谷歌以24小时延迟收紧安卓侧载

关键信息

谷歌表示，其分析发现，来自侧载来源的恶意软件数量是 Google Play 应用的 50 倍。新的流程名为 Advanced Flow，要求开启开发者模式、确认没有被他人诱导、重启并重新认证、使用生物识别或 PIN 验证，然后等待 24 小时；它由 Google Play Services 实现，而不是开源的 Android 核心部分。

资讯摘要

ZDNET 介绍称，谷歌正在对安卓侧载做出重大调整，也就是从 Play 商店之外安装应用的做法。谷歌一直认为，来自未验证开发者的侧载存在安全风险，并引用其内部分析称，来自互联网侧载来源的恶意软件数量比 Google Play 上的应用高出 50 倍。谷歌同时强调，侧载并不会被完全取消，但公司显然想让这一过程更难被滥用。文章指出，这套新方案最早在去年被披露，如今正在变成一个结构化的验证流程。

谷歌 Android 应用安全产品管理总监 Matthew Forsythe 说明了面向未验证开发者应用的五步流程。步骤包括开启开发者模式、确认没有被他人诱导关闭安全保护、重启手机并重新认证、经历强制的 24 小时冷静期，然后再通过生物识别或设备 PIN 完成安装。用户还可以选择将该设置启用 7 天，或者长期开启。ZDNET 认为，虽然技术上侧载仍然存在，但加上警告、等待和额外验证后，这一过程对普通用户来说几乎已经形同消失。

资讯正文

关注 ZDNET：在 Google 上将我们添加为首选来源。ZDNET 的核心要点

Google 表示，此举将让 Android 更安全。

从未经验证的开发者处进行 sideloading 将需要一个五步流程。

此外，还将有一个强制性的 24 小时冷静期。

多年来，Android 和 iOS 之间最明显的差异之一，一直围绕着谁对硬件拥有最终控制权。苹果始终坚持，只有封闭生态系统才能保护用户安全。顺带一提，这种封闭生态系统也有利于苹果的利润，因为它很容易从平台上的大多数数字销售中抽成。买一部电影，或者订阅一个应用，苹果都能获得 15% 到 30% 不等的佣金。

Google 选择了不同的路径。是的，Google 有 Play 商店；是的，Google 会从应用订阅和软件内附加功能中抽成。虽然对大多数用户来说，Google Play 商店是他们获取应用的地方，但也有其他选择。其中之一就是 sideloading，也就是绕过 Google Play 商店，安装来自未经验证开发者的应用。

另外：我安装了 3 款非官方 Android Auto 应用，让车机屏幕更实用——以及原因

但 Google 正计划对 sideloading 做出一些重大改变，理由都是安全。去年，Google 开始概述这一做法将如何运作。公司也急于强调，sideloading 并不会消失。

另外：这个静默的 Android 功能会扫描你的照片，查找“敏感内容”——如何卸载它

但我读得越多，越觉得 Google 打算改变 sideloading 运行方式的方案，本质上几乎等于把它废掉了。

如果你从来不会在 Android 设备上 sideload 任何东西？那这一切对你没有任何影响。

为什么要限制 Android 应用 sideloading？根据 Google 的说法，sideloading 存在安全风险。实际上，该公司分析发现，与通过 Google Play 提供的应用相比，sideloading 导致的“来自互联网 sideload 来源的恶意软件”多出“50 倍”。

另外：我找到了一款免费的 Android 应用，让删除照片就像左滑一样简单

这确实是个相当有说服力的数据。我是说，我们都知道，在 Windows（以及 Mac OS）这类平台上，人们会为了某种好处的承诺，把各种东西下载并安装到自己的系统里，通常是某种原本需要花钱、但可以免费获得的东西。

但 Google 也意识到，有些用户确实需要一种 sideload 应用的方式，因此它设计出一种方法，让这一做法继续存在，同时让坏人更难利用这一机制。而这项转变意味着一些重大变化。

有哪些新变化？Google Android 应用安全产品管理总监 Matthew Forsythe 概述了高级用户需要遵循的新流程，以绕过安全机制并从未经验证的开发者那里 sideload 应用。启用开发者模式：打开“设置”应用，向下滚动到“关于手机”，然后连续点击 7 次版本号。系统会提示你输入密码，完成后你就进入了。

确认没有人在对你进行“指导”：有人是不是在试图让你关闭安全设置？

这就是一个危险信号，Google 想要强调这种风险。

重启手机并重新认证：如果有第三方参与侧载，这一步会起到防火墙的作用。24 小时冷静期：Google 将在允许侧载之前强制执行 24 小时冷静期。该方案还要求继续操作时进行生物识别认证（指纹或面部解锁）或设备 PIN 码验证。安装：现在，用户可以从未验证开发者那里安装应用，他们还可以选择将该方案启用 7 天，或无限期允许。

Google 将这一机制称为 Advanced Flow，它不会成为 Android 开源部分的一部分，而是会归入封闭源代码、专有的 Google Play Services 平台。

另外：如何在 30 秒内清理你的 Android 手机缓存

从经过验证的开发者以及分发规模有限的开发者那里侧载应用不会改变（这里的“分发规模有限”非常有限，只限制到 20 台设备）。这些变化将适用于使用 F-Droid 等渠道、且与 Play 商店毫无关系的开发者。Google 计划从 2026 年 9 月开始，在“部分地区的应用”上推出这些变化。

支持侧载的理由

最大的理由是自由。硬件是你的，你应该能够随心所欲地使用它，甚至包括安装垃圾软件和恶意软件。

我见过的、关于为什么侧载很重要，以及为什么对其运作方式的任何改变最终都会有害的最佳概述，出现在 Reddit 上。那场讨论涵盖了从设备自由、开发者隐私与安全，到能够适配和分支开源程序等方方面面。

透过表象来看

毫无疑问，侧载确实是恶意软件进入 Android 设备的一条路径，而 Google 也拿得出其“恶意软件数量多 50 倍”这一说法的证据。反过来说，同样毫无疑问的是，侧载是许多 Android 用户非常看重的一项功能。

很难不注意到，Google 在这里提出的解决方案有多么刻意地繁琐；我看不出更强硬的重度用户之外，有谁愿意费这么多事去层层闯关。而且鉴于这一机制被内置在 Android 的专有部分里，Google 未来完全可以决定修改它，甚至彻底关闭它。

同样重要的是要记住，虽然人们很容易把注意力集中在来自未验证开发者的应用上（尤其是那些合法工具或诈骗性质的工具），但最终，推动开发者通过验证也会带来后果，因为 Google 有能力阻止任何开发者的应用。

另外：你的 Android 手机将借助 Gemini Intelligence 获得智能代理能力

Google 未来可能想要关闭哪些类型的应用？不难想到一些。科技巨头可能会在企业压力下关闭诸如模拟器之类的应用（这类应用中的一部分，已经有一段时间需要在 Play 商店进行开发者 ID 检查），或者它可能想要阻止 ReVanced 这样的工具——这是一款应用，除了其他功能外，还能在不订阅的情况下启用 YouTube Premium 功能。

我完全能理解谷歌想要保护应用收入，而封禁这类应用会帮助它做到这一点。谁能拯救侧载？大概没有。到目前为止引发的这番争议或许已经让谷歌做出了一些让步，但我相当确信，公司从一开始就有类似的计划。用户可以转投 iPhone，不过那是一个更封闭的生态系统。那些设备兼容的人可以安装定制操作系统，比如 LineageOS 和 GrapheneOS，但这条路可不是胆子小的人能走的。

那么，来自美国之外、例如欧盟这样的地方，对谷歌施加的立法压力又如何呢？毕竟，欧盟委员会——这个对所有大型科技公司都没什么好感的机构——曾迫使苹果允许第三方应用商店、侧载和替代支付系统，取消了 Lightning 接口，甚至可能会确保 iPhone 拥有用户可更换电池。欧盟能否拯救我们所熟知的侧载？我不会抱太大希望，因为谷歌并没有封锁侧载。相反，这家公司只是给它设置了重重障碍。

来源与参考

1. 原始链接
2. Google's big Android sideloading crackdown has a 24-hour catch - how the new limits work