2025 年 8 月,Google 正式宣布将在 Android 生态中引入开发者验证机制,要求所有在 Android 设备上分发应用的开发者(包括通过侧载或第三方商店)提交真实身份信息。该措施旨在通过“实名制”阻断恶意开发者利用匿名身份快速创建、传播恶意软件,从而降低金融诈骗、数据窃取等风险。

  • 时间表:2025 年 10 月启动早期访问,2026 年 3 月正式实施验证流程,同年 9 月在巴西、印尼、新加坡、泰国先行试点,2027 年起逐步推广至全球。
  • 适用范围:仅针对搭载 Google Play Protect 的“认证 Android 设备”,不影响未认证设备或纯开源系统

Google 指出,当前网络诈骗与恶意软件攻击已从技术漏洞转向社会工程学手段。例如在东南亚常见的银行诈骗中,骗子冒充银行客服,诱使用户侧载所谓“验证应用”,实则植入恶意软件拦截双因素认证码,进而盗取账户资金。

现有防护机制(如 Google Play Protect、诈骗电话实时警报)虽能检测并下架恶意应用,但匿名分发仍让黑产分子可轻易更换身份卷土重来。验证机制通过提高攻击成本与可追溯性,迫使恶意开发者使用真实身份,从而遏制大规模攻击。

https://s3-img.meituan.net/v1/mss_3d027b52ec5a4d589e68050845611e68/ff/n0/0m/77/42_321473.jpg@596w_1l.jpg

在收集社区反馈后,Google 对两类开发者群体做出针对性调整:

  1. 学生与业余开发者
    可申请专用账户类型,允许在有限设备数量(如亲友圈)内分发应用,无需完成完整验证流程。
  2. 高级用户与高风险容忍开发者
    将推出高级流程,允许用户在明确知晓风险的前提下安装未验证应用。该流程设计强调“抗胁迫性”,防止用户在诈骗压力下被迫绕过安全警告。

争议:F‑Droid 对开放生态的担忧

尽管 Google 声称“侧载不会消失”,但开源应用商店 F‑Droid 指出,新验证体系实际上通过权限限制、频繁警告与人工审核大幅提高了侧载门槛。具体批评包括:

  • 验证流程要求开发者提交政府身份文件、支付费用并接受 Google 审核,实质上将侧载控制权集中到 Google 手中;
  • 若 Google 不批准验证,用户即便愿意承担风险也无法安装该开发者的应用,侧载自由名存实亡

这引发了关于 Android 开放承诺是否被削弱的讨论:原本用户可自由选择软件来源,而新规则可能使生态向封闭化倾斜。

消息参考:

Google官方博客:https://android-developers.googleblog.com/2025/11/android-developer-verification-early.html

F-droid声明: https://f-droid.org/2025/10/28/sideloading.html