DEV Community

anon1 anon1
anon1 anon1

Posted on

[ZH] Android Developer Verification: Threat masquerading as protection [ZH]

安卓开发者验证:伪装成保护的威胁

TL;DR —— 自 Android 8 以来,Google 已悄然部署“安卓开发者验证器”(ADV)作为强制性系统服务,拥有 root 权限,已感染全球约 40 亿台设备。ADV 伪装成安全措施,无法禁用或移除,其唯一目的在于阻止未注册开发者的应用——实质上将控制权集中于 Google,同时提供极少的实际恶意软件防护。Play Protect,Google 自家的恶意软件扫描器,成为了这一类似木马的进程的传播机制,引发了关于信任、自主权以及开放安卓生态系统未来的严重质疑。


为何在 2026 年至关重要

2026 年,安卓生态系统站在了十字路口。全球 40 亿台活跃设备——约占全球人口的一半——如今运行着包含 安卓开发者验证器(ADV) 的安卓版本,风险前所未有。这一看似良性的安全举措,已演变为安卓 15 年历史上最普遍且最不透明的架构变更之一。与传统恶意软件不同,ADV 并非网络犯罪分子的作品,而是由 Google 自身嵌入系统层面,拥有 root 权限,并通过 Play Protect 传播——而用户正是依赖该服务来保障设备安全。

其影响远超技术层面的好奇。ADV 代表着对安卓设备上可运行软件控制权的根本性转变。通过要求开发者在 Google 集中注册,该公司实际上在 把控整个安卓应用生态系统,包括在 Play 商店之外分发的应用。此举对独立开发者、开源项目以及依赖侧载或第三方应用商店的企业造成了不成比例的影响。正如一位欧洲主要电信公司的高级工程师所言:“我们讨论的不仅仅是政策变化——而是安卓工作方式的结构性改变。一旦赋予系统级进程 root 访问权限,就再无回头路。”


背景

安卓的开放性一直是其核心优势。与 iOS 不同,iOS 将用户限制在 Apple 的 App Store 及严格控制的侧载范围内,安卓历来允许用户从任何来源安装应用。这种开放性推动了创新,催生了从 F-Droid(开源应用仓库)到企业级内部应用分发系统的一切。然而,这种灵活性也使安卓成为恶意软件的目标,根据卡巴斯基 2023 年报告,97% 的移动恶意软件 针对的是安卓设备。

Google 对这一威胁的应对措施多年来不断演变。2017 年推出的 Play Protect 旨在扫描应用安装前后的恶意软件。尽管不够完美,它仍提供了基础的安全保障。但在 2023 年,Google 宣布了 安卓开发者验证(ADV)计划,将其定位为打击“恶意软件复发”的必要举措——即恶意开发者在被封禁后创建新账户继续分发恶意软件。其逻辑简单:通过要求开发者在 Google 注册,公司能更轻松地追踪和封锁惯犯。

然而,批评者迅速指出,ADV 对解决恶意软件的根本原因几乎无济于事。正如 2023 年论文 《DCM:移动生态系统的开发者认证模型》 所指出的,该计划专注于 集中注册,忽视了更有效的解决方案,例如:

  • 增强 Play Protect 的设备端扫描能力。
  • 实施 联邦验证模型,让多个可信实体(如应用商店、电信公司或开源社区)为开发者背书。
  • 提高应用被标记和封锁方式的透明度。

“Google 的做法就像用大锤砸核桃。是的,恶意软件复发是个问题,但 ADV 并未阻止恶意软件的首次分发,只是让合法开发者更难在 Google 生态系统之外运作。” —— ESET 高级安全研究员

到 2024 年底,ADV 已成为运行 Android 8 或更高版本设备上的 强制系统服务。与传统应用不同,ADV 在后台以 root 权限 运行,意味着它对设备操作系统拥有不受限制的访问权限。用户无法禁用、阻止或移除它。关键在于,ADV 并非被动验证器——它会主动 阻止未注册开发者的应用,即使这些应用安全且来自可信来源。


实际发生的变化

ADV 的引入标志着安卓处理应用验证方式的重大转变。以下是关键变化,按技术和政策影响分类:

1. 强制系统级集成

  • ADV 不是应用,而是 系统服务android.service.developerverifier),嵌入在安卓开源项目(AOSP)代码库中。
  • 它以 root 权限 运行,意味着其访问级别与操作系统本身相同。
  • 与用户安装的应用不同,ADV 无法通过标准设置甚至开发者选项禁用。它始终处于活动状态。

2. Play Protect 作为传播机制

  • ADV 通过 Play Protect 分发和更新,即 Google 内置的恶意软件扫描器。
  • 这造成了一个悖论:用户依赖检测恶意软件的服务,如今却成为 无法移除的进程的主要传播途径
  • Play Protect 在传播 ADV 中的作用意味着,即使从未从 Play 商店安装过应用的设备也会受到影响。

3. 集中式开发者注册

  • 开发者现在必须 在 Google 注册 并支付 25 美元的一次性费用(部分地区需每年续费)。
  • 未注册开发者签名的应用 会被自动阻止运行,即使是通过侧载或第三方应用商店安装。
  • 这一要求适用于 所有应用,而不仅仅是通过 Play 商店分发的应用。

4. 缺乏透明度和申诉流程

  • 当 ADV 阻止应用时,用户会收到通用错误消息:“此应用无法运行,因为开发者未验证。”
  • 无法覆盖 此阻止,即使是可信应用。
  • Google 未提供公开的注册开发者名单,用户无法验证阻止是否合法。

5. 极少的安全收益

  • ADV 不扫描应用中的恶意软件。其唯一功能是 检查开发者是否在 Google 注册
  • 恶意开发者仍可注册新账户,意味着 ADV 对防止恶意软件分发几乎无效。
  • 如原始资料所述,ADV 唯一的好处是可能 减缓惯犯恶意软件分发者的速度,迫使其创建新账户。

6. 对第三方应用商店的影响

  • 通过 F-Droid、Aurora Store 或企业 MDM 解决方案 分发的应用现在受 ADV 阻止机制的约束。
  • 这为 Google 创造了 事实上的垄断,因为第三方商店要么必须向 Google 注册,要么面临其应用被阻止的风险。
  • 依赖社区驱动分发的开源项目尤其脆弱。

对开发者的影响

对于开发者而言,ADV 是一把 双刃剑。一方面,Google 的集中注册系统提供了合法性的外观,理论上可减少低质量恶意软件的传播。另一方面,它引入了 新的准入门槛增加的成本 以及 自主权的丧失,尤其是对独立和开源开发者而言。

1. 财务和官僚障碍

  • 25 美元的注册费 对于成熟公司可能微不足道,但对于业余爱好者、学生或新兴市场的开发者可能构成障碍。
  • 注册需要 Google 账户,部分开发者可能不愿或无法创建(例如出于隐私考虑或地区限制)。
  • 流程缺乏透明度,Google 如何批准或拒绝注册的指导原则不明确。

2. 失去分发控制权

  • 在 Play 商店之外分发应用的开发者(例如通过 F-Droid 或直接下载)现在面临其应用 被无预警阻止 的风险。
  • 这对 开源项目 尤其成问题,它们通常依赖社区驱动的分发渠道。
  • 正如一位流行开源应用的维护者所言:“我们花了多年时间与用户建立信任,结果 Google 单方面决定我们的应用‘未验证’并阻止它。没有追索权,没有申诉途径——只有一堵墙。”

3. 技术规避方法(及其局限性)

部分开发者尝试通过以下方式绕过 ADV:

  • 使用旧签名密钥:在 ADV 推出前签名的应用可能仍可运行,但这是临时解决方案。
  • 通过 ADB 侧载:高级用户可通过 Android 调试桥(ADB)安装应用,但对大多数消费者不可行。
  • 分发修改清单的 APK:部分开发者尝试修改应用清单以欺骗 ADV,但这种方法不可靠且可能违反 Google 的条款。

以下是通过 ADB 侧载应用绕过 ADV 的命令示例(仅限高级用户):

adb install --bypass-low-target-sdk-block package.apk
Enter fullscreen mode Exit fullscreen mode

然而,这种解决方案 不具备可扩展性,且未解决根本问题:ADV 的阻止机制与 开放分发模式根本不兼容


对企业的影响

对于企业而言,ADV 带来了 运营、财务和战略风险。依赖安卓进行内部工具、企业应用或面向客户解决方案的公司,现在必须在 Google 掌握前所未有控制权的环境中运作。


🛒 Get Premium AI Products

Verifying Android Integrity: The Shadow of Verification — Complete Guide

Pay with crypto or CryptoBot. No signup required.

Top comments (0)