谷歌的 Android 锁定:你真的能控制你的手机吗?

币圈新闻作者:42X量化2025-09-01

Android 的新规则要求所有应用程序开发人员向 Google 提交个人信息,即使是 Play 商店之外的应用程序也是如此。批评者认为这威胁到用户自由并忽视了解决方案。

DM_20250901133257_001.jpg

谷歌的移动作系统 Android 于 8 月 25 日宣布,将要求所有应用程序开发人员先向该组织验证其身份,然后才能在“经过认证的 Android 设备”上运行。

虽然这听起来像是谷歌的常识性政策,但这个新标准不仅适用于从 Google Play 商店下载的应用程序,还适用于所有应用程序,甚至是那些“侧载”的应用程序——通过绕过 Google Play 商店直接安装到设备中。此类应用程序可以在 Github 存储库或项目网站上在线找到,并通过下载安装文件(称为 APK)直接安装在 Android 设备上。

这意味着,如果有一个应用程序是谷歌不喜欢的,无论是因为它不符合其政策、政治还是经济激励措施,他们都可能简单地阻止您在自己的设备上运行该应用程序。他们正在锁定 Android 设备,使其无法运行不属于其职权范围的应用程序。问?所有开发者,无论是否通过 Play 商店提交他们的应用程序,都需要向 Google 提供他们的个人信息。

这个决定引出了一个问题,如果未经 Google 许可,您无法在设备上运行任何您想要的应用程序,那么它真的是您的设备吗?如果 Windows 决定您只能从 Microsoft 应用商店安装程序,您会如何回应?

此举当然在科技和网络安全媒体上成为新闻,并引起了不小的轰动,因为它对自由和开放的网络产生了深远的影响。多年来,Android 一直被吹捧为开源作系统,并通过这一策略在全球范围内获得大规模分发,在发展中国家的用户中,苹果的“围墙花园”模式和豪华设备负担不起。

这项新政策将加强对应用程序及其开发人员的控制,并威胁到以非常颠覆性和法律主义的方式在自己的设备上运行任何您喜欢的软件的自由。由于 Google 对 Android 各种手机的影响,全球大多数用户和设备可能会感受到这一政策的后果。

Android 以对用户网络安全的担忧为政策变化辩护。Android 在其公告博客中声称,侧载到设备中的恶意应用程序导致的恶意软件“数量增加了 50 多倍”。作为“问责制”的衡量标准,Android 决定与世界各地各国政府的委员会一起采取“平衡的方法”,而且语言再多不过是奥威尔式的了。

“那些愿意放弃基本自由,购买一点暂时安全的人,既不配获得自由,也不配得到安全”——本杰明·富兰克林


简单来说,谷歌正在寻求收集软件开发人员的个人信息,将其与所有用户的数据中心一起集中在其数据中心,以“保护”用户免受谷歌今天似乎无法阻止的黑客的侵害。

毕竟,如果谷歌和安卓真的能够从一开始就保护个人用户数据的安全,这就不是问题了,对吧?

谷歌解决用户数据泄露的解决方案是收集更多的用户数据,具有讽刺意味的是,在这种情况下,是使用 Android 平台的开发人员的数据。逻辑的显着飞跃,懒惰且从根本上颓废,这表明他们已经失去了优势,可以说真的忘记了他们现在被擦掉的“不要作恶”的座右铭。

信息想要自由

现实情况是,谷歌发现自己陷入了信息的本质和数字时代所设置的困境,引用 90 年代密码朋克管家布兰德的话来说,“信息几乎希望是免费的”。
个人数据(例如您的姓名、面孔、家庭住址或社会安全号码)在互联网上的
每一次跳跃都是被复制和泄露的机会。当您的信息从手机转移到您所在城市的服务器再到 Google 数据中心的另一台服务器时,每一跳都会增加您的数据被黑客入侵并最终进入暗网上出售的可能性。当用户数据是像谷歌这样的巨头的主要商业模式时,这是一个棘手的问题,谷歌对其进行处理并将其出售给广告商,而广告商又制作有针对性的广告。

我们可以通过查看两个有趣的统计数据来衡量布兰德信息原理的真实性,奇怪的是,似乎没有太多人谈论这些统计数据。首先是过去 20 年中发生的数据黑客攻击数量惊人。例如,2017 年的 Equifax 数据泄露事件影响了 1.47 亿美国人,2024 年的全国公共数据泄露事件影响了超过 2 亿美国人,导致包括社会安全号码在内的数据泄露,最终可能会在暗网上出售。

而像美国政府个人管理办公室这样的传奇黑客攻击,损害了当时的大量美国政府官员,包括从社会安全号码到医疗记录的所有内容。

毫不夸张地说,大多数美国人的数据已经被黑客入侵和泄露,而且没有简单的方法可以扭转这种情况。一个人到底如何改变他们的面孔、病史或社会安全号码?


第二个统计数据似乎没有人与第一个统计数据联系起来,是美国身份盗窃和欺诈的兴起。您是否知道 2012 年报告了价值 240 亿美元的身份盗窃?是同年所有其他形式的盗窃总和的两倍。《商业内幕》当时从司法局统计局报道称,“2012 年身份盗窃使美国人损失了 247 亿美元,家庭入室盗窃、机动车盗窃和财产盗窃造成的损失总额仅为 140 亿美元。八年后,这一数字翻了一番,2020 年美国人损失了 560 亿美元。这两种趋势至今仍在继续增长。对于我们仍然如此严重依赖的旧身份系统来说,可能确实已经为时已晚。

生成式人工智能火上浇油,在某些情况下,使用泄露的用户数据进行训练,例如能够创建持有假身份证件的人类的高质量图像的图像模型。随着人工智能的不断改进,它越来越有能力欺骗人类,让他们认为他们也在与另一个人而不是机器人交谈,从而为身份欺诈和盗窃创造新的攻击媒介。

尽管如此,谷歌坚持认为,如果我们只是收集更多的个人用户数据,也许问题就会消失。对于以收集和销售此类数据为主要业务模式的公司来说很方便。顺便说一句,还有其他公司比谷歌对平民隐私造成的损害更大吗?(我想是脸书。

在密码学中,我们信任

公平地说,对于 2000 年代的 Web2 科技巨头来说,数字时代的安全身份问题并不容易解决。我们社会围绕身份的法律结构早在互联网出现并将所有数据转移到云端之前就已经创建。现在这个问题的唯一真正解决方案实际上是密码学,以及随着时间的推移,它应用于人类在现实世界中建立的关系中的信任。
90 年代
的密码朋克明白这一点,这就是为什么他们发明了两项重要技术,PGP 和信任网络。

PGP的

PGP 由 Phil Zimmermann 于 1991 年发明,率先使用非对称密码学来解决保护用户数据隐私的基本问题,同时还实现安全的用户身份验证、识别和安全通信。

如何?实际上,这很简单,只需以与今天比特币类似的方式使用密码学来确保超过一万亿美元的价值。你有一个安全的“密码”,并尽可能保密,你不会与任何人分享它,你的应用程序会小心地使用它来解锁服务,但密码永远不会离开你的手机。我们可以做到这一点,它有效,甚至还有定制的硬件来精确锁定此类信息。您想要联系的个人或公司还会创建一个安全的“密码”,我们每个人都使用该密码生成一个公共地址或数字假名 ID。

该公司使用他们的密码和您的公共地址对消息进行加密,并向您发送消息。好吧,由于密码学的魔力,您可以使用您的密码和公司的公共地址解密该消息。这就是我们保护网络所需要的一切。这些公共 ID 不必透露有关您的任何信息,您可以为在线拥有的每个品牌或身份拥有一个。

信任之网


但也存在声誉问题:你怎么知道你试图联系的公司就是他们声称的那个人?在网络安全中,这称为中间人攻击,恶意第三方冒充您实际希望与之连接的人。


密码朋克在 90 年代解决这个问题的方法是通过现实世界中称为“签约方”的仪式来发展信任网络的概念。

当我们亲自见面时,我们决定彼此信任,或者确认我们已经足够了解和信任对方,可以共同签署彼此的公共身份证。我们可以说,我们互相投了一票加密信任票,由我们的品牌或众所周知的名称权衡。这类似于在 Twitter 等公共论坛上关注某人;这相当于 PGP 说“我见过 Bob,我认出 XYZ 是他的公共 ID,我保证他是真实的。

虽然这听起来乏味、过时,而且似乎永远无法扩展到全世界,但自 90 年代以来,技术已经取得了长足的进步;事实上,这个基本逻辑就是当今互联网的安全方式。

还记得曾经显示在每个网站上的绿色锁吗?这是您的计算机和您正在访问的网站之间的类似 PGP 的加密握手,由互联网上的某个证书颁发机构或第三方签核。这些证书颁发机构成为公众信任的集中保管人,并且像当今的许多其他机构一样,可能需要去中心化。

通过扩展信任网络,可以将相同的逻辑应用于 APK 的验证和身份验证。事实上,在开源世界中,软件被哈希化为从软件数据派生的唯一 ID,并且该哈希值至今仍由开发人员 PGP 密钥签名。软件哈希、PGP 公共 ID 和签名都与软件一起发布,供人们查看和验证。

但是,如果您不知道 PGP 公共 ID 是否真实,那么签名就没有用,因为它可能是由在线冒充者创建的。作为用户,我们需要一个链接来验证公共 ID 属于应用程序的真实世界开发人员。

好消息是,这个问题可能可以解决,而不必创建一个全球监控状态,将我们所有的数据提供给世界各地的谷歌。

例如,如果我想从东欧的开发人员那里下载一个应用程序,我可能不认识他或无法验证这个公共 ID,但也许我认识一个为认识这个开发人员的人做担保的人。虽然我可能离这个人有三四跳的距离,但他们是真实的可能性突然增加了很多。对于希望快速获胜的雇佣兵黑客来说,在信任网络中伪造三到四跳连接是非常昂贵的。

不幸的是,这些技术并没有被广泛采用,除了高科技偏执狂的世界之外,也没有获得像大多数网络的数据挖掘商业模式那样多的资金。

现代解决方案

一些现代软件项目认识到这种逻辑,并正在努力解决手头的问题,使用户可以轻松利用和扩展信任的加密网络。例如,Zapstore.dev 正在构建一个替代应用商店,该应用商店由使用比特币兼容密码学的加密信任网络保护,该项目由 OpenSats 资助,OpenSats 是一家资助开源比特币相关软件开发的非营利组织。

石墨烯是一个在网络安全爱好者中流行的 Android作系统分支,它还实施了一个替代应用程序商店,无需 DOX 应用程序开发人员即可解决其中许多问题,并作为一个高安全性的作系统,希望解决当今 Android 中的许多隐私和安全问题。

尽管看起来牵强附会,但通信渠道和数字身份的加密身份验证是唯一可以保护我们免受个人数据黑客攻击的东西。熵和通过密码学从随机性中产生的安全性是人工智能唯一无法伪造的东西。如果我们使用得当,同样的加密技术可以帮助我们在数字时代验证自己的身份,而无需与每个中介共享我们的个人数据。
Android 的这项新政策
是否能够持续下去,或者是否有足够的公众抗议可以阻止它,更好的解决方案确实得到普及和采用,还有待观察,但事情的真相是显而易见的。有更好的前进道路,我们只需要看到它并选择它。

热门文章

最近发表

标签列表