或者他们不想破坏现有的工作流程,这都是比较合理的解释。但无论原因是什么,ADB 被明确保留下来,本身就是一个值得关注的政策信号。
尾语
至少根据目前公开的信息来看,Google 并没有试图消灭 Android 的开放性,而是在重新定义 Android 的信任模型。
它限制的是普通用户的默认安装路径,而不是 Android 的所有安装能力。ADB、AOSP 以及 GMS 之外的生态依然存在,高级用户仍然保留着对设备的最终控制权。
不用太着急把 Google 定义为无恶不作的恶棍,这项政策并非没有争议。
Google 并没有关闭 Android 的所有大门,而是在其中一扇门前增加了一道门禁。
真正值得关注的是,这道门禁未来是否会越来越高,最终影响到本应保留给高级用户的自由?
至少目前,无论是 Google 自己和反对它们的组织,都有一定程度上的夸大宣传,这当然是必要的,这样说才会引起大众和监管机构的注意,至于接下来的两个月会有什么调整,还需要等待新的消息。
我不对这件事持太悲观的看法,欧盟委员会已经发起了公开咨询[^5]。包括电子前哨基金会、自由软件基金会、F-droid 在内的组织已经参团,炮轰 Google.
最终这项政策会以什么形式落地,也许接下来的几个月就会有答案。