cnBeta
可以說,自從觸屏式智能手機成為市場主流以來,關於安卓(Android)和iOS這兩大操作系統陣營的爭議就沒有停止過。在界面風格、操作習慣上,安卓和iOS算是長期以來相互借鑑,越來越靠近了。但是,至今為止,至少在國內,安卓用戶們還是得面對一個相對iOS來說巨大且尷尬的短板:
盜版和惡意修改的軟件!
是的,大家都知道,出於某些原因,國際上通行的安卓官方唯一應用商店Google Play Store無法在國內正常使用。而這一情況造成的直接結果就是國內安卓軟件生態的極度混亂。和國內蘋果用戶依然可以通過App Store獲得官方正版的軟件下載相比,國內的安卓軟件下載渠道之多,直接導致了諸多惡意軟件潛藏其中。
對於用戶來說,這些“來路不正”的安卓軟件輕則竊取用戶隱私、導致手機異常發熱耗電,重則內含詐騙或破壞性病毒,直接造成用戶的財產損失,社會困擾甚至更加嚴重的後果……
當然,受損害的不只是用戶的利益,也有安卓系統、谷歌公司本身的口碑和商譽:典型地來說,一說到手機安全性的問題,不少人都會想到iOS更安全,蘋果手機“中毒”更罕見——很顯然,“不安全”這一情況,原本是惡意軟件的鍋,如今卻被扣在了整個安卓系統身上。
面對這種情況。谷歌的方法“特立獨行”
要怎樣解決盜版和惡意軟件的問題?大家腦海中想到的第一個詞或許是“嚴管”——但相比之下,谷歌的辦法卻更為巧妙:他們想到的,首先是要給安全的正版應用發放“身份證”。
正如前文所述,國際市場上的安卓手機,其實也和蘋果一樣有著唯一的官方應用商城。因此在以前,谷歌默認用戶只有通過Google Play Store下載安裝的軟件才是受官方承認的“正版軟件”。如果用戶自行通過第三方商城、或自行下載APK安裝包進行安裝,則不受到Google Play承認,也無法通過官方渠道更新。
當然,這樣的做法本身在法律上是沒有什麼問題的:因為第三方渠道的應用文件並未經過(谷歌)官方認證,谷歌不能保證其安全性和完整性。但這樣一來,像中國國內這樣的市場,實際上就完全沒有受到谷歌官方正版驗證機制的保護。
為了解決這個問題,應運而生的“APK簽名方案v2”最“創新”的地方就在於:它會將所有隻要沒經過篡改的軟件都視為“正版”,而不再管它是通過何種途徑下載得來。
用盜版軟件,治理惡意軟件?
上面那一大段文字,或許讓大家看著有點懵:說得直白一點,就是谷歌爸爸現在允許大家通過第三方市場、各大軟件下載站、甚至是用U盤“人傳人”的方式,傳播未經修改的、來源可靠的安卓軟件。只要這些軟件內置了全新的數字簽名,那麼它就會直接被系統認定為原版、正版。
這樣一看,是不是感覺“woc谷歌你居然公然鼓勵盜版”?停停停,谷歌可沒有這樣說,人家只是放開了應用分發渠道,但軟件本身(或者說對應的軟件安裝包本身),則通過“APK簽名方案v2”確保其一個字節也沒有經過非法改動,絕對和谷歌官方商城裡的一模一樣。
如此一來,一方面軟件開發者的權益並不會受到影響(對於付費軟件來說,因為付費驗證的代碼也沒有遭到破壞,所以並非“破解版”),另一方面來說,谷歌也確保了消費者下載到的軟件,一定是安全的“正版軟件”。
需要注意的是,“APK簽名方案v2”,當然是和系統本身內置的驗證機制聯動的:谷歌只需要(在未來的安卓版本里)禁止安裝沒有DRM簽名或簽名損壞(意味著軟件被非法修改過)的軟件,就可以輕鬆地將一切“破解版”、內置惡意代碼的修改版等等軟件全部拒之門外。
這波操作,谷歌的真意是…………
從去年開始,谷歌在國內的動作就明顯更加頻繁起來:從在北京成立AI研究中心、與有關部門共同推進國內安卓“統一推送聯盟”、與各大手機廠商合作開發“快應用”,以及和國內多家手機廠商在系統更新、AI拍照等技術上的深入合作,都可以看出谷歌並沒有對中國市場和中國的安卓設備“放任自流”。
如今,通過給安卓軟件添加“正版標籤”,並允許其通過各種第三方渠道傳播,谷歌實際上可以變相地“收編”那些第三方的應用市場,讓它們作為自己的正版應用分發渠道。這樣一來,既改善了國內的安卓應用環境,收穫更好的用戶口碑,又能通過對應用(技術規範)施加更強的控制,反過來對國內的手機廠商發揮出更大的影響力……
不管怎麼說,看起來谷歌已經是打定主意,要對國內無序的安卓大環境“下手”了——而這對於消費者們來說,卻不失為一件大好事,不是麼?
三易生活
據外媒報道,為了提升 Android 應用安裝包(APK)文件的真實安全性,谷歌決定為 Play 商店的應用引入某種形式的 DRM 。
據悉,這套機制與 Windows 平臺上的驅動程序簽名很是相似。
(應用簽名前後對比)
給 app 添加 DRM 簽名的目的很簡單 —— 通過確保用戶使用的是不被篡改的應用,從而提升 Android 用戶的安全體驗。
有趣的是,Google 並沒有將這種新機制稱作‘DRM’,而是說它在 APK 之上添加了‘少量的安全元數據’,以驗證 APK 是否由 Google Play 分發。
(APK 完整性保護)
Google 表示,引入該機制的一個原因,是為了幫助開發者接觸到更廣泛的用戶群體 —— 特別是那些因為連接受限和流量套餐昂貴,而導致 p2p 應用分享變得常見的地區市場。
(APK 簽名驗證過程,新步驟以紅色顯示)
不過截止目前,Google 似乎還停留於向開發者兜售這一想法(而不是直接面向 Android 用戶)的階段。
