最近从 GitHub 或 F-Droid 拉了个 APK,想装上试试,结果系统跳出"未验证开发者"的警告。不能直接点安装,得走一堆确认步骤,甚至可能得等满 24 小时才能继续。这不是手机卡了,也不是什么临时 bug,而是 Google 正在推的新安全机制。
Google 在开发者博客上发了篇叫《Android 开发者验证:平衡开放性、选择与安全性》的文章,详细说明了这个变化。核心就是:以后安装来自"陌生开发者"的 APK,会多一道"高级流程",目的是让那些急着骗你装恶意软件的人多点阻力。
什么是"陌生 APK"?
简单说,就是 Google 没见过这个开发者的身份的应用。常见例子包括:
- 从官网、GitHub、论坛直接下载的安装包
- 开发者没去 Google 那儿注册验证的应用
Play 商店里的 App 不算,因为那些开发者早就通过 Google 的审核了,身份是"认识"的。陌生 APK 主要针对侧载(sideloading)场景。
Google 的开发者验证到底是什么?
开发者需要提交个人或公司身份信息,通过 Google 审核后,应用就会被标记为"已验证"。这样用户安装时基本无感,直接过。
没验证的开发者,应用安装门槛就高多了。Google 想让恶意团伙没法随便换个马甲继续发垃圾 App。
对普通用户的影响
大多数人还是正常用 Play 商店,没啥变化。想侧载的话,如果是未验证的 APK,就会进入那个"高级安装流程":
- 尝试安装,弹出风险提示。
- 多次点确认"我知道风险"。
- 用 PIN、指纹或面部验证设备所有者。
- 触发 24 小时冷静期(这是最狠的一招)。
- 时间到了,再做一次确认,才能装。
这个流程是一次性的,设置好后,后面再侧载未验证 App 就简单多了。但第一次得真心等一天,Google 说这是为了防社交工程诈骗------骗子经常打电话催你"快装这个安全补丁"。
好消息是,ADB 命令行安装貌似不受这个 24 小时限制,开发者或高级用户还能绕一下。
小例外:最多 20 台设备
Google 留了个轻量通道:不需要验证身份,也不用交开发者费用,但最多只能分发给 20 台设备。适合测试、家人朋友小范围分享,不适合公开发布。
中国用户会受影响吗?
国内主流手机(华为、小米、OPPO、vivo 等)基本不走完整的 Google 服务体系,Play Protect 也不全开,所以短期内影响很小。国内本来就有开发者实名和应用备案,某种程度上已经更严格。
但如果你用国际版 ROM、Pixel 或者装了 Google 框架的设备,那就要注意了。
国际用户的真实感受
对欧美用户来说,变化更明显。官网下载、F-Droid、独立开发者分发的 App,都可能被波及。开源社区反应最大,有人觉得 Android 正在慢慢失去"随便装软件"的灵魂。
各方怎么看?
支持的一派(安全厂商、Google 自己):终于对诈骗和恶意软件下狠手了。匿名开发者发毒 App 的成本变高,重复作案更难。
反对的一派(F-Droid、Nextcloud、开源爱好者):这是在给开放平台上锁。用户连自己手机上装什么都得 Google 点头?"谁拥有你的手机"这个老问题又被翻出来了。
中间派(科技媒体如 The Verge、Ars Technica):开放是好,但现实中诈骗太猖獗,完全不管也不行。希望 Google 别把门槛抬太高,留够空间给真正想折腾的用户。
我个人觉得,这个变化像一把双刃剑。手机越来越像电脑,安全问题确实严重,尤其是针对老年人的诈骗。但把侧载搞得这么麻烦,也会让很多爱折腾的人觉得憋屈。以后独立开发者发 App 可能得认真考虑去验证,不然用户装起来太劝退。
时间表大概是这样:
- 现在:开发者验证已经在早期开放。
- 2026 年 3 月:全面对开发者开放。
- 2026 年 9 月:先在巴西、印尼、新加坡、泰国等国家强制执行。
- 之后逐步全球铺开。
如果你是重度侧载用户,建议现在就去开发者选项里提前熟悉流程,别到时候手忙脚乱。或者多支持那些愿意走验证的靠谱开发者。
Android 还在开放和安全之间找平衡,这条路注定不会让所有人满意。你怎么看?是觉得多等 24 小时能换来安心,还是觉得这已经越界了?欢迎评论区聊聊。