一夜之间,安卓变苹果了?
以后想做 APK,开发者可能先得“举身份证”。
昨天,谷歌一纸新政,把开发者社区炸出天际:
为了打击恶意软件和金融诈骗,从 2026 年起,所有应用安装——包括侧载和第三方应用商店——都必须来自“经过验证的开发者”。
*侧载:指用户自己下载 APK 文件并手动安装,不经过任何应用商店。
这事引发了什么反应?Hacker News、Reddit 上不少开发者直言:
“这是近年来对科技界最糟糕的事。”
一位开发者犀利评论:
我很难看到这项新政策的好处。虽然它被包装成安全措施,但填写这些表格对真正的恶意软件作者来说只是一个微不足道的障碍,他们完全可以轻松滥用这一系统。真正受到影响的将是那些注重隐私、或不想被绑定在谷歌集中式生态里的合法开发者。
我最担心的是潜在的管理不善,这可能会对独立开发者造成不成比例的伤害。我们已经看到,谷歌的自动化系统会随意封禁已建立声誉的开发者,而且几乎不给任何反馈。像这样的新系统,赋予谷歌更多监管权力,问题可能会变得更糟。
为什么谷歌要这么做?
这会不会影响国内安卓用户随意下载 APK?开发者又该怎么办?
谷歌官方说了什么?
从明年开始,用户在任何渠道安装应用——不只是 Play 商店,还包括第三方应用商店和侧载 APK——都必须来自完成验证的开发者。
谷歌解释称:
“想象在机场查身份证:我们会确认旅客身份,但不会检查行李内容。同样,我们会确认开发者是谁,而不会审查应用的内容或来源。”
谷歌强调,这项政策的目的是建立关键的责任追踪机制,让恶意行为者在第一款应用被下架后,无法轻易重新发布新的恶意软件。
为什么要这么做?
- 谷歌表示,随着新型攻击激增,尤其是针对手机金融数据的攻击,他们必须加强开发者问责机制。
- 恶意行为者常常隐藏身份,通过冒充合法品牌发布高度仿真的假应用。
- 威胁规模之大超出想象:谷歌最新分析显示,来自互联网侧载来源的恶意软件数量,比 Google Play 上的应用高出 50 倍。
谷歌官方文件地址:
https://android-developers.googleblog.com/2025/08/elevating-android-security.html
安卓新政时间线一览
- 2025 年 10 月:首批开发者可申请验证。
- 2026 年 3 月:流程面向所有开发者开放,学生与业余开发者将使用独立的简化的控制台账户。
- 2026 年 9 月:政策率先在巴西、印尼、新加坡、泰国实施,这些地区是欺诈性应用的重灾区。
- 2027 年起:要求全球生效,届时所有认证 Android 设备安装的应用,必须来自已验证的开发者。
社区的真实担忧:安卓正在失去“开放灵魂”
Hacker News 上的吐槽已经突破 700 条,开发者情绪非常激烈。
讨论主要集中在以下几个方面:
1. 安卓开放性遭到削弱
安卓的最大卖点之一是开放:允许侧载应用、允许刷机、允许第三方 ROM。
现在,谷歌要求所有安装路径(包括侧载和第三方商店)都需开发者验证,并逐步绑定到 Play Integrity、安全 API,安卓正一点点走向苹果式“围墙花园”。
有网友指出,这不仅仅是验证,而是用户对设备控制权的进一步丧失:
很快你也做不到刷第三方系统,因为厂商在锁定 bootloader。
越来越难找到可刷机的硬件,似乎只剩 Fairphone、Pixel 或旧手机,三星宣布会锁机,谷歌未来会不会也锁 Pixel?
2. 用户与开发者的自由双双缩水
对用户来说,未来可能无法随意安装 APK,定制系统也将变得遥不可及。
对开发者来说,必须完成身份验证,提交个人或企业信息,甚至可能需要上传身份证、驾照等政府 ID。
对于小型开发者、隐私敏感的个人,可能因此被排挤出生态,技术创新空间被压缩。
一位开发者愤怒地表示:
这是绝对不能接受的。这就像你必须把个人信息提交给微软,才能在 Windows 上运行一个程序。太疯狂了。
3. 长期风险:过度监管与权力集中
谷歌将掌握开发者身份数据库,同时拥有封杀权(拒绝认证就无法分发应用)。
未来,政府可能介入,要求共享更多个人信息。
有网友举例:
“看看澳大利亚新南威尔士州的法律:带有非谷歌/非苹果批准安全功能的 root 设备(如 GrapheneOS 的‘胁迫 PIN’功能)会被认定为‘加密犯罪通信设备’,即便设备主要用途完全合法。”(编者注:该法案实际强调真实用途,但还是引起了功能合法但被当作“犯罪工具”的担忧)
这会影响中国安卓生态吗?
短期来看,这项新政不会直接影响我们的安卓生态。
像 vivo、OPPO、小米 这样的品牌,用户仍然可以自由下载未经验证开发者的 APK。
原因很简单:
- 谷歌的新要求只针对 预装了 Google 服务(Google Play、Play Protect 等)的设备。
- 中国大陆的大多数 Android 手机厂商出于政策原因,不预装 Google 服务,而是使用自有应用商店(vivo 应用商店、OPPO 软件商店、小米应用商店等),所以不在这一规则的适用范围。
但对于开发者来说,情况就不同了:
- 面相国内用户的开发几乎不受影响,但做出海业务的开发者必须重视。
- 一旦政策生效,面向海外市场分发 APK 的开发者,需要完成身份验证(可能包括个人证件或企业资料),否则他们的应用无法安装在带有谷歌服务的认证设备上。
写在最后:安卓走向“半封闭”,开发者乐土正在萎缩
谷歌的新政不仅仅是安全升级,更像是生态收紧的信号。
开发者不得不接入 Play Integrity、SafetyNet 等安全 API,应用与谷歌服务的绑定日益加深。对谷歌而言,这不仅降低了恶意应用风险,还能进一步锁定用户和开发者,强化数据控制,并间接推动 Play 商店交易和广告收益。
长期来看,安卓开放性的承诺正在被重写。刷机时代可能就此终结,非认证设备的可用性会一步步下降,从“能用但不安全”演变为“完全不可用”。
更值得关注的是,这种封闭化趋势并非安卓独有。GitHub 曾以开源文化著称,如今却逐渐失去了独立性。随着 CEO 的辞职,GitHub 已直接并入微软的 CoreAI 部门,不再保有独立运营的身份。开发者自由让步,似乎已成为整个行业不可逆转的趋势。
问题来了:这真的是安全的必然代价,还是大厂商业逻辑的胜利?几年后,当安卓彻底变成“半封闭系统”,用户是否还有选择,开发者是否还有创新的土壤?这是整个行业必须面对的开放性问题。
你怎么看谷歌这波新政?是安全进步,还是“开放精神”彻底告别?欢迎评论区聊聊!
参考链接:
1.https://news.ycombinator.com/item?id=45017028
2.https://9to5google.com/2025/08/25/android-apps-developer-verification/
