嚴防社交工程詐騙！安卓側載安裝將面臨「多步驟」安全驗證

過去Android系統引以為傲、可自由安裝APK的「側載」 (Sideloading)功能，接下來將面臨史上最嚴格的門檻限制。為了打擊日益猖獗的惡意軟體與詐騙，Google去年宣布將針對未經驗證開發者的應用程式安裝，導入一套繁瑣的「一次性多步驟安全驗證」流程。不過，在經歷去年11月開發者社群的強烈反彈後，Google也稍微軟化其立場，同步為學生與業餘開發者推出了免證件、免付費的「受限發布帳號」，試圖在系統安全與開源自由之間取得恐怖平衡。

堪比防詐演練的「側載解鎖流程」

Google原本的計畫，是打算強硬規定「所有」在Android上推出軟體的開發者都必須經過官方驗證。但在遭到數位版權組織與開發者的強烈抗議後，Google於去年11月做出讓步，保留安裝未經驗證軟體的空間，但將門檻大幅提高。

而根據Google最新公布細節，未來一般Android使用者若想安裝來自未經驗證開發者的App，必須經歷以下堪稱「防詐騙演練」的多重關卡：

• 開啟開發者模式：使用者必須先在系統設定中手動啟用開發者模式。

• 防脅迫確認：系統會跳出警告，要求使用者確認自己「並非在他人指導或脅迫下」關閉安全防護。

• 強制重啟手機：透過強制重新開機，系統能直接切斷詐騙集團正在進行中的誘騙通話。

• 24小時冷卻期：重啟後無法立刻安裝，必須等待一整天的時間。

• 生物辨識確認：期限屆滿後，需透過指紋、臉部辨識或PIN碼確認身分，才能正式安裝。

完成上述流程後，使用者可以選擇開放未經驗證應用程式的安裝權限為期「7天」或「永久」。但Google強調，即便選擇永久開放，未來在安裝這類App時，系統依然會跳出未經驗證的警告視窗。

業餘開發者的折衷方案：「受限發行帳號」

這套嚴苛的標準無疑會對獨立開發者、學生，或是只想讓親友測試App的業餘愛好者造成巨大困擾。為了彌補這點，Google宣布將推出免費的「受限發行帳號」 (Limited distribution accounts)。

透過這種帳號，開發者不需要提供政府核發的身分證件，也不必支付註冊費用，就能與最多20台裝置分享自己開發的應用程式，而這項機制為非商業用途的軟體測試保留了喘息空間。

擴大影響力與安全名義的拉扯

Google將這套全新的驗證流程比喻為「機場的身分查驗」——這只是確認旅客 (開發者)的身分，與檢查行李 (審查軟體程式碼)是分開的。官方強調，這一切都是為了提高安裝危險軟體的難度。

然而，部分數位權利倡議組織仍持保留態度。他們認為，Google一方面降低Google Play Store的抽成比例、改變對第三方應用程式商店的態度；另一方面卻又透過「開發者驗證」的硬性規定，變相將自己的影響力擴張到自家應用程式商店之外的開源領域。

目前，開發者已可申請早期測試這套驗證流程。而針對一般用戶的側載防護機制與受限發行帳號，預計將於今年 (2026年)8月正式上線。

分析觀點

「強制重開機」與「24 小時冷卻期」的設計，完全是衝著近年來氾濫的「社交工程詐騙」而來。許多對科技不熟悉的高齡長輩，往往是在詐騙集團「不掛斷電話」的語音指導下，一步步關閉系統防護，並下載惡意APK。

Google透過強制重開機直接掛斷詐騙通話，再用24小時讓受害者有機會冷卻情緒、向家人查證，這在實務上能攔截掉極高比例的木馬軟體安裝。

雖然這對Android的「Power User」來說非常痛苦，但在Android市佔率如此龐大的今天，當「自由」已經成為駭客入侵的隨意門時，適度向iOS那種「保母級」的安全機制靠攏，或許是Google不得不為的妥協。

《原文刊登於合作媒體mashdigi，聯合新聞網獲授權轉載。》