文｜三易生活

在《数字市场法》（DMA）的压力下，欧盟的iPhone用户不仅可以从第三方应用商店下载App，还可以从网站下载、安装应用。在欧盟挥舞法律大棒的情况下，苹果方面不得不捏着鼻子让iPhone支持以往厌弃的“侧载”，但此前以开放闻名的Android，如今却开始对侧载越来越严苛了。

日前，有海外媒体在Android 15的Beta 1.1版本中发现，谷歌方面新增了“增强确认模式”（Enhanced Confirmation Mode），旨在对侧载应用的敏感权限进行更为严格的控制。

据悉，后续通过侧载方式安装的App如果想要启用辅助功能或者通知侦听器服务等相对敏感的权限，Android系统就会直接提示，“为了您的安全，此设置当前不可用。”

从数年前开始，作为Android生态的盟主，谷歌对于侧载的看法与苹果也越来越像。谷歌CEO桑达尔·皮查伊在与Epic Gaems的诉讼中就曾表示，“我们不想让你完全破坏你的手机，因为它（侧载）可能会在你的手机上安装恶意软件，并对你的安全构成严重威胁”。

其实谷歌不喜欢侧载的原因也很简单，因为后者确确实实成为了Android手机的安全隐患。根据谷歌方面最近一次（2018年）公布的Android年度安全报告显示，从Google Play Store下载的所有应用中，只有0.04%被认定是“PHA”（潜在有害应用程序），而非Google Play Store渠道应用中的PHA比例就直接跃升至0.92%。事实上，随着互联网金融在海外市场的发展，随着用户的手机关联了更多资产，侧载就只会变得更不安全。

为了保护用户，去年秋季谷歌对2017年上线的恶意软件保护程序Google Play Protect进行了功能升级，将识别范围从Google Play Store上的应用扩展到通过侧载安装的第三方应用，其能够扫描侧载应用是否包含恶意代码。只不过这种方式起到的效果相当有限，因为做恶意软件的团队同样也在不断进行技术升级。比如央视最近就曝光了一种仿冒App诈骗，就是通过动态加载修复补丁的方式将正常App转换成诈骗App。

侧载最大的问题就在于不可控，毕竟用户到底安装了什么App系统是不知道的，而这些App是否会对用户造成威胁，系统更不知道。对于缺乏技术背景的用户来说，一旦通过侧载安装了恶意软件，结果可能就是“破财”。到时候难道指望用户唾面自干？显然大多数人会将锅甩给系统，进而影响到Android的声誉。

对此苹果自然也是心知肚明，所以才有了库克三番五次发表对于侧载的批评。而谷歌则是因为侧载之于Android，几乎属于是“祖宗之法不可变”。

作为移动操作系统市场中的后来者，Android凭什么超越iOS、并在市占率上始终遥遥领先，靠的其实就是自由开放的理念。比iOS更自由，这也是早期Android在宣传时向用户灌输的理念。

早期的Android用户基本不是极客、也是爱好者，对于上网冲浪的注意事项往往都烂熟于心，他们当然知道哪些渠道下载的应用安全、哪些渠道下载的App可能会有问题。然而随着用户群体的泛化，如今绝大多数的Android用户几乎不再具备这种能力。

既然自由开放是Android的招牌，自然也就意味着谷歌不能强行拒绝侧载，但侧载必然会让Android不安全，所以处于夹缝中的谷歌就只能选择用技术手段来解决这个问题了。辅助功能、通知侦听器这两大功能之所以会被谷歌重点提及，就是因为两者组合起来可以轻易获取用户的隐私信息，甚至进而盗窃用户的资产。

其中，Android的辅助功能是为了帮助残障人士而来，该功能最大的特点就是模拟用户点击屏幕的操作。如果再配合上对于系统通知内容的侦听，恶意软件劫持屏幕点击之后能实现的操作可就太多了，诸如窃取用户聊天记录，乃至“代替”用户进行支付都是可能的。

所以谷歌对于侧载应用获取敏感权限进行管控，就是发生在这一背景下。但需要注意的是，谷歌这一次也并不是没有私心，因为“增强确认模式”的实现方式，是通过检查“工厂映像”(factory image)中预加载的白名单来判断是否启动。

简单来说，“增强确认模式”的白名单就是手机在OEM制造商生成时就已经决定了，这番操作就等于是逼迫第三方开发者与谷歌合作，因为白名单上有谁、哪些App能成为“受信任的安装程序”是谷歌说了算。所以从某种意义上来说，谷歌的这个操作是将Android变得如同iOS一般封闭了。