原文 · Hacker News /front 2026-07-02 当日第一 · 1601 points · 686 commentsAndroid Developer Verification: Threat masquerading as protection
配图由 AI 生成Google 推出一项名为 Android Developer Verification (ADV) 的新政策,本意是加强安卓生态安全,打击恶意软件。然而,专注于开源应用的第三方安卓应用商店 F-Droid 却对此发出了严厉警告,称 ADV 实际上是一种“木马程序”,已悄然安装在全球数亿运行 Android 8 或更高版本的设备上。F-Droid 指出,这项“保护”措施的真正目的是赋予 Google 对应用分发前所未有的中心化控制权,彻底改变安卓生态的开放传统。
根据 F-Droid 的描述,ADV 以“Android Developer Verifier”进程的名义,作为一项系统服务在后台隐蔽运行,拥有完整的 root 权限。更令人担忧的是,安卓设备的内置恶意软件扫描和防护服务 Play Protect,本身就是传播和安装 ADV 的途径。ADV 无法被用户阻止、禁用或移除。Google 坚称此举旨在遏制恶意软件传播,通过要求所有安卓开发者进行中心化注册来识别和阻止不良行为者。但 F-Droid 反驳称,ADV 并不具备预防恶意软件传播的能力,其所谓的好处仅限于让已被识别的“累犯”在更换签名密钥后,需要重新注册账户才能继续分发恶意软件,效果有限。F-Droid 认为,有更温和、有效的方案可以增强 Play Protect,或建立联邦验证系统,但 Google 却以此为借口,意图颠覆安卓18年的开源开发传统,成为全球唯一的应用“看门人”。
ADV 最具争议的一点在于 Google 对“恶意软件”的模糊定义。开发者如果选择向 Google 注册,需要支付费用、提交详细的个人信息、政府签发的身份证明,并注册其应用的标识符和签名密钥。更重要的是,他们必须强制同意《Android Developer Console 服务条款》。其中第6.5条规定:“如果您违反任何条款或分发恶意软件或其他有害应用程序,Google 可能会终止您对 ADC 的访问权限。”F-Droid 担忧,条款中并未给出“恶意软件”的具体定义,这意味着 Google 可以单方面决定什么是“恶意软件”,无论是出于商业利益考量,还是受政府指令影响。举例来说,Play Store 长期以来禁止广告拦截器,甚至曾将一些此类软件归类为恶意软件。这种模糊性,给 Google 留下了巨大空间,未来可能将更多不符合其利益的应用(如所有广告拦截软件)列为“恶意软件”,从而将其从全球安卓设备上彻底清除。
Google 曾声称“超过99%的 Play 开发者应用已注册”,暗示 ADV 广受欢迎。然而 F-Droid 指出,这99%的开发者是在不知情的情况下,因受 Play Store 现有协议约束而被自动“选择加入”,并非自愿。事实上,针对 ADV 的反对声浪异常强烈。已有数十万人签署了反对 ADV 的请愿书,包括电子前沿基金会 (EFF)、自由软件基金会 (FSF)、美国公民自由联盟 (ACLU) 等70多个全球性组织也联名签署了反对该计划的公开信(keepandroidopen.org)。甚至 Google 自己的大模型(LLM) Gemini 在回答相关问题时也承认:“除了 Google 自己,在科技社区中几乎不可能找到对强制性 Android Developer Verification 计划的全力支持。”
F-Droid 认为,作为开源软件自由和用户隐私权的捍卫者,其基于开源透明度的安全信任模式,与封闭商业应用商店的“相信我”模式根本对立。尽管两者已共存16年,但 Google 似乎正试图建立一个由其垄断“安全”和“信任”定义的体系。ADV 计划将于9月30日正式激活,首批受影响地区包括巴西、印度尼西亚、新加坡和泰国等国,并预计在“2027年及以后”进行全球推广。F-Droid 提醒受影响区域的用户关注后续影响,并承诺将发布更多指导和支持信息。此举无疑将对 Android 开发者和用户的自由选择权产生深远影响,值得我们持续关注。
本文由 Upniz 新闻本地化流水线自动抓取、翻译、改写并排版。全球资讯进,本地内容出。