想象一下:你的 Android 手机里有一个系统级进程,以 root 权限在后台静默运行,无法阻止、无法禁用、无法删除。它通过 Google 自己的 Play Protect 安全服务推送和安装,因此连 Play Protect 也不会把它标记为威胁。
这不是某个黑客组织的杰作。这是 Google 的 Android Developer Verification(ADV)—— 一个计划于 2026 年 9 月 30 日激活的开发者验证机制。
7 月 1 日,开源应用商店 F-Droid 发表了一篇措辞尖锐的文章,标题借用了卡佛的经典句式:《当我们谈论恶意软件时我们在谈论什么》。文章的核心论点直白到令人不安:ADV 本身满足恶意软件的全部技术特征 —— 它在未经用户明确同意的情况下静默安装、以 root 权限运行、通过系统级信道传播、且无法被终端用户移除。唯一的区别是,它的「有效载荷」不会窃取你的银行密码,而是阻止你运行未经 Google 中央审批的软件。
ADV 到底是什么
ADV 的公开面目是「安全」。Google 的叙事框架很清晰:侧载来源的恶意软件比 Play Store 高出 50 倍,因此所有开发者必须向 Google 注册并验证身份,才能在「认证过的 Android 设备」上分发应用。从 2026 年 9 月 30 日起,巴西、印度尼西亚、新加坡和泰国将成为首批执行区域,全球推广则安排在「2027 年及以后」。
注册流程远非简单的邮箱验证。开发者需要创建账户并付费、提交详尽的个人信息(包括政府签发的身份证件),然后注册所有应用的标识符和签名密钥 —— 无论这些应用是现在分发还是「将来可能分发」。
F-Droid 在去年 9 月首次就 ADV 发出警告。当时文章指出,ADV 实际的防护效果极其有限:它并不阻止恶意行为者首次分发恶意软件,唯一的作用是让已经被识别出的「累犯」更难用新签名密钥卷土重来 —— 但前提是 Google 愿意投入资源去追踪。F-Droid 称之为「用一个狭窄的攻击向量,作为彻底重构整个 Android 生态的借口」。
「恶意软件」的定义权
文章最尖锐的部分并非技术分析,而是语义学上的追问。
ADV 要求开发者同意《Android Developer Console 服务条款》,其中第 6.5 条规定:如果开发者分发「malware or other harmful applications」,Google 可以终止其访问权限。问题是,整份文件中找不到「malware」的正式定义。
用 F-Droid 的话说,这等于把条款翻译为:「malware 的意思是,我们说什么就是什么。」
这不是修辞上的夸张。Google 已有先例:广告拦截器早就被禁止上架 Play Store,其中一些甚至被明确归类为恶意软件。作为全球最大的广告技术垄断者,Google 有充分的商业动机将更多「不受欢迎的软件」纳入这个没有边界的定义。
F-Droid 在文中做了一个滑坡推演:如果所有广告拦截软件都被标记为恶意软件、在全球 Android 认证设备上被阻止安装、其开发者被永久标记为「恶意软件创作者」—— 这在 ADC 条款框架下是完全合法的。
99% 的谎言
Google 最近宣称「超过 99% 的 Play 开发者应用已完成注册」,试图营造 ADV 广受支持的印象。F-Droid 直接戳破:这 99% 的开发者是因为已有的 Play Store 协议被自动 opt-in,从未被征求知情同意。
与这个数字形成对照的是,反对 ADV 的请愿书已有数十万人签名。keepandroidopen.org 的公开信获得了全球 70 多个组织的联署,包括 EFF(电子前哨基金会)、FSF(自由软件基金会)、FSFE(欧洲自由软件基金会)、ACLU(美国公民自由联盟)以及挪威消费者委员会 Forbrukerrådet。在一场 Google 试图为 ADV 辩护的开发者圆桌视频中,90% 的观众点了「不喜欢」。甚至 Google 自家的 Gemini 在被问及 ADV 的受欢迎程度时,也给出了这样的回答:「在科技社区中,除了 Google 自身,几乎找不到对强制 ADV 计划的全心全意支持。」
HN 社区的分歧
这篇文章在 Hacker News 上获得了 350 分和 163 条评论,讨论呈现出几个清晰的分层。
「滑坡谬误」vs「已经在发生」
一条获得较多附议的评论指出 F-Droid 的广告拦截器推演属于「经典滑坡谬误」,认为历史上大多数滑坡的「底部」从未到达,因为人类总会在中途修建「坡道或桥梁」。但大量反驳者引用了 Chrome Manifest V3 作为反例 —— Google 同样以「安全」为由限制了广告拦截扩展的功能,这件事不是假设,是正在进行时。
「侧载还在」vs「迟早被封」
有评论指出,ADV 目前并不阻止侧载未验证开发者的应用,用户仍然可以通过开发者选项安装 APK。但反对者认为这忽视了趋势:从 SafetyNet 到 Play Integrity API,Google 逐年收紧非认证设备上的功能访问。银行应用、政府服务已经大面积拒绝在未认证设备上运行 —— 当你的手机无法使用网银和数字身份证时,「技术上仍然可以侧载」就变成了一句空话。
替代方案的多重困境
GrapheneOS 被多次提及为逃离方案,但它主要支持 Google Pixel 设备(最近宣布与 Motorola 合作才有所扩展)。有评论指出其中的讽刺:「为了逃离 Google 对 Android 的控制,你得先买一台 Google 手机。」LineageOS 等 AOSP 发行版面临的是另一个难题:让银行和政府应用开发者适配自定义 ROM 近乎不可能 —— 虽然有用户报告在持续投诉后,某些银行的 SafetyNet 检查增加了「跳过警告」的选项。
动机之争
关于 Google 的真实动机,HN 上也产生了分歧。一方认为这是商业驱动的围墙花园策略 —— 锁定生态、榨取利润;另一方提出这可能是类似 KYC(了解你的客户)的治理逻辑,甚至指向政府层面的压力。一位评论者写道:「我们终于活在一个可以对 AI 说『我要一个做某事的应用』、连上 adb、半小时内就能拿到可运行方案的年代。这是 Google 应该拥抱的东西,不是扼杀。」
已知的未知
距离 9 月 30 日的首轮激活只剩不到三个月,而关键问题全部悬而未决。F-Droid 自己列出了一份坦诚的「我们不知道」清单:如果你在首批四个受影响国家,安装或启动 F-Droid 应用会发生什么?已通过 F-Droid 安装的应用会被禁用还是删除?应用数据能否取回?ADV 验证的遥测数据具体包含哪些信息?
F-Droid 表示已向「恶意软件供应商」(指 Google)发出了询问。在封锁日期临近的几周和几个月内,将陆续发布更多面向受影响用户的指南。
回顾 F-Droid 之前发布的《当我们谈论侧载时我们在谈论什么》,两篇文章共享一个主题:警惕让不把你的利益放在心上的人来定义讨论的术语。当「恶意软件」等于「我们不喜欢的软件」,当「安全」等于「只有我们批准的软件才能运行」,被改变的不仅是技术架构,也包括整个讨论的坐标系。
本文的素材来自公开信息和社区讨论。如果你对这个话题有更深入的一手经验,欢迎指出文中的不足。
参考链接: