Google 新规:安装陌生 APK,可能要等 24 小时

原始链接在: Google 新规:安装陌生 APK,可能要等 24 小时 - 小众软件

如果你平时有从 GitHub、论坛下载 .apk 手动安装安卓应用的习惯,这个变化可能会直接影响你。

Google 在 Android 开发者博客上发布了名为《Android开发者验证:平衡开放性、选择与安全性》的文章,明确了未来高级用户安装未验证 .apk 应用的具体规则,最长需要 24 小时才能完成安装。@Appinn

目录

什么是陌生 APK?

Google 无法确认开发者身份的应用,就属于陌生 APK 安装包。比如:

  • 来自 GitHub、论坛、官网等渠道的应用
  • 应用的开发者没有通过 google 开发者验证,而直接发布的安装包

什么是 Google 开发者验证

说简单点,就是 Google 需要知道:这个 App 是谁开发的

对于普通用户

  • 不限制安装 .APK
  • 但未通过 Google 验证的开发者,开发的应用,会被明显“劝退”
  • 将要触发高级用户风险流程,最长冷静期 24 小时。

对于开发者

  • 需通过 Google 开发者验证(Developer Verification)
  • 否则显著增加用户安装门槛
  • 限制的是开发者身份,而非应用来源(Play 商店等)

具体的高级安装流程

用户自己为安卓手机安装 .apk 应用时:

  1. 用户尝试安装 APK 应用
  2. 系统提示“未验证开发者”风险
  3. 无法直接安装,需进入高级流程
  4. 用户多次确认风险
  5. 进行设备级身份验证(PIN / 指纹)
  6. 触发最长 24 小时冷静期
  7. 再次进行身份确认
  8. 才允许安装

如用户安装的应用开发者是 Google 验证开发者,则不会进入此流程,会立即完成安装。

例外:最多20台设备

Google 允许开发者在未经过认证的情况下,可以与一小群人(最多 20 台设备)共享应用程序。

对于中国用户

国内手机(华为 / 小米 / OPPO / vivo)基本不受影响:

  • ❌ 没有 Google Play 服务
  • ❌ 没有 Google Play Protect 完整体系

但中国区应用商店已经自带了开发者实名、应用备案。

对于国际用户

全部都受此限制。包括:

  • 官网下载 APK
  • 第三方应用商店
  • GitHub 分发

只要开发者未通过验证,都可能触发高级安装流程。

三派主流观点

目前主流评论中,有三派观点:

安全派(支持收紧)

代表:

  • Google(官方立场)
  • Android Security Team
  • 安全厂商(如移动安全公司、反诈骗机构)

观点:Android 终于开始认真对付诈骗和恶意应用了


自由派(强烈反对)

代表:

  • Nextcloud
  • F-Droid
  • Keep Android Open
  • 开源社区 / 独立开发者

观点:Android 正在失去“无需许可发布软件”的灵魂

谁拥有你的手机?

还记得这篇文章么:谁拥有你的手机?F-Droid 与 Google 的“侧加载”之战


现实派(折中 / 观望)

代表:

  • TechCrunch
  • The Verge
  • Ars Technica
  • 商业开发者 / 企业团队

观点:开放系统在今天的监管和安全环境下,很难继续完全开放

具体时间表

日期 里程碑 开发者聚焦
2025 年 8 月 宣布了新的 Android 开发者验证要求 了解新要求并报名参与抢先体验。
2025 年 11 月 抢先体验开始 如果收到邀请,请开始进行身份验证和应用注册。
2026 年 3 月 面向所有开发者开放注册 开始进行身份验证和应用注册,以便您希望继续在已获认证的 Android 设备上安装的所有应用都能顺利安装。

注册以抢先体验受限分发账号。

2026 年 6 月 限量分发账号开始抢先体验 如果您收到邀请,请创建账号并分享您的反馈。
2026 年 8 月 受限分发账号在全球范围内推出
面向用户的更高级别流程在全球范围内推出
如果您适合使用受限分发账号,请创建账号并注册应用。
2026 年 9 月 开始实施地区性强制措施 验证合规性,以免您的应用在巴西、印度尼西亚、新加坡和泰国境内被禁止安装。
2027 年及以后 全球违规处置 继续在全球范围内分阶段发布。
1 个赞

我感觉最惨的是F-Droid。
F-Droid上边好多应用还在用F-Droid公版签名,现在F-Droid官网甚至还有指向https://keepandroidopen.org/ 的横幅

错误的,谢谢,国内手机有谷歌服务和Play保护机制,只是默认不开启

Update: Google has revealed the “advanced flow” — it is not a solution

On March 19, 2026, Google published details :up_right_arrow: of the “advanced flow” mechanism intended for “power users” to allow installation of applications from unverified developers after the lockdown takes effect. It goes like this:

  1. Enable Developer Mode :up_right_arrow: by tapping the software build number in About Phone seven times
  2. In Settings > System, open Developer Options and scroll down to “Allow Unverified Packages.”
  3. Flip the toggle and answer a scare screen confirming that you are not being coerced
  4. Enter our device unlock pin/password
  5. Restart your device
  6. Wait 24 hours
  7. Return to the unverified packages menu at the end of the security delay
  8. Scroll past additional scare screen warnings and select either “Allow temporarily” (seven days) or “Allow indefinitely.”
  9. On the next scare screen, confirm that you understand the risks.
  10. You can now install unverified packages on the device by tapping the “Install anyway” option in the package manager.

This entire flow is delivered through Google Play Services, not the Android OS, meaning Google can modify, restrict, or remove it at any time without an OS update and without any user consent. The advanced flow has still not appeared in any Android beta, dev preview, or canary release. As of the date of this update, it exists only as a blog post and UI mockups. The community is being asked to accept a product announcement as a functional safeguard five months before the mandate takes effect.

Until Google provides a shipping implementation that can be independently verified, our position remains unchanged: all apps from non-registered developers will be blocked once their lockdown goes into effect in September 2026.

1 个赞

不过说实话,如果这样搞应该会联网吧,不知道影不影响国内。

我现在是把手机里服务条款中的自动更新系统软件关了,把应用安装程序重新回退到出厂版本,基本没有限制和风险提醒

没有 Google 框架的不影响

.

我的荣耀手机应该是Google框架残缺版,能用一部分Google功能,但一些需要框架的APP无法使用

不过play保护机制倒还真没找到,可能没有

我最早就是在这里看到的,让我对谷歌的厌恶又多了一点……

2 个赞

安全提示可以给,但别替用户做决定,更别把 Android 的开放性一点点削成 iOS 的影子。我的设备我自己负责,厂商提供工具就好,别越俎代庖到这种程度。要是真担心用户,那不如先把 Play 商店里的诈骗应用清干净。

4 个赞

想要安全性,那就从权限做起啊,app没有权限也不会有这么多事。

最简单的,就默认安装完成,不给任何权限(包括联网权限),就能限制很多恶意app。
像获取网络状态,就一个电话权限,给了就直接拨打电话了。还有位置信息,一个扫描同局域网内网络的,还需要给它位置权限(GPS),太笼统了
还有目前像是关不掉的,摇一摇app跳转,摇一摇可以加个权限吧,app跳转也可以加权限的吧,整个双向的黑白名单啥的。

还有以前觉得苹果权限严,直到家父的朋友,送了他一台退役的iphone X,里面安装了很多休闲小游戏,有sim卡锁,打电话很麻烦,就当游戏机用了。然后那全英文的游戏瞎点,拿回来才三四天吧,从ios账号(绑定了微信)扣了几千块钱。最后申诉退了,微信也解绑了。

后来另一个朋友送了他一台屏幕裂了的没锁的iphone12,自费去换个屏幕,装了好些个免费的app,本来屏幕就小,那个启动广告,关闭按钮更小,有次不知道他怎么按的直接从运营商里开了个不知道是什么的扣钱项目,还取消不了,只能取消下个月的扣费 :melting_face:

2 个赞

我用了10年小米,换成其他手机的原因就是因为澎湃os,我当时安装v2ray时,直接提示风险应用,并且强制需要我输入小米账号的密码才行,注意,不是锁屏密码,而是小米账户的密码,没有跳过的选项。我当时就因为这一步,选择换手机了,后面就换成了港版3星,如果谷歌也这样的话,到时候就只能奔向开源的os了。

这是用户的手机,凭啥非得输入我的密码我才能安装呢?而且谷歌这个操作比小米的还过分,小米起码输入个密码就能安装上,谷歌是好几步操作才行。

4 个赞

不作恶的,各种做恶。这种24小时更像是临时妥协,后续还会继续温水煮青蛙:frog:(doge)

国内的手机卡说为防止信息诈骗,保护用户,要求实名制。结果呢?诈骗更精准了,运营商内部也卖用户信息了……

2 个赞

小米短时间内装多个应用是这样的,我用的红米,现在直接使用第三方安装器,就不会有提示了。

将来那些 Google 服务框架的替代品会开发起来

实名制还是有效的,既让韭菜们觉得自己会被保护好,又让诈犯们全跑国外用武装保护好自己,相得益彰
在国内不敢跑的就只能搞些身份信息买卖这种抓了也判得不痛不痒的活了,倒卖获利或者倒卖数不到几十万都洒洒水
——
总之都是作恶者在坐火箭,法律等自己被吵到,执法等他自己掉下来,不顾导流槽雅座的死活

小程序:喜大普奔,世界上再也没必要开发app了,来开发小程序吧。

我手机不是我手机,我的设备不是我的设备,我要用我的设备还要他批准,反正挺无语的。

3 个赞