正在阅读:

谷歌再次打压,未来侧载App要与敏感权限绝缘了

扫一扫下载界面新闻APP

谷歌再次打压,未来侧载App要与敏感权限绝缘了

从数年前开始,作为Android生态的盟主,谷歌对于侧载的看法与苹果也越来越像。

文|三易生活

在《数字市场法》(DMA)的压力下,欧盟的iPhone用户不仅可以从第三方应用商店下载App,还可以从网站下载、安装应用。在欧盟挥舞法律大棒的情况下,苹果方面不得不捏着鼻子让iPhone支持以往厌弃的“侧载”,但此前以开放闻名的Android,如今却开始对侧载越来越严苛了。

日前,有海外媒体在Android 15的Beta 1.1版本中发现,谷歌方面新增了“增强确认模式”(Enhanced Confirmation Mode),旨在对侧载应用的敏感权限进行更为严格的控制。

据悉,后续通过侧载方式安装的App如果想要启用辅助功能或者通知侦听器服务等相对敏感的权限,Android系统就会直接提示,“为了您的安全,此设置当前不可用。”

从数年前开始,作为Android生态的盟主,谷歌对于侧载的看法与苹果也越来越像。谷歌CEO桑达尔·皮查伊在与Epic Gaems的诉讼中就曾表示,“我们不想让你完全破坏你的手机,因为它(侧载)可能会在你的手机上安装恶意软件,并对你的安全构成严重威胁”。

其实谷歌不喜欢侧载的原因也很简单,因为后者确确实实成为了Android手机的安全隐患。根据谷歌方面最近一次(2018年)公布的Android年度安全报告显示,从Google Play Store下载的所有应用中,只有0.04%被认定是“PHA”(潜在有害应用程序),而非Google Play Store渠道应用中的PHA比例就直接跃升至0.92%。事实上,随着互联网金融在海外市场的发展,随着用户的手机关联了更多资产,侧载就只会变得更不安全。

为了保护用户,去年秋季谷歌对2017年上线的恶意软件保护程序Google Play Protect进行了功能升级,将识别范围从Google Play Store上的应用扩展到通过侧载安装的第三方应用,其能够扫描侧载应用是否包含恶意代码。只不过这种方式起到的效果相当有限,因为做恶意软件的团队同样也在不断进行技术升级。比如央视最近就曝光了一种仿冒App诈骗,就是通过动态加载修复补丁的方式将正常App转换成诈骗App。

侧载最大的问题就在于不可控,毕竟用户到底安装了什么App系统是不知道的,而这些App是否会对用户造成威胁,系统更不知道。对于缺乏技术背景的用户来说,一旦通过侧载安装了恶意软件,结果可能就是“破财”。到时候难道指望用户唾面自干?显然大多数人会将锅甩给系统,进而影响到Android的声誉。

对此苹果自然也是心知肚明,所以才有了库克三番五次发表对于侧载的批评。而谷歌则是因为侧载之于Android,几乎属于是“祖宗之法不可变”。

作为移动操作系统市场中的后来者,Android凭什么超越iOS、并在市占率上始终遥遥领先,靠的其实就是自由开放的理念。比iOS更自由,这也是早期Android在宣传时向用户灌输的理念。

早期的Android用户基本不是极客、也是爱好者,对于上网冲浪的注意事项往往都烂熟于心,他们当然知道哪些渠道下载的应用安全、哪些渠道下载的App可能会有问题。然而随着用户群体的泛化,如今绝大多数的Android用户几乎不再具备这种能力。

既然自由开放是Android的招牌,自然也就意味着谷歌不能强行拒绝侧载,但侧载必然会让Android不安全,所以处于夹缝中的谷歌就只能选择用技术手段来解决这个问题了。辅助功能、通知侦听器这两大功能之所以会被谷歌重点提及,就是因为两者组合起来可以轻易获取用户的隐私信息,甚至进而盗窃用户的资产。

其中,Android的辅助功能是为了帮助残障人士而来,该功能最大的特点就是模拟用户点击屏幕的操作。如果再配合上对于系统通知内容的侦听,恶意软件劫持屏幕点击之后能实现的操作可就太多了,诸如窃取用户聊天记录,乃至“代替”用户进行支付都是可能的。

所以谷歌对于侧载应用获取敏感权限进行管控,就是发生在这一背景下。但需要注意的是,谷歌这一次也并不是没有私心,因为“增强确认模式”的实现方式,是通过检查“工厂映像”(factory image)中预加载的白名单来判断是否启动。

简单来说,“增强确认模式”的白名单就是手机在OEM制造商生成时就已经决定了,这番操作就等于是逼迫第三方开发者与谷歌合作,因为白名单上有谁、哪些App能成为“受信任的安装程序”是谷歌说了算。所以从某种意义上来说,谷歌的这个操作是将Android变得如同iOS一般封闭了。

本文为转载内容,授权事宜请联系原著作权人。

谷歌

6.1k
  • 俄方解释对谷歌天价罚款:是象征性的,谷歌不应限制俄媒
  • 继iPhone 16之后,印尼又禁售谷歌Pixel手机

评论

暂无评论哦,快来评价一下吧!

下载界面新闻

微信公众号

微博

谷歌再次打压,未来侧载App要与敏感权限绝缘了

从数年前开始,作为Android生态的盟主,谷歌对于侧载的看法与苹果也越来越像。

文|三易生活

在《数字市场法》(DMA)的压力下,欧盟的iPhone用户不仅可以从第三方应用商店下载App,还可以从网站下载、安装应用。在欧盟挥舞法律大棒的情况下,苹果方面不得不捏着鼻子让iPhone支持以往厌弃的“侧载”,但此前以开放闻名的Android,如今却开始对侧载越来越严苛了。

日前,有海外媒体在Android 15的Beta 1.1版本中发现,谷歌方面新增了“增强确认模式”(Enhanced Confirmation Mode),旨在对侧载应用的敏感权限进行更为严格的控制。

据悉,后续通过侧载方式安装的App如果想要启用辅助功能或者通知侦听器服务等相对敏感的权限,Android系统就会直接提示,“为了您的安全,此设置当前不可用。”

从数年前开始,作为Android生态的盟主,谷歌对于侧载的看法与苹果也越来越像。谷歌CEO桑达尔·皮查伊在与Epic Gaems的诉讼中就曾表示,“我们不想让你完全破坏你的手机,因为它(侧载)可能会在你的手机上安装恶意软件,并对你的安全构成严重威胁”。

其实谷歌不喜欢侧载的原因也很简单,因为后者确确实实成为了Android手机的安全隐患。根据谷歌方面最近一次(2018年)公布的Android年度安全报告显示,从Google Play Store下载的所有应用中,只有0.04%被认定是“PHA”(潜在有害应用程序),而非Google Play Store渠道应用中的PHA比例就直接跃升至0.92%。事实上,随着互联网金融在海外市场的发展,随着用户的手机关联了更多资产,侧载就只会变得更不安全。

为了保护用户,去年秋季谷歌对2017年上线的恶意软件保护程序Google Play Protect进行了功能升级,将识别范围从Google Play Store上的应用扩展到通过侧载安装的第三方应用,其能够扫描侧载应用是否包含恶意代码。只不过这种方式起到的效果相当有限,因为做恶意软件的团队同样也在不断进行技术升级。比如央视最近就曝光了一种仿冒App诈骗,就是通过动态加载修复补丁的方式将正常App转换成诈骗App。

侧载最大的问题就在于不可控,毕竟用户到底安装了什么App系统是不知道的,而这些App是否会对用户造成威胁,系统更不知道。对于缺乏技术背景的用户来说,一旦通过侧载安装了恶意软件,结果可能就是“破财”。到时候难道指望用户唾面自干?显然大多数人会将锅甩给系统,进而影响到Android的声誉。

对此苹果自然也是心知肚明,所以才有了库克三番五次发表对于侧载的批评。而谷歌则是因为侧载之于Android,几乎属于是“祖宗之法不可变”。

作为移动操作系统市场中的后来者,Android凭什么超越iOS、并在市占率上始终遥遥领先,靠的其实就是自由开放的理念。比iOS更自由,这也是早期Android在宣传时向用户灌输的理念。

早期的Android用户基本不是极客、也是爱好者,对于上网冲浪的注意事项往往都烂熟于心,他们当然知道哪些渠道下载的应用安全、哪些渠道下载的App可能会有问题。然而随着用户群体的泛化,如今绝大多数的Android用户几乎不再具备这种能力。

既然自由开放是Android的招牌,自然也就意味着谷歌不能强行拒绝侧载,但侧载必然会让Android不安全,所以处于夹缝中的谷歌就只能选择用技术手段来解决这个问题了。辅助功能、通知侦听器这两大功能之所以会被谷歌重点提及,就是因为两者组合起来可以轻易获取用户的隐私信息,甚至进而盗窃用户的资产。

其中,Android的辅助功能是为了帮助残障人士而来,该功能最大的特点就是模拟用户点击屏幕的操作。如果再配合上对于系统通知内容的侦听,恶意软件劫持屏幕点击之后能实现的操作可就太多了,诸如窃取用户聊天记录,乃至“代替”用户进行支付都是可能的。

所以谷歌对于侧载应用获取敏感权限进行管控,就是发生在这一背景下。但需要注意的是,谷歌这一次也并不是没有私心,因为“增强确认模式”的实现方式,是通过检查“工厂映像”(factory image)中预加载的白名单来判断是否启动。

简单来说,“增强确认模式”的白名单就是手机在OEM制造商生成时就已经决定了,这番操作就等于是逼迫第三方开发者与谷歌合作,因为白名单上有谁、哪些App能成为“受信任的安装程序”是谷歌说了算。所以从某种意义上来说,谷歌的这个操作是将Android变得如同iOS一般封闭了。

本文为转载内容,授权事宜请联系原著作权人。