吳明宜Google近期宣布新規,對Android裝置側載未經驗證的App設下24小時等待期,以增強安全性。該措施遭多家開發者反對,擔心會妨礙創新並侵犯隱私。Google則強調仍容許用戶側載,但需遵循特定程序。
Google 上周宣布 Android 側載的新安全規定,要求下載未驗證開發商開發的 App,必須等待 24 小時,以確保安全性。
這項新措施是配合 Google 去年宣布的開發人員驗證規定,要求所有 Android 應用程式必須註冊在驗證過的開發商名下,才能安裝於認證的 Android 裝置。這項新規的目的是為了更快辨識出惡意人士,防止惡意程式散佈,以及駭客誘使用戶側載這些 App,使其在手機上提高權限,進而關閉 Google 認證 Android 手機內建的防毒功能 Play Protect 。
然而,這項註冊要求卻遭遇 50 多家開發商及軟體市集反對,包括 F-Droid 、 Brave 、電子疆域基金會 (EFF) 、 Vivaldi 、 Tor Project 和 VPN 業者 Proton 。他們認為這會造成不便、提高開發商門檻,並引發侵害開發商隱私與監控的疑慮,以及資料儲存、安全維護、使用權限,甚至是否會被政府或法院索取資訊等問題。
為了平息疑慮,Google 強調新規定仍然允許進階用戶側載未驗證開發商的 App,但須經過以下程序:
- 在「系統設定」區啟動開發人員模式。
- 證實他們是出於自主意願,而非被他人唆使。
- 重啟手機,再次驗證以防範詐騙者監控使用者行為。
- 等待 24 小時,輸入生物辨識或裝置 PIN 碼,證明真的想執行變更。
- 一旦使用者了解風險,即可從未驗證開發商處下載 App,不論是長期或特定天數內的風險。
Google 並表示,計畫提供免費的「有限發布帳號」,讓非專業開發人員和學生最多可分享 App 給 20 台裝置,且無需提供政府核發的身份證件,也不必支付註冊費。
值得一提的是,前述流程並不適用於透過 Android Debug Bridge (ADB) 下載安裝。此外,學生和非專業開發人員適用的有限發布帳號,以及新的開發商驗證要求將於今年 8 月公布,並從 9 月正式上路。