Synth Daily

谷歌发现了一种新的 Android 恶意软件

谷歌即将推出的“安卓开发者验证”(ADV)机制并非一项安全功能,而是一种强制性的控制工具。它通过 Play Protect 等系统被秘密安装在安卓设备上且无法移除,其真正目的是让谷歌能够集中审核并阻止未经其批准的开发者和应用,从而威胁到 F-Droid 等开放软件平台的生存。该计划已引发开发者和公民组织的广泛反对,他们担心这将严重损害安卓的开放生态、用户自由选择权和个人隐私。

一种伪装成系统服务的威胁

一种名为“安卓开发者验证”(ADV)的程序正通过系统更新被安装到全球数十亿台安卓设备上。它并非普通恶意软件,而是由 谷歌自己 传播的。

  • 强制安装: ADV 伪装成一个系统服务,通过 Play Protect 安装,拥有完整的系统权限。
  • 无法移除: 用户无法阻止、禁用或删除这个程序。
  • 唯一目标: 一旦被激活,它的任务就是阻止你运行任何未经谷歌官方批准的开发者所创建的应用。

这本质上是一个特洛伊木马,它将把安卓从一个开放的平台转变为一个由谷歌严格控制的封闭花园。

以安全为名的激进变革

谷歌声称,强制所有开发者进行中央注册是为了遏制恶意软件的传播。然而,这种说法站不住脚。

  • 治标不治本: 该机制并不能从一开始就阻止恶意行为者分发软件,最多只能让已被识别的惯犯在更换新账户时遇到一点麻烦。
  • 存在更优方案: 有许多侵害性更小的解决方案被提出,例如增强 Play Protect 的审查能力,或建立一个联合验证系统,让用户自己选择信任的来源。
  • 真正的意图: 谷歌正利用一个微小的问题作为借口,彻底颠覆安卓长达 18 年的开放传统,将自己定位为全球应用生态的 唯一守门人

“恶意软件”的定义由谁说了算?

开发者如果选择向谷歌注册,除了支付费用和提交个人身份信息外,还必须同意其服务条款。其中一条款项尤其令人担忧:

6.5 如果您违反任何条款或分发恶意软件或其他有害应用程序,谷歌可能会终止您对 ADC 的访问…

这里的关键问题是,条款中并未定义什么是“恶意软件”。这意味着谷歌可以单方面决定任何它不喜欢的软件都是“恶意软件”。

  • 先例已存在: 谷歌早已将某些“广告拦截器”归类为恶意软件,并从其应用商店下架。
  • 商业动机: 作为一个全球广告巨头,将所有广告拦截软件定义为恶意软件,并阻止其在所有安卓设备上安装,完全符合其商业利益。

当“恶意软件”等同于“我们不喜欢的软件”时,平台就可以基于商业利益或政府压力,随意定义和封杀任何应用。

开发者与民间组织的强烈反对

谷歌声称其计划广受欢迎是具有误导性的,因为绝大多数 Play 商店的开发者是在不知情的情况下被自动加入该计划的。

事实上,社区的反对声浪是压倒性的:

  • 数十万人签署了反对 ADV 的请愿书
  • 超过 70 个组织签署了“保持安卓开放”的公开信,其中包括 EFF(电子前沿基金会)、FSF(自由软件基金会)和 ACLU(美国公民自由联盟)
  • 几乎所有关于此话题的互联网搜索、社交媒体民意调查都证实了公众的普遍谴责。

尽管面临如此强烈的抵制,谷歌仍在强行推进其封锁计划。F-Droid 这种依赖开源透明度建立安全与信任的模式,与谷歌的“信我就行”的封闭模式根本不相容。

即将到来的不确定性

我们尚不清楚当 ADV 于 9 月 30 日 在首批地区(巴西、印度尼西亚、新加坡和泰国)被激活时,会发生什么。这给用户带来了许多悬而未决的问题:

  • 当我尝试安装或启动 F-Droid 应用时会发生什么?
  • 我已经通过 F-Droid 安装的应用会被 禁用或直接删除 吗?
  • 如果我依赖的应用突然消失,它们包含的 数据会怎样?我还能取回吗?
  • 由于所有应用的安装和启动都会被上报给谷歌进行验证,这些遥测数据具体包含哪些 个人信息