Google 針對 Android 生態系的安全性政策做出進一步說明,雖然即將實施針對應用程式「側載」 (Sideloading) 的嚴格身分驗證規範,但官方也確認,未來仍會為「有經驗的用戶」(experienced users) 提供選項,允許在充分了解風險的前提下,安裝來自未驗證開發者的應用程式。
這項政策調整顯示 Google 試圖在強化系統安全與維持 Android 開放性之間,尋求一個新的平衡點。
強制開發者驗證身分,否則將被阻擋側載
回顧今年 8 月,Google 曾宣布將實施一項新的安全功能,要求開發者若希望其應用程式能被 Android 用戶進行側載 (即不透過 Google Play Store,直接以 APK 檔案安裝),就必須先驗證其身分 。
目前,Google 已開始透過 Android 開發者控制台 (Android Developer Console),邀請那些「專門在 Play Store 以外分發應用程式」的開發者,參與身分驗證功能的早期存取測試 。而此舉的主要目的,是為了遏止惡意軟體氾濫,特別是那些由匿名惡意份子快速生成的詐騙 App。
v回應社群反饋,將提供「進階流程」繞過限制
然而,這項限制也引發了部分開發者與 Power Users (重度使用者) 的擔憂,認為這可能扼殺 Android 系統長期以來的自由度。
對此,Google 在公告中透露,在收到開發者與高階用戶希望能保留下載未驗證 App 能力的回饋後,公司決定調整作法 。Google 表示,目前正在建構一個「新的進階流程 (new advanced flow)」,讓有經驗的用戶可以選擇「接受安裝未經驗證軟體的風險」。
雖然 Google 尚未詳細說明如何定義或判斷誰是「有經驗的用戶」,也未展示該流程的具體設計,但官方強調,這個流程的設計初衷是為了確保一般用戶不會被詐騙份子欺騙而誤觸,系統將會顯示關於潛在風險的「清晰警告」。Google 目前正針對此機制收集回饋,預計在未來幾個月內分享更多細節 。
鎖定亞洲常見詐騙:假冒銀行客服誘導側載
Google 之所以要大費周章限制側載,主因是為了打擊特定類型的網路攻擊。Google 解釋,特別是在亞洲地區,一種常見的攻擊手法是詐騙份子假冒銀行員工致電受害者,謊稱其帳戶遭駭,並且指示受害者「側載」一個聲稱是用來保護資金、實為惡意軟體的應用程式 。
在過程中,詐騙份子往往會透過話術向受害者施壓,要求他們忽略系統跳出的安全警告。一旦安裝,這些惡意App就會竊取受害者的登入憑證,甚至攔截存取銀行帳戶所需的雙重驗證碼 (2FA) 。
Google直言:「雖然我們有先進的防護措施來偵測並下架惡意App,但在沒有身分驗證的情況下,惡意份子可以瞬間生成新的有害App,這變成了一場無止盡的打地鼠遊戲。」
而透過強制驗證,Google 希望迫使攻擊者必須使用真實身分來分發惡意軟體,這將大幅提高其攻擊的難度與成本。不過,這項針對開發者的驗證要求目前仍處於早期階段,預計要到 2026 年底才會廣泛推出 。
