谷歌将要求开发者验证才能安装安卓应用,包括侧载安装

为打击恶意软件和金融诈骗,谷歌今日宣布,自2026年起,仅通过开发者验证的应用才能安装在认证安卓设备上。

该要求适用于预装谷歌应用并配备Play Protect功能的“认证安卓设备”。Play商店曾于2023年实施类似要求,但谷歌现将此规范扩展至所有安装渠道,包括第三方应用商店及通过第三方来源下载APK文件的侧载安装。

这类似于机场的身份核验——确认旅客身份与行李安检是两个独立环节;我们仅验证开发者身份,不会审查应用内容或来源。

谷歌旨在打击“具有欺骗性的伪造应用”,并阻止“恶意行为者在首次下架后迅速发布新恶意应用”。该公司近期分析发现,“来自互联网旁加载渠道的恶意软件数量是谷歌Play商店应用的50倍以上”。

谷歌今日明确表示:“开发者仍可自由选择通过侧载方式直接向用户分发应用,或使用任何偏好的应用商店。”

元素周期表

新规要求谷歌为非谷歌应用商店分发者创建全新安卓开发者控制台。学生和业余爱好者将获得与商业开发者不同的独立工作流程。

通过Google Play分发的开发者“很可能已通过现有Play控制台流程满足验证要求”,其中组织机构需提供D-U-N-S编号。

首批安卓应用开发者将于今年10月获得验证资格,2026年3月全面开放申请。

巴西、印度尼西亚、新加坡和泰国用户将于2026年9月起实施该要求。谷歌指出这些国家“深受此类欺诈性应用骗局影响”。2027年起验证机制将覆盖全球。

届时,这些地区经认证的安卓设备上安装的任何应用,都必须由经过验证的开发者注册。

谷歌表示已收到政府机构等各方“积极的初步反馈”:


  • 印尼通信与数字事务部称赞该措施采取“平衡策略”,既保护用户权益又保持安卓系统的开放性。
  • …泰国数字经济与社会部认为这是“积极主动的措施”,符合该国数字安全政策。
  • 巴西银行联合会(FEBRABAN)将其视为“在保护用户权益和促进责任担当方面的重要进步”。

共有 215 条讨论

  1. 这意味着使用设备时,你必须与外国第三方(除非身处美国)建立契约关系,由对方决定你对设备的使用权限。此外,使用GrapheneOS的可行性正日益降低——银行等“受监管”行业正通过Google Play Protect及类似DRM技术,阻止用户使用任意设备进行连接。客户端的“信任”意味着设备所有权归属提供商而非用户。

    Android已不应被视为开源系统——源代码分批次发布,仅部分系统开放,且越来越多的应用正被纳入谷歌生态体系内部。

    或许是时候迎来第三大手机操作系统了——无论是源于中国对美国和谷歌诡计的厌倦(华为虽有鸿蒙系统但未开放),还是某个具备完整生态的“GNU/Linux”触屏版本。尤其当越来越多的应用与服务(如银行服务)采取“移动优先”或“移动专属”策略时。

    1. 我认为Play Integrity才是核心症结,必须废除。这才是问题的关键所在。

      允许应用宣称“仅支持谷歌官方认证的原生安卓设备”,并严格限制认证设备范围——正是这种机制使系统变革陷入困境。若没有这些限制,非谷歌Android版本就能获得公平竞争环境;若不认同其规则,用户可自由安装Graphene等替代系统而毫无损失。但有了Play Integrity和认证机制,用户永远面临被切断关键应用(如银行)的风险——这些应用可能突然变成“仅限谷歌Android”。

      若Play Integrity机制消失,我将更乐见谷歌实施此类限制——愿意者可选择加入,不愿者可使用替代方案,让市场真正决定需求走向。

      1. 银行似乎确实“需要”Play Integrity机制。至少它们表现得如此。我敢打赌它们巴不得用户自主设备上的常规网银功能彻底消失。

        1. 当然如此,这再正常不过。银行处于荒谬的法律困境中——它们要为用户愚蠢行为承担经济责任。若我的账户遭入侵,即便我未采取合理安全措施,银行仍必须赔偿损失。倘若银行能宣称“你未遵循我们推荐的安全措施——使用密码管理器、多因素认证或密钥,因此你需自行承担风险”,他们就不会强推这些方案。但政府禁止他们这么做。

          如今政府监管机构甚至施压要求金融机构对用户合法授权给诈骗者的交易承担责任。银行当然想监控你的每一步操作并控制你的设备——在这种激励机制下,不这么做才是愚蠢的。

          1. 你住哪个国家?在美国,用户要为银行的愚蠢买单。如果银行不核验身份凭证就把我的钱转走,我不仅拿不回钱,银行也不承担责任,我反而成了“身份盗窃”的受害者。

            1. 我住在美国。账户遭遇欺诈扣款时,我追回了每一分钱损失。更重要的是,银行在调查期间就立即为我办理了退款。

              1. 你的银行处理得当,我认为多数银行和信用合作社都会这么做——毕竟不这么做会引发诸多问题。

                不过,相关法律义务的运作机制存在显著差异。普遍建议网购使用信用卡而非借记卡或关联支票账户的原因之一,正是二者在欺诈责任认定上的差异[0]

                [0]:当然,这条建议存在诸多合理依据,但此点被频繁提及

                1. 你理解有误。这并非善意措施,而是法律强制要求。例如《电子资金转账法》规定银行必须全额赔偿ATM欺诈交易损失。信用卡建议的核心在于:让你在不影响现金使用的前提下,拥有更充裕的时间和灵活性提出争议;毕竟多数美国人连几千美元现金都存不到,ATM欺诈提款才是真正的大问题。但若您持有充足现金,只要遵守通知要求(发现后2日内向银行申报),欺诈性ATM交易对您实际影响甚微。

                  信用卡欺诈损失则受《公平信用卡法案》约束。

                  令人震惊的是,竟有人认为企业是出于善意而非法律强制才采取这些措施。

              2. 你是否将信用卡欺诈交易混为一谈?那完全是另一回事。我甚至无法想象你能从银行追回任何借记卡欺诈交易的损失。

                1. 我举报后当场撤销了约2000美元的欺诈性借记卡扣款。

          2. 反过来说,银行除了强制要求使用应用程序外,其安全措施简直烂透了。让我用非定制的双重认证吧。

            1. 那些所谓的“应用程序”安全措施,其实就是强制使用赛门铁克应用——但根本不需要赛门铁克,网上有大量教程教你如何注册任何验证器应用。

            2. 至少你们有定制版双重认证。我只有短信验证。

          3. 我理解这些,但不明白这比浏览器操作更不安全在哪里。

            1. 我的银行不允许通过浏览器操作。必须用APP,否则就得亲自去总部(我猜)注销账户。

              1. 请问是哪间银行?您究竟为何还要继续使用他们的服务?

                我算是特例吧——二十年来一直使用纯线上银行(当年其实没那么“线上”……我堆着一摞UPS隔夜信封存支票),但实在无法想象会光顾不允许通过浏览器登录操作的银行。

                1. 亚洲不少国家早已没有不强制使用银行APP的金融机构了。别无选择。

                2. 我从未见过允许通过浏览器进行手机存款的银行。这类操作始终需要APP支持。

              2. 他们还允许用户把交易记录下载到手机再导入电脑吗?好奇问下,要是我遇到这种情况就完蛋了,我连手机怎么装应用都不会。

        2. 纯粹因为功能存在。若没有这个选项,他们大概不会强制要求。但既然功能存在,试想在银行对管理层说:“建议我们禁用这个在99.99999%手机上都有效的安全功能”。

          1. 作为曾为银行开发应用程序的人,我认为不会。若该功能不存在,银行等机构绝对会主动要求开发。

            如今针对弱势群体的诈骗层出不穷,攻击手机已成为极其“便捷”的作案手段。

            当然或许存在更灵活的实现方式——让手机能在可信模式与“开放模式”间切换。但现实中需求量恐怕不足以支撑这种设计。

            1. Play Integrity几乎无法阻止恶意行为者。事实上,我认为它总体上可能更具危害性,因为它让银行等机构产生了虚假的安全感。

              即便启用Play Integrity,也不应信任客户端。设备仍可能被入侵,虚假银行应用依然存在,键盘记录器等威胁依然存在。

              网络环境迫使银行等机构设计无需依赖客户端信任的应用。而游戏完整性机制可能使这种信任成为可能,这正是核心问题所在。

              1. 我曾参与此类系统开发。无论好坏,远程验证机制能有效遏制滥用行为。当欺诈行为无法轻松自动化时,要将其规模化至盈利水平就困难得多。这正是该技术存在的意义,也是银行采用它的原因。

                1. 难道绑定设备的密钥方案(如Yubikey等可信安全元件)不能同样有效,且无需锁死整个软件栈吗?

                  1. 远程认证机制不会锁死整个软件堆栈,仅锁定服务器验证客户端行为所需的组件。用户仍可自由安装应用,这些应用也能进行大量定制化操作(如替换主屏幕),这正是当前安卓系统的设计理念。

                    必须至少对内核、固件、显卡/输入驱动、窗口管理系统等进行认证,否则用户操作可能实为恶意软件所为。必须确保应用的onPayClicked()事件处理程序是因真实用户点击(或经授权的辅助应用自动化操作)而触发。要实现这种保障,操作系统必须通过安全边界强制执行应用通信与隔离机制。

                    1. 这种过度封锁的设计,虽然赋予我_部分_控制权,却无法实现_真正的_掌控。我无法移除或修改软件栈中行为不合意的组件(例如整个Play服务套件),也无法用GrapheneOS这类更注重隐私安全的操作系统替代原生系统。

                      试想若在智能手机出现前,桌面计算机就实施这种管控——简直荒谬至极。

                      依赖硬件绑定密钥无可厚非,但此时需要锁定的软硬件堆栈范围应严格限制在专用外部硬件令牌范围内。强制锁定整个操作系统及服务堆栈的设计纯属拙劣——这种做法将控制置于自由之上,道理再简单不过。

                2. 1. 我不认同你的观点。这是测量问题——你消除了滥用行为的检测途径,因为你现在仅凭信任客户端就断定滥用不会发生。

                  2. 它并未消除任何实质性欺诈手段。网络钓鱼依然有效,社会工程学依然有效,窃取TOTP验证码依然有效。

                  归根结底,我根本无需在你的手机上安装假应用就能盗取资金。绝大多数数字银行欺诈并非如此实施——绝大多数欺诈发生在真实银行应用和网站内部,即未经授权的用户已获取账户访问权限。

                  我只需窃取密码,或通过社会工程手段获取资金/账户信息即可。

                  此方案同样无法阻止支票欺诈、电汇欺诈或信用卡欺诈。重申——窃取信用卡信息无需伪造银行应用,只需发送钓鱼邮件诱导用户在恶意网站输入卡号。

                  1. 1. 当然,选择否认是你的特权。但别再对这类手段为何被滥用感到困惑。

                    没人会犯“修复可量化问题就等于解决根本问题”这种低级错误。欺诈和滥用行为的真实信号,就是客户因账户被盗导致损失而向你投诉。

                    2. 这些技术同样能有效阻断网络钓鱼攻击。我本可详解原理,但你大概不会相信。

                    你提到支票欺诈,或许你使用的美国银行安全措施确实糟糕。在美国以外地区,只要选择基本合格的银行:

                    • 密码无法单独访问银行账户。银行甚至根本不用密码。用户必须通过智能卡验证,或使用存储在智能手机安全元件中的密钥对进行认证——该密钥需通过邮寄设置码(通常需PIN码或生物特征验证)与账户绑定。

                    • 支票欺诈根本不存在。

                    • 信用卡钓鱼同样不存在。所有信用卡交易都通过向绑定移动应用推送消息进行实时授权。要窃取信用卡资金,必须诱使用户在手机上授权交易——若用户未留意屏幕显示的商户名称则可能得逞,但这不属于网络钓鱼或凭证盗窃。

                    1. > 没人会犯“修复可量化问题即解决根本问题”这种低级错误。

                      这种行为有个专有名词:黑暗模式。

                      人们常犯此类错误。这是普遍存在的测量问题,因为测量本身极其困难。

                      我们测量的指标正确吗?其含义是否符合预期?企业为此投入数千亿美元试图解答这些问题。

                      2. 它无法阻止钓鱼攻击,因为只要获取密码就能入侵。

                      针对你的观点:

                      – 是的,美国银行也使用一次性验证码。你提得很好,可惜缺乏创新性。这种方式在多数情况下极易被绕过。邮件验证最差,短信稍好,TOTP(时间同步验证码)最佳。

                      但若用户直接将验证码输入任意字段,TOTP就毫无意义。

                      – 支票欺诈确实存在,你是否了解并不重要。

                      – 若每笔信用卡交易都需手机授权,我宁可自杀。这简直是垃圾设计。

                    2. 这讨论本质是美国与世界其他地区认知差异,或者说是美国与欧洲的认知差异。

                      你说的TOTP(时间密码)在美国被视为最佳方案,但在美国以外地区根本不算什么。我不知道有哪家银行长期使用它,安全性实在不够。支票几十年前就被淘汰了。欧洲整整一代人连支票都没见过,更别说写过。我记得最后一次领支票簿还是2004年。

                      据我所知,差异源于美国消费者立法规定商户需承担欺诈交易退款责任,导致银行和消费者缺乏提升安全性的动力,而商户也只能通过复杂且效果甚微的风险分析来应对。当地退款流程过于便捷,致使无人愿意完善基础设施。这迫使所有人投向亚马逊等平台的怀抱——它们拥有最丰富的机器学习数据。

                      在美国以外地区,尤其在欧洲,若商户正确验证了凭证,则无需对欺诈交易承担责任。因此发起退款变得困难得多。即便商户交付了劣质商品或存在其他商业纠纷,退款也极其困难(我曾尝试过一次,银行直接拒绝了)。因此责任转移至银行,除非银行能证明交易经账户持有人授权且信息准确无误。这意味着银行和商户都有动力加强安全措施,而他们确实如此做了。

                    3. 毕竟这终究是部手机,还得兼顾UMA和基带处理功能。在Blackhat/Defcon大会稍作停留就能明白,任何试图彻底封堵漏洞的努力,无异于用环氧树脂堵筛子上的孔洞——它实在太过多孔。

                      与此同时,即便认证机制能降低欺诈率,用户对设备的掌控权却因徒劳的追逐而丧失殆尽。

              2. 这就像用“安全带没用,毕竟车祸照样致命”的论调,再添上“其实安全带有害,会让人产生虚假安全感”的谬论。

                Play Integrity能大幅降低暴力破解和设备被入侵攻击。诚然它无法彻底消除这两类威胁,但安全本质是概率博弈——复杂系统中鲜有可验证的完美解决方案。

                对多数大型公共应用而言,绝大多数登录尝试都带有恶意。而成功攻击主要来自未认证平台(如桌面网页端)。认证机制在此具有重要价值。

                1. 设备验证如何减少暴力破解?后端难道不执行账户尝试次数限制吗?若如此,这将构成重大漏洞。若非如此,验证机制便无法实现该目的。

                  关于被入侵设备,假设您指的是恶意保姆攻击,安卓系统已实现安全启动机制,一旦信任链被破坏将强制执行完整数据擦除。我认为当前的警示数量已足以震慑毫无头绪的“普通用户”,且存在更便捷的钓鱼手段。

                  1. 这些应用采用MEETS_DEVICE_INTEGRITY而非MEETS_STRONG_INTEGRITY认证机制,因此被入侵的设备完全可能被用于访问关键服务。(通常因旧设备不支持强完整性验证)

                    这让我想起小米等厂商因新机预装破解镜像而限制解锁引导加载程序的做法。

                    1. 或许折中方案是修改开机画面,添加“运行非官方ROM”的提示标签,如同当前解锁引导加载程序时的标识?既然系统能根据解锁状态动态更新提示,为何不能基于公钥实现?此举或许还能阻止厂商/ROM开发者使用测试密钥——就像Fairphone当年那样。

                    2. 搭载GrapheneOS的Pixel设备已实现此功能:

                      “您的设备正在加载不同操作系统。”

                  2. 我在谷歌开发过类似技术(通过JavaScript谜题“验证”浏览器),那是在2010年——当时无人涉足该领域,整个构想被视为明显不可行。但它确实有效。

                    针对密码的暴力破解攻击,如今已无法通过任何服务器端逻辑阻止——这种局面早在15年前就已形成。现代登录系统必须采用复杂的服务器端速率限制机制,但仅靠此仍不足以应对。原因在于攻击者往往预先准备了被盗或钓鱼获取的密码库,并操控着超过百万节点的僵尸网络。因此从服务器端看,攻击模式如下:某个从未出现在日志中的IP突然发起两三次登录尝试,目标账户均位于该IP所在区域,且密码正确率约25%-75%。随后该IP进入休眠状态,从此销声匿迹。若要拦截此类行为,必然会产生难以承受的误报率。但该僵尸网络整体上仍能以每日百万级的规模持续攻击账户,永无止境。

                    真正有效的应对方式是调查执行登录操作的应用程序。攻击者通常受限于CPU和内存资源,因为僵尸网络本质上是由被入侵物联网设备运行的微型HTTP代理组成的集群,实际计算任务在其他地方执行。从攻击者角度看,理想目标是仅采用服务器端速率限制的网站。他们只需在开发者桌面编写一个精妙的异步机器人,即可同时发送数万个HTTP请求——这些请求仅需向服务器POST字符串即可获取所需资源(金钱、邮件发送等)。

                    提升设备验证的级别后,他们的难度就大大增加了。在极限情况下,他们无法破解远程验证机制,只能被迫购买并架设大量正版设备,再编程机器人手指来戳屏幕。显而易见,从“在白俄罗斯公寓里破解脚本”到“建造满仓库的机器人”,两者差距天壤之别。更关键的是,此时攻击者使用的设备由对手掌控,这将暴露大量他们可能无法修复或察觉的新线索。

                    浏览器沙盒机制限制了网络攻击的深度,这也是银行等高价值目标要求网页应用必须与移动应用绑定登录的原因。但攻击者仍有诸多手段可施。谷歌网站每秒生成数百万个随机加密程序,这些程序在JavaScript实现的小型虚拟机中运行,迫使攻击者使用浏览器并监测浏览器自动化迹象。如今效果如何我不得而知,但该机制仍在使用。当年我以20%时间项目形式推出时效果极佳——当时垃圾邮件发送者从未见过类似技术,不知如何破解,大多转而骚扰竞争对手。

                    1. 我可能理解有误,但这种大规模分布式攻击难道不能通过监控账户登录频率来阻止吗?如果攻击者每天仅对单个账户尝试两三次密码,谷歌完全可以强制用户禁用所有流行密码库(包括随时间更新的谷歌自有密码库)中排名前10,000的常用密码来进一步封堵?

                    2. 攻击者通常只尝试一两个通过黑客手段或钓鱼获取的密码。他们不会猜测常用密码,通常已掌握账户正确密码,首次尝试就能成功登录。服务器端没有任何可用于限制其访问频率的信号,尤其当整个攻击基础设施完全自动化且攻击者拥有无限耐心时。

                    3. 恕我直言,这些泄露账户难道不是无药可救吗?问题的关键在于攻击者能用泄露凭证登录用户账户。唯一的缓解措施是:锁定其他密码泄露事件中涉及的用户,并通过非网络渠道重新验证身份(如前往本地银行网点),添加硬件令牌等双重认证,或采用访问IP地理位置一致性等限制性启发式策略。

                      若每小时三次尝试就足以成功登录,那么身份验证似乎也无济于事。我认为这种情况下,物理手机农场仍具有经济可行性。

                    4. 没错,企业正是这么做的。我曾参与开发过针对此问题的系统。若能检测到机器人登录,可锁定账户直至真实用户获取新凭证,或通过其他方式阻断活动。绝非无解之局。

                      该方案在问题初现时效果显著。当前状况则不得而知。

                    5. > 某个从未出现在日志中的IP突然提交两三次登录尝试

                      攻击者凭什么用2-3次尝试进行_暴力破解_?

                      即便100万节点每小时提交10次登录尝试,每个账户每月也仅能尝试70亿次密码,这连破解中等强度密码都远远不够(更别说当某个账户在1小时内遭遇来自不同IP的100万次登录尝试时,后端系统肯定会采取应对措施……)。

                      看来我对威胁模型存在误解……

                    6. 此处的暴力破解指的是:攻击者尝试数百万个账户,其中约四分之一账户首次尝试即可攻破,而非对单个账户进行数百万次尝试。

                    7. 坦白说,这是对暴力破解极为罕见的理解。通常该术语适用于几乎零预先知识的纯枚举场景。

                    8. 这个语境下我本会选用其他词汇。我只是解释为何在现代场景中,验证机制能解决楼主描述的问题,而速率限制却无能为力。

                    9. 若攻击者在25%尝试中能成功入侵,即便拥有数百万IP的僵尸网络,仅用10个IP攻击时成功率仍维持在25%。这与暴力破解无关,根本问题在于大量账户已被窃取,而你需要阻止恶意行为者大规模利用这些账户。

                      威胁模型与你所说的“暴力破解”完全不同,而且这种威胁模型与银行业毫无关联——这本就是讨论的初衷。更重要的是,它不会影响用户的安全性。

                2. 这不是同类论证,因为安全带确实有效——而游戏完整性机制无效。

                  游戏完整性不过是数字版权管理(DRM)。DRM根本无法防范最常见的攻击手段。

                  若我掌握你的密码,就能盗取你的资金;若我持有你的信用卡,就能进行未经授权的交易。

                  认证机制毫无防范作用。认证如何阻止恶意登录尝试?你认真思考过这个问题吗?它做不到,因为这根本不可能实现。

                  绝大多数漏洞利用和欺诈行为根本不源于设备被入侵。它们来自未经授权的访问——而DRM方案仅能天真地阻挡表层攻击。

                  例如HBO Max的DRM机制能阻止未经授权的访问:我必须登录才能观看电影。但这无法阻止任何人登录后的访问行为。你明白问题所在了吗?

                  1. 明白了。假设你运营一个烘焙网站。每天有数十万合法登录,可能还有千万次被拦截的登录尝试。如今这类拦截量或许已达亿级。

                    现在,你有一批移动端用户带着验证信号前来访问——他们声称来自安全启动环境,且使用正确凭证。

                    另一批用户则声称使用安卓设备,但没有验证信号,同样使用正确凭证。

                    根据过往经验(代价极其高昂的经验),你清楚认证设备也可能发生欺诈,但刷机设备欺诈概率高出约10,000倍。

                    你会对这两类登录行为采取相同策略吗?真实用户最痛恨验证码这类侵入式安全措施?

                    现在你是否更理解技术本质了?整个问题与解决方案的范畴都与你想象的不同。

                    1. 欺诈责任归属?用户遗失密码纯属个人问题。

                3. 太棒了。干脆要求所有计算设备都经过政府机构验证、签名和认证吧。毕竟万一哪天被恶意利用攻击谷歌在线服务——毕竟谷歌压根懒得花一纳秒思考安全问题。

                  绝对万无一失。这不仅在道德上存疑——无论它给谷歌带来多少“优势”——在技术层面更是荒谬可笑。因为_即便所有计算设备都经过认证_,从设计原理上我仍能轻易找到利用它们“暴力破解”谷歌登录的方式。认证的技术“优势”一旦强制实施就会立即归零(这正是安全带类比失效之处)。

                  在强制所有设备实施远程认证后,我建议下一步是将设备ID与政府颁发的个人身份证绑定。且看这招会引发何种反响。当某台设备被用于攻击谷歌服务时,政府便可派遣灭口小队。这同样能提升安全性。

                  各位,这就是我们正在构筑的反乌托邦未来。要不要接受由你决定。毕竟从统计学角度看,这确实能提升安全性!

                  1. 你恰恰印证了安全带类比的缺陷。

                    没错,对于某些攻击者子集(车祸)和某些目标子集(乘客),防护措施确实无法解决问题。

                    这并非多数人理解的反认证/反安全带论点。

                    所有安全措施本质上都是缓解手段。完美不存在。

                    但荒谬之处在于:仅因某个财力雄厚、动机强烈的攻击者能操控真实认证设备实施恶意攻击,就断言数十亿合法客户端设备的认证毫无价值。

                    你对戏剧化表达和刻薄言论的热衷,恐怕正模糊了你对核心议题的判断。

                    1. > 没错,对于某些攻击者子集(车祸)和某些目标子集(乘客),缓解措施确实无法解决问题。

                      一旦强制实施,它就无法为_任何人_解决问题——因为当存在动机时,绕过它轻而易举。这点就足以从技术层面否定该方案;更遑论其他缺陷(这些缺陷绝不应被忽视)。安全带绝对不存在此类问题。

                      > 所有安全措施都是缓解手段。完美不存在。

                      这纯属毫无意义的同义反复。虽是绝对正确的陈述,却对讨论毫无贡献。

                      假设我主张“由人工通过电话核验每笔银行交易的收款方与付款方”。你反对称此举将造成成本浪费、耗费各方时间,且安全提升微乎其微。我反驳道:“所有安全措施都是缓解手段,没有完美方案!”

                      你可曾意识到自己在做什么?这又是一个教科书式的政客谬误(必须采取行动;这是行动;因此我们必须采取行动)。

                      这种论调试图通过“至少有所作为”来回避对提案实际价值及其弊端的讨论。诚然,它确实有所作为。那又如何?若弊端足够严重,或收益微不足道,或许不采取行动才是上策!

                      > 但这种逻辑站不住脚——仅因某个财力雄厚、动机强烈的攻击者能操控真实认证设备实施恶意行为,就断言十亿台合法客户端设备的认证毫无价值,实属荒谬。

                      不久前我们就在HN讨论过远程认证在反作弊中的价值:结果发现所谓“大量资金”不过是定制USB鼠标(或鼠标配件),制造成本仅需几美分。当然,成本并非零。要让攻击成本真正达到“大量资金”级别,你得采取越来越严苛的措施——但你又会说我危言耸听。

                  2. >毕竟从统计学上提升了安全性!

                    恐怕连这点都谈不上,不过它确实能限制责任——这才是唯一目的,就像汽车说明书,没人会读却罗列了所有可能事故的警示。

                4. > 这就像说“安全带没用,毕竟车祸照样有人丧生”

                  但这根本不是安全带,而是画着安全带图案的束缚衣:它以束缚用户自由为代价,换取虚假的安全感。

                  而且如同束缚衣,它未经用户同意就被强加于人。

                  与束缚衣的区别在于:这里既没有医生判定谁真正需要它来对抗自身弱点,也没有正当程序限制其使用范围——它默认强加于所有人。

            2. > 若此功能尚未存在,银行等机构绝对会主动要求开发。

              真的吗?毕竟几十年来桌面端没有这项功能也照样运转良好。

          2. 另一方面,这本不该由银行决定。那是我的钱,不是他们的。

            我真希望不必让西装革履的银行职员管理我的资金,但如今没有银行账户实在难以生存。

            这正是我最初痴迷加密货币的原因——它承诺让我们重新掌控属于自己的资产。但各种KYC验证垃圾和投机者要求加强监管的诉求,最终让加密货币沦为和传统银行体系同样糟糕的交易。

          3. 需求足够强烈,以至于许多开发者选择授权第三方库来实现设备认证功能,这些库要么替代Play Integrity,要么作为其补充方案。

        3. 荒谬的是他们从未对浏览器提出相同要求。我认为用户误下载植入后门的浏览器的风险,远高于误下载银行应用的篡改版本。但攻击者获得的控制权限其实完全相同。

          1. 这不正是Manifest试图实现的目标吗?虽然其噱头是禁用广告拦截,但本质上是在将浏览器塑造成“可信”(即受控)平台,对吧?

          2. 银行从未接受过浏览器。它们无需接受,因为可强制要求网页应用与移动应用或短信验证码绑定登录。在采用移动应用前,银行普遍发放智能卡读卡器(至少我居住过的地区如此)。这些读卡器还用于交易的数字签名。

            换言之,允许仅凭浏览器执行敏感操作的银行寥寥无几,这种情况自网上银行诞生起便始终如此。

            如今银行还会根据交易提交设备实施差异化风险分析,并采取措施引导用户转向移动端。例如瑞士现已制定整套发票二维码编码标准,支付时必须使用移动应用。

            _编辑说明:大家似乎纠结于“从未接受浏览器”的说法。此处意指银行仅将浏览器用于非重要交互。对于登录或交易认证等重要操作,银行要求使用受控性更强的独立硬件设备,如SIM卡/移动射频模块、智能卡或手机应用。虽然部分银行管控较宽松,但全球多数地区自网银诞生起便始终遵循这一原则。

            1. 那是不对的。我在丹麦用过的每家银行都允许我登录并完成所有操作,无需应用程序。它们要求使用国家数字身份(MitID)进行身份验证和授权,该身份既可以是应用程序形式,也可以是TOTP令牌和FIDO(或类似)芯片形式。无需任何应用程序。

              我猜智能卡读卡器功能相当。但我的观点是:锁定手机操作系统足以建立客户端信任,却非必要条件。用户应始终能绕过强力Play Integrity验证运行应用,只需在每次认证授权流程中通过NFC扫描硬件令牌即可。

              1. 这种现象在巴西等发展中国家尤为普遍。我供职于当地一家金融科技转型银行,当前最大挑战是应对诈骗分子通过社会工程手段入侵用户账户的欺诈行为。外界往往低估巴西诈骗猖獗程度,更不了解我们为打击诈骗投入的巨额成本及其对安全与便利性平衡的影响。例如:

                – 若未在银行APP安装后完成面部及证件扫描,我连一分钱都无法转账。

                – 同一银行账户无法同时登录两台设备,所有银行都要求使用“已验证”设备(即前文所述)登录账户。

                – 若需通过电脑访问银行账户,必须安装银行提供的桌面客户端,否则仅限查询余额。部分银行甚至禁止未绑定“验证设备”进行双重认证的登录。

                我敢肯定上级领导会为这些消息欢呼雀跃,尽管它们根本解决不了任何问题。

              2. 在美国也是如此。我从未遇到过必须用APP替代浏览器的情况,真不知道那家伙在说什么。

                1. 我美国银行十年前就取消了浏览器端支票存款功能,而且我从未见过有人能不用APP操作Zelle。

                  1. 这和原帖说的“银行从不接受浏览器操作”相去甚远。

                  2. 我多次通过浏览器使用Zelle转账。不过时隔很久,或许现在情况变了。我从未尝试过用浏览器或APP存支票,这点你说的可能没错。

                  3. 我拥有三家不同金融机构的账户(准确说是两家银行和一家信用合作社)。通过浏览器均可使用Zelle转账,其中两家甚至未安装其应用程序。

                    1. 嗯…不知是否取决于使用的浏览器类型?

                2. 在我国家,几乎所有银行都撤销了网页应用。15年前智能手机普及前它们还存在,但如今极少银行提供网页应用,只剩移动应用。

              3. 这正是我想说的。他们不允许仅通过网页浏览器操作。若不用移动应用,他们会提供执行类似功能的可信硬件设备(虽然通常安全性较低且不够便捷)。

                我的银行仍允许通过智能卡读卡器登录和授权交易。添加新收款人时需输入账户号码片段进行授权,之后向该账户转账就无需硬件验证了。

                纯NFC令牌无法实现,因为需要可信输入输出设备。

                1. 未必如此。在波兰,仅需网页浏览器配合短信验证码或一次性密码卡即可办理银行业务,无需专用硬件。

                  1. 短信验证码只能通过手机接收(属于专用硬件,而非浏览器)。柜台智能卡同样属于专用硬件,而非浏览器。

                    1. Google Voice并非专用硬件。你混淆了身份验证与双重认证的概念,这正是你被点赞的原因。

                    2. 没错,但Google Voice本就不该用于接收短信验证码。这是美国特有的做法,若采用此法,反而会削弱银行试图提供的安全保障。

                      银行曾长期采用短信验证码,是因为手机系统会阻止恶意软件读取屏幕或短信存储(电脑则无此机制),且手机能在登录流程中执行远程验证协议。SIM卡内置用于签名验证的密钥,网络仅允许经过授权的无线固件登录。因此向手机发送验证码能提供加密层面的保障:确保代码被正确接收且仅由用户本人查看。

                      基于此原理,双因素认证(2FA)与远程认证(RA)密切相关。第二因素采用专用硬件设备,强制要求仅人类可与其交互,并能通过加密方式向远程服务器证明其身份——短信验证码场景中对应的远程服务器即移动交换中心。

                      显然,这套系统非常粗糙——用户授权后,电脑上的恶意软件就能截获登录信息。但至少能在用户不在场时阻止账户被使用。现代基于应用程序的系统要安全得多。

                    3. …正因如此,我使用过的银行多年来都不支持这种方式。这是个过时的例子。现代银行都依赖绑定手机安全元件的应用程序,或发放智能卡读卡器。

                2. 明白了,我之前可能误解了你的意思。我知道多数银行确实提供应用程序之外的替代方案。

                  但问题在于,这些方案本质上迫使用户在便利性与数字自主权之间做出取舍——这种设计本身就是错误的。我认为远程验证机制根本就不该出现在技术工具箱里,我们应该着力优化专用硬件解决方案。

                  1. 专用硬件解决方案本身就是远程验证。智能卡OTC读卡器正是如此运作:你用私钥签署挑战信息,该私钥永不离开智能卡,且在工厂就与银行绑定。这正是远程验证在后台执行的操作,唯一区别在于智能卡用户交互更为受限。例如它无法保护你的金融隐私,仅能阻止被黑显示设备授权交易。

                    若为智能卡系统升级输入输出能力,最终将演变为现代智能手机。届时与其让用户自备设备,不如直接提供功能相近的专用设备,何必收取高昂费用?

                    1. 我坚决反对将通用计算设备锁定以满足狭隘安全场景的做法。我完全不认同最终会演变为智能手机的结论,且你给出的论证理由并不充分。

                      对于仅用于极端有限安全目的的设备,我接受其封闭设计。护照内置封闭硬件若能提升防伪性,我完全接受。但护照并非用于上网浏览,因此其安全要求不应限制我屏蔽广告的权利。

                    2. 那用能屏蔽广告的浏览器不就行了!安卓不是iOS,你可以运行非Chrome浏览器,这次变更根本不会阻止你安装自定义浏览器并使用任何功能。你的银行应用根本不在乎你用什么浏览器。

                    3. 你根本没理解我关于自由的核心观点。

                      没错,我现在能这么做,但这仅因谷歌在其认证的安卓系统上允许我这样操作,而非他们无法阻止我。我不相信他们不会在确定能承担反垄断诉讼成本后,立即剥夺我的自由——毕竟展示广告正是他们的核心商业模式。

                      我知道我的银行不在乎我用什么浏览器,但通过依赖Play Integrity服务,他们间接迫使我在设备上所有其他方面都受制于谷歌的管控体系。

                      我绝不愿让他们掌控我的软件栈,句号。我不在乎他们现在是否扮演好人角色,他们在道德层面的滑坡已持续多年,我预计这种趋势还会继续。

                      我不明白你们怎么能对这种技术毫无顾虑。

            2. > 换言之,允许仅凭浏览器执行敏感操作的银行本就寥寥无几,这在网上银行诞生之初便是如此。

              我使用网上银行时,多年来仅需浏览器和TAN列表,无需任何应用程序

              1. “浏览器+TAN列表”等同于“浏览器+应用程序”。浏览器无法独立使用,网上银行始终需要第二重验证因素,但银行应用程序可以独立运行。

                1. 不。TAN列表无法阻止你从设备中卸载Play服务。

            3. 富国银行难道不是银行?它甚至不用双重认证,你还能通过浏览器登录向全球转账!

            4. 我在金融科技领域工作,曾为多家大型银行担任承包商,你说的这些普遍情况根本不成立。

              或许个别银行——或特定国家存在例外,但总体而言,你提到的这些情况在全球其他银行都不适用。

              1. 哪些美国以外的银行允许仅使用任意桌面浏览器提交付款,无需其他设备参与?无需手机接收验证码,无需智能卡读卡器,无需安全元件,除了浏览器和密码之外什么都不需要?我从未遇到过这样的银行。

                1. 顺便提一句,“短信双重验证”或“邮件双重验证”同样可通过浏览器实现(如Google Voice或类似服务、网页邮箱),我曾用这两种方式在银行操作过。

                  不过我使用的某家大型银行至今仍支持纯密码登录。

                2. 不明白为何“美国境外”成为考量因素,但全球几乎所有银行都如此。有些仅需邮箱验证,有些甚至无需验证。

                  某些国家的银行系统连自动取款都不需要ATM/借记卡,仅需账户号码和分组代码即可操作。

                  1. 令人惊讶的是大家在此处的经历如此迥异。

                    我毕生从未遇见过允许仅通过桌面浏览器登录或交易的银行。你似乎认定这是特例,但据我所知欧洲所有银行都采用这种模式。美国确实存在提供此类服务的金融机构,但美国金融体系存在着其他地区无法容忍的独特欺诈风险。例如在芯片密码卡应用方面就落后多年,且基本未能普及。美国将银行账号视为凭证等做法在其他地区并不适用。

                    看看这个讨论串:许多人都认同我的观点。若你使用的银行允许仅通过浏览器完成交易,要么你身处欺诈行为完全不被重视的环境,要么就是选择了劣质银行,应当立即转投他行。

                    1. 你可曾考虑过欧洲只是世界的一小部分?它与地理邻国关系密切,并不代表全球其他地区的经验。

                      你说美国落后于欧洲,这没错——但凭我在美国从事国际金融科技工作的经验,我可以肯定:全球有比我国总人口还多的地区,其银行安全措施默认设置得更差。

            5. > 银行从来不接受浏览器。

              你在说什么?我的银行接受浏览器,而且是大型银行。

        4. 因为这让他们能“免费”外包“安全”。

      2. 若Play Integrity消失,所有主流安卓用户将突然遭遇海量验证码及其他安全措施。

        有趣的是,Reddit上充斥着谴责AI公司疯狂抓取网站的愤怒评论,同时又反对设备认证机制,却鲜少有人意识到这两者实为一枚硬币的两面。

        Play Integrity(及苹果的PAT)正是让移动用户比桌面用户少受困扰的关键。并非说这是道德层面的善举(技术本身鲜少具有绝对道德属性),只是这项功能对普通用户和资深用户而言都具有双面性。

        1. 同时厌恶滥用抓取、远程验证、恶意软件和验证码并无逻辑矛盾。其中我仅对验证码抱有厌恶,而对其他三者作出道德评判。

          我认为建立消费者设备远程验证机制在道德上是恶劣的,因为这将导致用户权力大规模转移至企业和政府手中。当只有少数巨头企业认证的计算机才能与外部世界交互时,即便当前应用看似无害,这种机制终将沦为作恶工具。

          1. 没错,这就像世界被变成一家巨型企业,而你能使用的计算机全是企业控制的、被植入程序的、加入活动目录的垃圾。所有机器都归它们所有。

        2. 事情没这么简单!

          Play Integrity最高级别的认证要求设备必须运行安全更新,且更新时间需在1年滑动窗口内。

          大量安卓设备多年未发布安全更新。这迫使用户不得不升级到更高端的OEM设备。

          谷歌实际上正在挤压小米、华为等提供优质平价选择的品牌。谷歌不仅让你免于在手机上填写验证码,更重要的是他们正在玩垄断游戏。

          1. 为什么“低端OEM厂商”不能发布安全更新?

            1. 他们完全有能力做到,但这很可能导致廉价设备终端售价上涨——制造商必须提供额外软件支持,却不愿承担亏损风险。

              1. 为何手机制造商必须负责操作系统升级?

                我从未因戴尔公司而延迟执行apt update和apt upgrade命令。

                1. 因为当你购买大多数智能手机时,你买的是被厂商锁定的设备,并选择留在他们的生态系统内。这就是谷歌设计垄断的方式。苹果也是如此,但没有碎片化问题。

                  你从未需要等待戴尔输入apt update和apt upgrade命令,但MacOS用户必须等待苹果更新他们的电脑。

              2. 有人会辩称那些“廉价”设备从诞生之初就是电子垃圾,需要低成本移动设备的消费者本该购买更昂贵的二手或翻新机。

            2. 因为它们他妈的烂透了。我从未听说台式机或笔记本会被捆绑在戴尔或华硕等厂商身上,只为获取普通的内核或系统升级。手机厂商若执意锁死引导程序、嫉妒地阻止逆向工程、阻碍内核开发者自由创新,那他们就该甘当混蛋的称号,或者承担永久支持设备的责任。

      3. 据维基百科所述,鸿蒙系统是开源的,但部分工具似乎并非如此。例如模拟器只能从中国大陆获取。

        1. OpenHarmony和LiteOS是开源的,而HarmonyOS部分采用专有模式。

      4. 若能关闭该功能,我才会相信这是出于恶意软件和安全考虑。

        我认为这主要是为了扼杀NewPipe这类应用。

      5. 这种行为之所以存在,完全是因为司法系统和政客们大多不懂技术。

        Play Integrity明显违反反垄断法,这点再明显不过。该系统的唯一目的就是清除非谷歌的安卓分支。

        1. 作为开发依赖Play Integrity和PAT系统的从业者——该系统能为合法移动用户提供零验证码体验,同时对未认证客户端实施挑战机制——我必须指出你的观点存在严重谬误。

          其效益或许不足以抵消你所认定的危害,但若你连这些功能如何运作、为何存在都未能理解,我同样怀疑你对危害的认知是否准确。

          1. 利用某一市场的垄断地位来巩固其他市场的统治地位,无论对第三方有多便利,都属于非法垄断行为。

          2. > 若你连这些功能如何被服务商使用、为何被使用都不理解,我同样怀疑你对危害的认知是否准确

            是啊,这种心态在HN上随处可见(其实哪里都一样)。"任何反对我的人都是邪恶的,因此他们所做的一切必定怀有邪恶动机。他们给出的合理解释,其实只是为我即兴编造的阴暗动机做掩护——毕竟世上绝不会有人出于善意做坏事。尤其那些反对我的邪恶之徒更不可能如此!"

            我实在不愿在此为谷歌辩护,因为这项举措确实极具破坏性,严重扼杀自由。但安卓系统的恶意软件问题确实存在(尤其在首批推行该政策的巴西、印尼、新加坡和泰国),这项措施或许真能有效解决。我坚决反对以“为其自身利益”为由剥夺精神健全成年人的自由——无论这种做法是否有效。而这个案例尤其令人发狂,因为_我正是自由被摧毁的成年人之一_。

            1. 我认为人人都自诩为无害的小豆丁,即便他们正以安全之名向通用计算与自由宣战。他们的行为怎会产生负面外部效应?他们可是正义一方啊!

              1. 你发现了局部优化/整体削弱的悖论。

                但谷歌及其用户还能如何应对?难道要坚持提供一个滥用更严重的平台,同时让用户承受更差的体验,让网站遭受更多攻击……只为抽象的自由?

            2. 安全网/Play Integrity的强力推进紧随Cyanogenmod和华为遭受打压之后,这绝非巧合。

              若他们真在乎诈骗问题,大可清除应用商店里所有赌场式游戏。但他们不会这么做,因为应用商店收入的很大一部分就来自这些诈骗游戏。

              1. 这简直是教科书式的转移话题。谷歌在此关注的设备控制型恶意软件,与“应用商店里的赌场类游戏”几乎毫无关联。

                1. 并非如此。两者都是诈骗源头,我认为商店官方托管的诈骗行为比直接安装类诈骗的危害程度高出数个数量级。

                  若谷歌真在乎这个问题,以下是优先处理事项。(我个人很乐意看到他们重视此事,因为我的家人就曾受骗)

                2. 老兄,你自己再读一遍吧。你居然还在HN上发这种言论。

          3. 用Play Integrity做验证码根本没用,犯罪分子反正都用架子上没改过的设备农场。他们何必费心改设备?

            指望Play Integrity解决问题,无异于押注未来设备会越来越贵——现实恰恰相反,设备正变得越来越便宜。

    2. > 或许是时候出现第三大手机操作系统了

      这个时机已经存在_多年_。但说起来容易做起来难。目前最接近的方案是各类针对手机的Linux发行版。但对我而言它们尚未成熟到可用于严肃场景——至少在Pinephone上不行。不过若真心想要变革,这确实是值得投入时间和资金的方向。

      1. 问题在于智能手机的制造难度极高。你需要经验丰富的嵌入式工程师设计手机的每个环节,需要精通射频技术并熟悉各国法规的专家,更需要软件工程师从零构建操作系统——随着技术迭代,这个过程可能需要反复推敲。更不用说还要建立完整的生产线来制造零部件并进行组装。

        虽然像Pinephone这样的尝试值得肯定,但它们缺乏风险投资和人才储备,短期内难以实现大规模量产。该领域多数项目采用开源模式,这固然可贵却难以盈利。具备这些技能的人才完全可以去任何手机制造商工作并获得丰厚报酬。因此我认为只有大型企业才能承担这样的项目。或许微软想再试一次哈哈。亚马逊曾多次尝试实现这个目标,但耗资耗时过巨,最终屡屡叫停。

        我没有答案——要让产品具备可行性,必须吸引普通消费者,而实现这一步犹如翻越高山。

      2. > 说来容易做来难

        工程与商业层面皆如此。Cyanogen的失败证明:若商业运营不善,软件产品再优秀也无济于事。Pebble智能手表亦是如此——产品惊艳,后台支持却糟糕透顶。

      3. Firefox OS曾是希望之光,可惜终止得太早。如今他们只靠广告盈利了

        1. Kai OS算是Firefox OS的中等成功延续。

        2. Mozilla若在听——现在正是良机,请让它回归吧。我们确实有理由现在就切换系统。

      4. > 目前最接近的替代方案是各类针对手机的Linux发行版。但对我而言它们尚未成熟到可用于严肃场景——至少在Pinephone上如此。

        这并非最接近的方案,毕竟我们有Purism Librem 5手机,许多人(包括我)正将其作为日常主力机使用。

      5. Pinephone还在运营吗?几年前我曾对此充满期待,但最近了解情况后发现许多人宣称它已消亡。他们停产了“pro”型号,软件开发似乎也缺乏活力。

        1. 这些手机依然存在且运行良好。我知道宣称事物“死亡”很有趣,但我认为Pinephone不该被如此定性。

        2. 呃,这问题很复杂。我个人对Pine有些失望。过去几年他们做出过不少争议决策,那种“推出几乎毫无软件支持的开源硬件,坐等社区填补漏洞”的商业模式,在我看来已然沦为剥削。

          PPpro的开发管理尤其糟糕。这并非针对卓越的社区——只是Pine在硬件/固件决策上存在缺陷,导致开发异常困难。与此同时,非Pro版本又受限于极其缓慢的处理器。

          目前仍有开发在进行,KDE等窗口管理器也在持续优化前端功能。但你说的没错,开发确实放缓了。尽管如此,这仍是美国市场上唯一能真正正常使用的非谷歌/苹果设备。几年前我曾将非专业版和专业版都当作日常主力机使用数月,能通话、发短信、连接Matrix等。虽不能说“开箱即用”,但确实能正常工作。

          1. 全球范围内可选搭载Ubuntu Touch的Volla手机、Jolla C2或运行Sailfish OS的索尼Xperia。

          2. > 目前美国市场唯一能正常使用的非谷歌/苹果设备

            你漏了Librem 5。

    3. 现实点说,对技术水平中等的人而言,最终方案将是双设备配置:一部廉价手机用于基础通讯、处理银行事务及正装社交媒体等正式场合,同时兼作WiFi热点;另一部则是完全由你掌控、可随意折腾的“实用型”设备,通过热点连接网络。

      编辑:仔细想想,教人们区分“干净设备”和“笨设备”或许反而有益。

      1. 最终形态将是:只有通过硬件认证的设备才能联网,这样人们就无法随意折腾了

      2. 这种趋势已然成形。理想方案是配备专用“洁净”/低配设备,既负责网络连接,又能运行那些需要认证的垃圾银行应用,再通过VNC等协议将界面投射到“脏”/酷炫设备上。这样笨拙设备就能做得极小,甚至像加密狗那样直接插在酷炫设备上。

      3. 我随身携带的四台内置电池设备在机场安检时就够折腾了,实在不想再添第五台。:/

      4. 你说的好像是坏事似的!这基本就是我的现状,而且正是我想要的。我的智能手机只用于消息传递和少数主流应用(谷歌地图、YouTube、1Password等)。它不该崩溃、不该频繁推送烦人的更新、不该需要折腾——就像我的微波炉和洗衣机一样。至于折腾,我有Mac电脑、小巧的Linux NAS、各种Linux掌上设备等等。

      5. 心之所向,金钱所向。对绝大多数人而言,能存钱的设备才是实用之选——除了少数RMS追随者。

        1. 我很乐意让我的心/钱远离社交媒体垃圾和类似的无聊玩意儿。举个例子:我有两个邮箱账号,一个用于银行/政府事务等,另一个用于日常用途(有时也会用一次性邮箱处理临时事务)。如果谷歌搞这种操作,我完全愿意使用双设备——实际上这样更安全。我并不认为这是某种RMS式意识形态,这只是合乎情理的下一步。

      6. 这方案相当精妙。操作门槛低。虽然需要两台设备略显麻烦,但这是搭建PinePhone/Pinebook生态系统的低成本过渡方案,无需频繁更换SIM卡。

        1. 细想之下,这本就是多数家庭网络的运作模式:你拥有一个由ISP提供的、技术上属于计算机的小型封闭设备来管理网络连接,而家庭网络内部才是你所有自有设备所在的空间。

          若真要说的话,这恰似移动计算领域“将调制解调器从计算机中分离”的进程,如同90年代家用台式机的发展轨迹。我那张14.4k的PCMCIA调制解调器卡大概还搁在某个角落…

    4. > 或许是时候迎来第三大手机操作系统了[…]

      苹果和谷歌联手阻止了这种可能性。他们把_微软_挤出了这个领域。微软啊!还有比它更强大的挑战者吗?

      1. 微软是靠糟糕的移动平台把自己挤出市场的。

        1. 微软曾拥有卓越的移动平台。唯一问题在于他们未能说服任何人开发应用。

          1. 开发者匮乏这点小问题嘛,开发者,开发者,开发者

          2. > 微软曾拥有卓越的移动平台。

            我因工作用过三代Windows Phone设备。它们唯一出彩之处是Zune风格的界面。设备漏洞百出且不稳定,即便那寥寥无几的应用也运行不畅。

      2. GNU/Linux手机确实存在,只是正遭受双寡头垄断的挤压。

      3. 那还是人工智能编程助手出现之前的事。

        1. 你认为一种_语言模型_能创造市场力量,在社会最具影响力的领域打破寡头垄断?

          别太乐观。

        2. 考虑到谷歌和苹果也能使用这些工具,我不明白你认为AI编程助手会让第三方竞争者更容易还是更难进入这个领域。

    5. > 具备完整生态系统的“GNU/Linux”触控版本

      这极具挑战性,除非像林纳斯·托瓦兹这样具有高度知名度的领袖推动该项目,或微软这类巨头突然认定向GNU/Linux投入十亿美元符合其利益。若仅靠零星努力,该生态将持续分散。

      众筹若能获得知名人士背书便威力巨大。星际公民仅凭热情与良好开局已筹得8亿美元。谁能引领GNU/Linux手机开发事业?

      1. 除非能提供大众认可的实用功能,否则GNU/Linux手机注定胎死腹中。此类尝试已屡见不鲜,每次都因弊大于利而难以普及(是的,我明白至少会有一个自由软件极端主义者反对,但总体而言,普及率印证了我的观点:这类手机的使用者如此稀少,在数据统计中几乎可忽略不计)。

        若有人想再次尝试,切勿从GNU/Linux手机入手,而应聚焦大众真正关心的领域。例如:针对主流社交网络逆向工程开发的无广告/无暗黑模式应用?很酷。默认广告拦截?没问题。内置支持各类云服务商(含SFTP/S3等标准协议)?没问题。诸如此类。

        解决人们真实的痛点。“GNU/Linux”本身解决不了任何问题。非技术用户根本不知道这是什么概念,即便是技术人员也未必视其为优势——没错,你确实能运行任何软件… 但你(或他人)仍需先编写该软件…或者你大可花点钱换取“自由”,直接买部iPhone——它根本不存在这些问题。

      2. 曾有过众筹尝试:Purism Librem、Liberux NEXX、/e/基金会、eelo、Ubuntu Edge、Jolla手机。但无一真正成功。最接近成功的或许是Mozilla的Firefox OS(现更名为Kai OS)。我至今仍用着阿尔卡特OT Fire手机,它全程采用HTML5技术!

        但我认为Sailfish OS拥有成熟的生态系统,在欧盟广受认可且基于GNU/Linux。自从从UBports迁移过来后,我每天都在使用它,体验非常顺畅。希望SfOS能获得更广泛的普及。

        1. 你指出了我所强调的问题:资源被分散在众多小厂商之间。我衷心希望SailfishOS能胜出,但面对形形色色的不知名公司,众筹实属不易——它需要知名品牌背书。

          新生态要成功,必须拥有足够大的用户基数,才能吸引应用开发者关注。即便在SailfishOS平台,银行应用仍需依赖Android兼容层——而随着Google Play服务及完整性检测功能逐年削弱,这种兼容性正被逐步侵蚀。

          1. > “银行应用仍需依赖Android兼容层”

            我认为这根本不是操作系统的责任,而是银行的问题。某些银行强制用户使用特定厂商(甚至仅限一两家)的操作系统,这种做法令人无法容忍。

            公共交通服务(德国铁路卡现仅限官方应用使用)和邮政服务(德国邮政“移动邮票”仅限官方应用)同样如此。

          2. Jolla(Sailfish OS)、Canonical(Ubuntu Touch)、HP/LG(webOS)、Mozilla(Firefox OS)、三星(Tizen)这些公司难道不算知名企业?可它们都没能打破双寡头垄断。连Facebook的手机项目都失败了。那还有谁敢挑战安卓/iOS呢?

            1. 我同样没有答案。谁能筹集到10亿级别的巨额资金来实现?我猜若要获得开源/Linux群体的全力支持,推动者不能是公司,而必须是像林纳斯·托瓦兹这样的个人。鉴于浏览器正逐渐成为主流应用的平台,或许未来能降低门槛,让小型厂商也能开拓可行市场。

              1. 我期待林纳斯突然“搞个git式操作”——宣布上周受够了安卓,亲手打造出解决所有问题的全新操作系统。

                人总可以做梦嘛。

                1. > 打造出解决所有问题的全新操作系统

                  顶多是个业余操作系统,纯属爱好,成不了气候

              2. 纵使是林纳斯也不够格。若真有人能做到,那必定是中国及其华为、小米、阿里巴巴、腾讯等巨头企业。

            2. 这些系统运行速度远逊于当时的安卓版本,要么就是开发工具糟糕透顶。唯一让我真心享受的是Sailfish系统,但他们最终也得添加APK兼容层。对普通消费者而言,比起纯安卓系统,这些替代品究竟有什么优势?

          3. “新生态要胜出,必须拥有足够大的用户基数,让应用开发者认可其价值。”

            ……同时需要强有力的反垄断法规,阻止谷歌这类现有巨头扼杀初创企业。

            问题在于,尽管各国政府口头上支持市场竞争,实际上却根本不愿看到竞争——尤其来自小型初创企业的挑战。

            换个角度看,政府控制和管理少数大型企业要比应对众多企业容易得多——尤其当其中多数是小型初创企业时; 其次,从科技巨头的运营中获取用户数据也更容易(因为科技巨头的行为模式可预测,且政府长期以来都在这么做)——相比之下,从众多小型初创企业获取数据则困难得多,尤其当这些企业计划生产的产品旨在增强隐私保护和加密功能时。

            看看当前英国与苹果的纠纷,政府不愿主动干预的动机就显而易见了。

        2. > 但这些尝试都未能真正成功。

          以何为标准?我正愉快地将Librem 5作为日常主力机使用;这条回复就是用它写的。

          1. 我已将Librem 5作为日常主力机使用多年,此前还用PinePhone用了好几年。只要愿意适应其局限性(同时也能享受其优势),它完全能胜任日常使用。

          2. 以普及度为标准。Librem能满足你的需求固然很好,就像SfOS之于我,但遗憾的是我们只是少数群体。据我所知KaiOS在普及度上排名第三。

            1. 按此标准衡量,GNU/Linux同样算不上成功。但这并不意味着它比Windows更差。

              1. Linux是成功的,它是Android和数十亿网络设备的基础。

                1. 你注意到我写的是GNU/Linux了吗?

      3. > […] 当像林纳斯·托瓦兹这样具有高度知名度的领袖开始主导此类项目时[…]

        林纳斯是内核开发者,且已忙于维护自己的项目。

        “GNU/Linux”本质上是由多个社区组成的委员会,其目标有时存在冲突。正是Canonical和Valve在桌面领域理清了局面,而这主要源于桌面系统正逐渐失去重要性。

        我认为现状可能通过两种方式改变:

        – 某家大型营利性企业——有实力且有意愿与谷歌苹果平起平坐的竞争者——决心打造基于Linux的手机(微软收购诺基亚后仍告失败);

        – 出现另一场平台变革,使智能手机相形失色(类比智能手机取代桌面电脑的浪潮)。

        1. 微软的决策愚蠢至极——在欧盟市场,当WP系统正以10%的份额稳步增长时,他们却决定终止该项目。当时WP正成为不愿使用安卓、又不愿为苹果手机掏钱的消费者的理想替代方案。

          事实上其开发体验至今仍远优于安卓。

          但这一切都已成过往,尤其当微软彻底摧毁了所有开发者对WinRT平台的信任后。

          1. 那10%的市场份额有多少是靠向OEM厂商和消费者补贴换来的?诺基亚收购案本质就是如此操作。这种模式根本不可持续。

            即便今日Windows Phone尚存些许优势,但若以为微软不会效仿苹果(及如今的谷歌)打造封闭设备,这种想法简直可笑。

            他们唯一勉强称得上“开放”的平台(Windows)之所以如此,纯粹是出于向后兼容和客户需求,但对于任何创新,微软始终只想卖给你一台能打电话的Xbox。试想没有开发者账号,你如何在这种平台上编写和部署应用?

            1. 作为前诺基亚员工,我真希望当年能靠使用Windows手机赚钱。

              “燃烧的平台”备忘录发布后一周,我就在埃斯波亲历了那场风暴。

              但它确实曾是第三种选择——这种市场份额是Open Moko之后所有Linux手机系统都未能企及的。

              若非诺基亚董事会决定引入埃洛普,Maemo本可成为那个选择。

    6. > Android不应再被视为开源系统

      这个观念在我心中早已消亡——我从2009年用到2020年。我放弃了Linux手机的梦想。Ubuntu曾打造过精美的手机界面。问题在于:若无人制造手机且运营商漠不关心,便无人问津。必须主动开拓市场。

      微软若有意填补这片空白,关键在于真正开源操作系统。亚马逊或许会重试,但同样需要巨额投入。这注定是场艰苦卓绝的战斗,需要一款真正的旗舰手机。另一难题是多数应用程序需要迁移。

      1. 即便拥有应用生态,亚马逊也注定失败——他们的捆绑策略比谷歌更恶劣,简直厚颜无耻。其他有实力尝试的科技巨头恐怕同样不堪。

        如此巨额资金都流向了大语言模型(LLMs)领域,如今谁还会把钱砸在手机操作系统上?问题不在于“谁该做”,而在于“谁真会做”?他们放弃了浏览器,放弃了移动操作系统。现实风险在于:一两年内美国政府可能直接收购谷歌X%股权,而非通过反垄断手段施压。

        Linux手机注定难以普及,因为银行、媒体/数字版权管理应用,以及延伸至社交媒体应用的生态体系,会集体抵制并扼杀它们。基调已然确立,这条评论同样适用于未来任何试图进军移动市场的主流玩家。

        坦白说,这真是个令人沮丧的消息。

        1. 是的,我对他们的努力感到失望。不过我确实喜欢给学龄前孩子用的Kindle平板——价格低廉又实用,虽然我们严格限制她的屏幕使用时间。

          我只是从能正确资助此类项目的巨头角度提个名字,但依我之见他们需要从头开始。

          我不确定还有哪家巨头愿意为这种项目投入数十亿美元。

      2. 我甚至觉得微软也做不到。上次谷歌就用Windows Phone和YouTube应用风波把微软挤出局了。

        除非出台严厉的反垄断法,阻止谷歌和苹果利用市场支配地位打压新进入者,否则我们只能困在双寡头垄断的格局里。

        至少谷歌必须放弃安卓系统,YouTube恐怕也难逃此劫。

        1. “至少谷歌必须失去安卓系统,YouTube也可能被剥离。”

          可惜这只是痴人说梦。现代美国资本主义绝不会允许这种事发生——况且绝大多数用户早已沉迷于科技巨头(谷歌等)提供的电子海洛因(看似免费实则不然),根本无暇顾及更遑论解决问题。

      3. 鉴于Kindle和Fire TV的界面现状,但愿亚马逊离得越远越好。

        1. 我强烈认为他们必须彻底推倒重来。

      4. 开源是相对概念。相比iOS,安卓简直是“超级开源”!

      5. 移植应用未必是难事。
        只需移植极小部分应用就能满足需求。

        我日常仅使用10-20款应用。若能确保这些应用稳定运行,我绝不会犹豫迁移。

        感兴趣者可参考以下清单:

        * 火狐浏览器 * 财务/银行应用 * 身份认证 * 地图导航 * 邮件/日历 * 公共交通 * 即时通讯(WhatsApp、Signal、Telegram、Facebook Messenger、Hangouts、Slack、Discord等) * 相机 * 音乐 * 播客 * YouTube * 叫车 * 租车 * 停车 * 数字“邮箱”(非传统邮件)* 健身 * 双重验证 * 计算器 * 通话/短信 * Google云端硬盘

        1. 每个人只用10-20个应用,问题在于没人用相同的10-20个应用。

          1. 但我觉得我们基本都用相同的10-20个应用!

    7. 问题就在于此——许多应用拒绝在非官方平台运行。

      多年前我热衷折腾设备,但后来无法使用银行服务,越来越烦人,最终彻底放弃了…

      主要问题在于:1) 驱动缺失(导致设备定制ROM/系统困难重重),2) 锁定引导程序,3) 众多应用依赖Play服务及其他组件(主要是银行类)。

      虽然有postmarketOS系统看起来很棒,但设备支持极其有限,且无法运行银行应用和流行应用(WhatsApp/Instagram等),因此普及率微乎其微……

      或许可以发起另一项欧洲公民倡议,迫使制造商提供这些支持(引导程序和驱动程序)?

      1. “多年前我热衷于折腾设备,但后来无法使用银行服务,日益烦躁之下最终彻底放弃…”

        至今我始终拒绝在智能手机上进行银行操作(通常使用已root的设备),正是出于这些困扰。

        问题在于,如今避开手机支付/银行服务越来越困难。我的解决方案是专门配一部小手机,仅用于此目的(虽然麻烦,但这是最佳折中方案)。这样我就不必担心我的主力智能手机了。

        当然,最佳解决方案是政府监管银行接受多种访问/支付系统,这类系统其实不少。标准化且受监管的协议能解决诸多问题,但这话题过于宏大,在此不便展开。

        1. > 我的解决方案是专门购置一部小手机,仅用于此目的且不作他用(虽然麻烦,但这是最佳折中方案)。这样我就不必担心我的主力智能手机了。

          这同样是我的解决方案。考虑到近期数字身份认证、保险等领域的推进,我不禁思考:未来我们是否都将随身携带独立的数据专用设备,用于数字安全认证?

          1. “…独立数据专用设备…”

            我认为可能性极高。目前尚未看到其他可行且真正惠及用户的长期解决方案。更何况若能合理实施(以用户掌控为核心),其应用场景远不止于银行服务。

            例如,它可以采用分层密钥系统,用户/所有者可访问所有数据。隐私将得到保障,因为您沟通或交易的每个实体仅能在需要知情的基础上访问信息。

            银行仅能获取您的姓名及必要认证数据;医疗记录仅限您与医生查阅;政府/税务部门仅能为征税目的访问财务记录,无法获取其他数据。

            日常购物可完全匿名进行——银行甚至无法知晓您的购买内容或交易对象(如同提取现金自由消费)。银行将以预支现金形式发放资金,您将其注入本地现金池后,即可提取资金支付给商家(此过程可能涉及加密货币以隔离银行支付链)。此类方案将根据用户需求提供多样化选项。

            该系统不仅能赋予用户近乎绝对的隐私掌控权,更能实现真正的自主性。当然,此类方案必将遭遇激烈反对:政府会以恶意或无谓的理由要求更高权限;谷歌等巨头将因失去有效数据而暴怒——届时仅剩匿名化垃圾数据,对广告商和数据经纪商而言将毫无价值。

            显然,如此强大的机制若赋予用户对自身生活的掌控权,绝不会被允许存在!正如卢梭在《社会契约论》开篇所言:“人人生而自由,无处不在枷锁之中”。此言出自1762年,时至今日似乎未见改变——民众仍受制于人,权贵阶层依然稳坐高位。

          2. 那么我们就能重新把手机当作电脑使用了。对吧?

            或许某天会出现某种趋同进化,认证设备将回归专用硬件形态。就像我登录网上银行时必须使用的读卡器那样。

    8. 来自中国的所有产品都将采用闭源模式,银行要接入开源解决方案将相当困难。我认为终极方案是:配备两部手机——一部低端机专用于银行/交易等操作(多数时间留在家中),另一部搭载Linux系统的手机(基本由我们掌控)用于通话/短信/网页浏览(随身携带)。

      1. 这只在你把手机当开发环境时才重要。

        虽然渴望像开源软件那样掌控一切,但现实是这种控制力只能在生活特定领域勉强维持。

        1. 可我希望手机不只是个自助终端啊。谢天谢地桌面系统没陷入这种乱局

          1. 讽刺的是,我们的手机性能已远超五到十年前的电脑,却沦为封闭的网页浏览器和广告投放器。

            或者如你所言,不过是信息亭。

            1. 更别提那些笔记本电脑从未具备的功能和传感器了。

        2. 为什么?我拥有自由修改自己绝大多数物品的权利。手机究竟有何特殊之处,竟值得我们去舔某位科技巨头亿万富翁的靴子?

    9. 鸿蒙系统是开源的。此外还有Ubuntu Touch和Sailfish OS正在开发中。实际上我此刻正用Sailfish OS撰写此文。在欧盟地区,我能通过网页浏览器登录银行账户。我安装了Telegram、Signal客户端、地图、侧载应用包,还有完整终端——与安卓不同,我完全掌控着手机。我根本不需要安卓手机。所以更多人应该使用封闭的安卓/iOS之外的替代方案。

      1. 啊,赛尔鱼系统其实相当好用(说实话,不像Ubuntu Touch)。我曾在Nexus5上使用过它数年。但该系统至今仍非100%开源,且近期过度追逐AI热潮(Mind2项目)。此外我希望官方能提供更多端口支持——依赖某个个人维护者为设备提供端口实在太麻烦了…

    10. 关于受保护系统这点我倒有些认同。比如支付处理环节。据我所知,iOS和Android系统可能都存在零日漏洞,允许实施欺诈性支付,但毕竟是两大巨头公司,用户多少会抱有信任感。

      不过话说回来,我们至今仍在使用维萨/万事达双寡头垄断的支付体系——只要掌握卡号就能完成交易。

      然后又重复两次;一切永远不会改变,我们活在企业地狱里,西装革履的家伙们掌控一切决策,让自己越来越富有,而普通民众却冷漠得无法团结起来——他们宁可自相残杀,也不愿让部落之外的人得到半块饼干碎屑。

    11. > 与外国(除非你在美国)第三方签订的契约关系,由对方决定你对产品的使用权限。

      我理解你的立场,但谷歌这类企业设有本地法律代表(例如欧盟地区的爱尔兰),若想在欧盟开展业务就必须遵守欧盟法规(正如欧盟企业必须遵循美国法规)。若欧盟明确要求保障用户自主权——而他们确实如此规定——谷歌只能选择遵守或退出。

      别高估企业的实际权力——他们想让你相信能逍遥法外,但别附和他们的说辞。

      1. 那么作为克罗地亚开发者,我该如何直接联系谷歌的法律代表?我指的不是通过AI聊天机器人、表单和预设回复层层转接的间接渠道。

        1. 单个开发者对抗谷歌几乎毫无影响力,美国开发者亦然。

          真正有分量的力量是欧盟——克罗地亚作为成员国,若欧盟议会立法禁止谷歌实施此类规则并禁止其在欧盟开展业务,谷歌必将遵从。鉴于美国政府现状堪忧,欧盟几乎是全球唯一有能力且愿意对抗科技巨头的力量,能迫使这些企业重视并承担责任。

          1. 欧盟出台强制性法规的可能性,远高于要求谷歌在欧盟市场取消该条款。

            欧盟唯一可能采取的措施是要求欧盟市场应用必须使用欧盟签发的密钥进行签名,而获取该密钥的前提是提交身份证或企业注册证明。

            在谷歌和欧盟之间,我宁愿被恶魔统治。

      2. …这反而更糟。不过是更多传统国家对互联网的侵蚀罢了。

        关键在于,这项要求正是国家及类国家企业掌控互联网的途径。互联网的“互联”属性正因此被削弱。

      1. 仅限于需要使用年龄验证应用的情况。

        欧盟存在不同层级。此举很可能违反了其他地区设定的限制条件,而推动该政策的地区尚未察觉。

    12. 遗憾的是,该政策未区分:(a) 计算机所有者为自身设备编写软件的行为,与 (b) “应用开发者”为牟利编写并分发“移动应用”的行为

      (a)中的计算机所有者并非在创建“恶意软件”。任何关于“验证机制”旨在保护用户(而非谷歌商业利益)的论点,在(a)情境下均不适用。与(b)中的软件不同,(a)中的软件仅运行于计算机所有者自己的设备,而非他人计算机。在(a)情境下,谷歌根本无需知晓用户电脑上运行的软件。^1 谷歌理应认同:寻求“验证”的用户同样无权知晓谷歌服务器上运行的软件或其员工身份。

      1. 任何理由都不应凌驾于用户隐私权之上。微软、苹果和谷歌均采用_默认_遥测机制

      https://gist.github.com/alirobe/7f3b34ad89a159e6daa1

      https://github.com/cedws/apple-telemetry

      https://apple.stackexchange.com/questions/437068/eliminating

      https://therecord.media/google-collects-20-times-more-teleme

    13. 我们曾经有个很棒的选择叫黑莓。啊,我多么怀念那些手机啊。

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

你也许感兴趣的: