谷歌为未验证应用侧载新增24小时等待期以减少恶意软件和诈骗

谷歌在周四宣布了一项针对安卓侧载的新"高级流程"，要求安装来自未验证开发者的应用必须经过24小时强制等待期，以期在开放性与安全性之间实现平衡。

这一变化是在谷歌去年宣布的开发者验证要求背景下推出的。该要求规定，所有安卓应用都必须由经过验证的开发者注册，才能在经过认证的安卓设备上安装。谷歌表示，此举是为了更快地识别恶意行为者并阻止他们传播恶意软件。

这也包括潜在的情况，即网络犯罪分子欺骗不知情的用户通过侧载此类应用来授予它们更高的权限，从而可能关闭Play Protect——这是所有谷歌认证安卓设备内置的反恶意软件功能。

然而，强制注册要求遭到了包括F-Droid、Brave、电子前沿基金会、Proton、Tor项目、Vivaldi在内的50多个应用开发者和应用商店的批评。他们认为这些要求存在制造摩擦和准入壁垒的风险，并在缺乏关于开发者必须提供什么个人信息、这些数据将如何存储、保护和使用，以及是否可能受到政府要求或法律程序约束的明确说明的情况下，引发了隐私和监控担忧。

为了缓解这些棘手的问题，谷歌强调新开发的高级流程允许高级用户保持从未验证开发者处侧载应用的能力，这是一个一次性流程，要求他们遵循以下步骤：

在系统设置中启用开发者模式

确认他们是出于自愿而采取此步骤，并且没有受到指导

重启手机并重新验证身份，以防止诈骗者监控用户正在执行的操作

等待24小时期间，并通过生物识别验证或设备PIN确认他们真的要进行此更改

一旦用户了解风险，就可以无限期或在七天期间内从未验证的开发者处安装应用

安卓生态系统总裁萨米尔·萨马特在接受Ars Technica采访时表示："在这24小时期间，我们认为攻击者更难维持他们的攻击。在这段时间里，你可能会发现你所爱的人实际上并没有被关在监狱里，或者你的银行账户实际上并没有受到攻击。"

谷歌还表示，计划提供免费的"有限分发账户"，让爱好者开发者和学生能够与多达20台设备分享应用，而无需"提供政府颁发的身份证或支付注册费"。

值得注意的是，上述流程不适用于通过安卓调试桥(ADB)进行的安装。面向学生和爱好者的有限分发账户以及面向用户的高级流程将在2026年8月推出，比新的开发者验证要求生效时间提前一个月。

谷歌表示："我们知道'一刀切'的方法对我们多元化的生态系统不起作用。我们希望确保身份验证不会成为准入障碍，所以我们提供不同的路径来满足您的具体需求。"

这一发展恰逢出现了一种名为Perseus的新安卓恶意软件，该软件正在积极针对土耳其和意大利的用户，目的是进行设备接管(DTO)和金融诈骗。

在过去四个月中，野外至少检测到17个安卓恶意软件家族。它们包括FvncBot、SeedSnatcher、ClayRat、Wonderland、Cellik、Frogblight、NexusRoute、ZeroDayRAT、Arsink(及其改进变种SURXRAT)、deVixor、Phantom、Massiv、PixRevolution、TaxiSpy RAT、BeatBanker、Mirax和Oblivion RAT。

Q&A

Q1：谷歌为什么要对未验证应用侧载增加24小时等待期？

A：谷歌推出24小时强制等待期是为了在开放性与安全性之间实现平衡，防止网络犯罪分子欺骗用户安装恶意软件。在这24小时内，攻击者更难维持攻击，用户也有时间发现可能的诈骗行为。

Q2：新的高级流程具体需要哪些步骤？

A：用户需要先在系统设置中启用开发者模式，确认是自愿操作，然后重启手机并重新验证身份，等待24小时后通过生物识别或PIN确认，最后才能安装未验证开发者的应用。

Q3：开发者验证要求对普通开发者有什么影响？

A：谷歌要求所有应用必须由经过验证的开发者注册才能安装，但为了不设置准入壁垒，谷歌将提供免费的"有限分发账户"，让爱好者开发者和学生能够与多达20台设备分享应用，无需提供政府身份证或支付注册费。