在《數字市場法》(DMA)的壓力下,歐盟的iPhone使用者不僅可以從第三方應用商店下載下傳App,還可以從網站下載下傳、安裝應用。在歐盟揮舞法律大棒的情況下,蘋果方面不得不捏着鼻子讓iPhone支援以往厭棄的“側載”,但此前以開放聞名的Android,如今卻開始對側載越來越嚴苛了。
日前,有海外媒體在Android 15的Beta 1.1版本中發現,谷歌方面新增了“增強确認模式”(Enhanced Confirmation Mode),旨在對側載應用的敏感權限進行更為嚴格的控制。
據悉,後續通過側載方式安裝的App如果想要啟用輔助功能或者通知偵聽器服務等相對敏感的權限,Android系統就會直接提示,“為了您的安全,此設定目前不可用。”
從數年前開始,作為Android生态的盟主,谷歌對于側載的看法與蘋果也越來越像。谷歌CEO桑達爾·皮查伊在與Epic Gaems的訴訟中就曾表示,“我們不想讓你完全破壞你的手機,因為它(側載)可能會在你的手機上安裝惡意軟體,并對你的安全構成嚴重威脅”。
其實谷歌不喜歡側載的原因也很簡單,因為後者确确實實成為了Android手機的安全隐患。根據谷歌方面最近一次(2018年)公布的Android年度安全報告顯示,從Google Play Store下載下傳的所有應用中,隻有0.04%被認定是“PHA”(潛在有害應用程式),而非Google Play Store管道應用中的PHA比例就直接躍升至0.92%。事實上,随着網際網路金融在海外市場的發展,随着使用者的手機關聯了更多資産,側載就隻會變得更不安全。
為了保護使用者,去年秋季谷歌對2017年上線的惡意軟體保護程式Google Play Protect進行了功能更新,将識别範圍從Google Play Store上的應用擴充到通過側載安裝的第三方應用,其能夠掃描側載應用是否包含惡意代碼。隻不過這種方式起到的效果相當有限,因為做惡意軟體的團隊同樣也在不斷進行技術更新。比如央視最近就曝光了一種仿冒App詐騙,就是通過動态加載修複更新檔的方式将正常App轉換成詐騙App。
側載最大的問題就在于不可控,畢竟使用者到底安裝了什麼App系統是不知道的,而這些App是否會對使用者造成威脅,系統更不知道。對于缺乏技術背景的使用者來說,一旦通過側載安裝了惡意軟體,結果可能就是“破财”。到時候難道指望使用者唾面自幹?顯然大多數人會将鍋甩給系統,進而影響到Android的聲譽。
對此蘋果自然也是心知肚明,是以才有了庫克三番五次發表對于側載的批評。而谷歌則是因為側載之于Android,幾乎屬于是“祖宗之法不可變”。
作為移動作業系統市場中的後來者,Android憑什麼超越iOS、并在市占率上始終遙遙領先,靠的其實就是自由開放的理念。比iOS更自由,這也是早期Android在宣傳時向使用者灌輸的理念。
早期的Android使用者基本不是極客、也是愛好者,對于上網沖浪的注意事項往往都爛熟于心,他們當然知道哪些管道下載下傳的應用安全、哪些管道下載下傳的App可能會有問題。然而随着使用者群體的泛化,如今絕大多數的Android使用者幾乎不再具備這種能力。
既然自由開放是Android的招牌,自然也就意味着谷歌不能強行拒絕側載,但側載必然會讓Android不安全,是以處于夾縫中的谷歌就隻能選擇用技術手段來解決這個問題了。輔助功能、通知偵聽器這兩大功能之是以會被谷歌重點提及,就是因為兩者組合起來可以輕易擷取使用者的隐私資訊,甚至進而盜竊使用者的資産。
其中,Android的輔助功能是為了幫助殘障人士而來,該功能最大的特點就是模拟使用者點選螢幕的操作。如果再配合上對于系統通知内容的偵聽,惡意軟體劫持螢幕點選之後能實作的操作可就太多了,諸如竊取使用者聊天記錄,乃至“代替”使用者進行支付都是可能的。
是以谷歌對于側載應用擷取敏感權限進行管控,就是發生在這一背景下。但需要注意的是,谷歌這一次也并不是沒有私心,因為“增強确認模式”的實作方式,是通過檢查“工廠映像”(factory image)中預加載的白名單來判斷是否啟動。
簡單來說,“增強确認模式”的白名單就是手機在OEM制造商生成時就已經決定了,這番操作就等于是逼迫第三方開發者與谷歌合作,因為白名單上有誰、哪些App能成為“受信任的安裝程式”是谷歌說了算。是以從某種意義上來說,谷歌的這個操作是将Android變得如同iOS一般封閉了。