Google 收緊 Android APK 安裝:sideloading 仲喺度,但門檻高咗
2027 推到 certified Android devices,香港日期仍待確認
Google 今次唔係話 Android 以後唔畀 sideloading,而係開始將「邊個寫呢個 app」擺喺安裝流程前面。官方新時間線講明,Android Developer Verifier 服務會由 2026 年 6 月起透過 Google System Updates 落機,暫時唔會改你今日裝 APK 嘅方式;真正會影響安裝嗰步,由 2026 年 9 月 30 日先喺巴西、印尼、新加坡同泰國開始。香港日期未公布,[待確認]。
第一批唔係所有 APK 都掃一刀。Google 話先針對幾個參與 app store:Google Play、Galaxy Store、Xiaomi GetApps、HONOR App Market、OPPO App Market、vivo V-Appstore 同 Palm Store。到 2027 年,要求會擴至全球 certified Android devices。呢個字眼重要,因為講緊過咗 Google certification 嗰類 Android 裝置,唔係每部 AOSP 機都同一套管法。
APK 仲裝唔裝到?
短答案:裝到,但冇以前咁無感。已註冊、已驗證 developer 嘅 app 正常裝;未驗證 developer 嘅 app,就要靠 Android 新 advanced flow 或 ADB。advanced flow 8 月推出,Google 形容係一次性設定:開 Developer Mode、確認唔係畀人電話指住做、重開機再用指紋、面容或 PIN 認證,等一日冷靜期,之後先可以揀 7 日或長期容許安裝。ADB 就維持照用,24 小時等待唔套落 ADB。
呢套做法最明顯係針對社交工程詐騙。好多 Android 惡意 APK 唔係靠技術突破,而係靠人:扮銀行、物流、客服,叫你開未知來源、裝遠端控制或木馬,跟住偷 SMS、通知、銀行資料。Google 而家加嘅重點係 developer accountability:package name 要登記,簽署 key 要證明係你持有。講白啲,佢想知道邊個負責;出事之後,惡意 developer 冇咁易即刻換個匿名身份再派毒 APK。
圖片:Android Developers Blog / Google
對香港用家實際有咩影響
香港唔係首批四個地區,所以 2026 年 9 月 30 日未必即時有感;但 2027 全球推 certified devices 之後,影響會落到一般 Samsung、Pixel、小米、OPPO、vivo 呢類機。平時裝跨區 APK、beta 版、開源 app、公司內部工具,就要早啲養成三個檢查習慣:
- app 係咪由已驗證 developer 發佈;
- 來源係咪可信,唔好靠社交群組轉傳;
- 真係要裝未驗證 app 時,係用 advanced flow 定 ADB。
尤其銀行、支付、crypto wallet 呢類 app,唔好為咗快一步更新就亂裝來歷唔清楚嘅 APK。Google FAQ 仲提到,開 advanced flow 之後唔需要長期開住 Developer Mode,呢點對會偵測 Developer Mode 嘅金融 app 算係實用補位。
圖片:Android Developers Blog / Google
開發者同公司 IT 要預備
公司 IT 同開發者要早啲預備。官方 FAQ 講,受管理裝置上由公司 store 派嘅 enterprise app 唔需要完成 verification,因為 IT admin 已經把關;但如果同一個 APK 會畀員工私機、外判、測試機由其他來源裝,Google 建議仍然註冊,避免日後安裝卡住。開發團隊就要整理 package name、簽署 key 同 release pipeline,因為 Google 會開 ID Status API 同 Console API,畀 CI/CD 一次過查狀態、註冊 package name。
我對呢件事嘅睇法好直接:Google 終於承認「識裝 APK」同「識判斷 APK 安唔安全」係兩回事。advanced flow 會煩,尤其對 power user;但 sideloading 仍然喺度,ADB 仍然喺度,limited distribution account 又畀學生同 hobbyist 免費、唔使政府 ID、最多 20 部裝置嘅空間。重點會喺 2027 全球 rollout 時出現:Google 會唔會將 verification 做到透明、快、少誤傷。如果變成細 developer 嘅行政關卡,Android 開放性就會削弱;如果做得準,呢步其實係幫普通人擋走最常見嗰類騙案 APK。
參考來源
- Android Authority — Android’s sideloading changes are getting closer as Google shares new timeline — original report
- Android developer verification: Building a safer ecosystem together — Google 官方公布 2026/2027 rollout、首批地區同 app store 名單。
- Android developer verification | Android Developers — Google 官方解釋 verification、package name 登記同 full / limited distribution。
- Frequently asked questions | Android developer verification — 官方 FAQ,核對 advanced flow、ADB、enterprise app 同未驗證 developer 安裝限制。
- Learn about Android developer verification - Android Help — Google Android Help 面向用戶解釋 Android Developer Verifier service、首批地區同 certified devices。
- Android developer verification: Balancing openness and choice with safety — Google 3 月官方 blog,交代 advanced flow、24 小時等待、limited distribution 背景。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。
