谷歌将允许用户绕过验证自行安装安卓应用

为了提升安卓生态系统的安全性并打击恶意软件，谷歌正在推行新的开发者身份验证要求。这项措施旨在通过强制开发者使用真实身份来遏制诈骗和恶意软件的传播。同时，为了平衡不同用户的需求，谷歌为学生和业余开发者提供了简化的账户类型，并为高级用户设计了一个新的流程，允许他们在接受明确的风险警告后，自行选择安装未经官方验证的应用。

为什么需要身份验证

在线诈骗和恶意软件活动正变得越来越猖獗。尽管安卓系统内置了多重技术保护，但诈骗者常常利用高压式的社交工程手段，诱骗用户绕过安全警告。

• 核心威胁： 诈骗者通过电话或信息，谎称用户账户出现问题，并诱导他们旁加载入一个所谓的“验证应用”。
• 攻击方式： 这个应用实际上是恶意软件，一旦安装，它会拦截用户的通知，窃取银行应用的二次验证码，最终盗取账户资金。
• 现有困境： 如果没有身份验证机制，不法分子可以轻易地创建新的有害应用，导致安全团队陷入一场无休止的“打地鼠”游戏。

验证机制改变了游戏规则，它迫使不法分子必须使用 真实身份 来分发恶意软件，这极大地增加了攻击的难度和成本。

平衡安全与灵活性的新方案

谷歌认识到，一刀切的安全策略并不可行。为了满足不同群体的需求，新政策引入了两种灵活的处理方式。

• 支持学生和业余爱好者： 针对那些只为家人或朋友等小范围群体开发应用的人，谷歌将推出一种专用的账户类型。这种账户无需经过完整的验证流程，就可以将应用分发给 数量有限的设备。

• 赋予高级用户选择权： 对于那些风险承受能力更高、希望安装未验证应用的高级用户和开发者，谷歌正在构建一个新的高级流程。

  • 该流程将包含 清晰的风险警告，确保用户完全理解他们所承担的风险。
  • 流程的设计重点是 抵制胁迫，防止用户在诈骗者的压力下被诱骗绕过安全检查。
  • 最终，选择权掌握在用户自己手中。

早期访问与后续步骤

谷歌目前已开始邀请开发者参与开发者身份验证的早期访问计划，并期待通过社区的反馈来进一步简化和完善所有开发者的体验。这项举措旨在与社区合作，共同维护一个既安全又开放的生态系统。