Google新政策｜Android應用程式開發者　需進行身分驗證

Google 宣佈將推出一項重大的安全政策，新政策要求所有在 Android 平台上發布應用程式的開發者，無論是經由官方 Play Store 抑或第三方渠道發佈，都必須進行身分驗證。新規定將於 2025 年 10 月起分階段邀請開發者參與，並計劃於 2026 年 9 月率先在巴西、印尼、新加坡及泰國正式實施。

換言之，到時在這些地區的 Android 裝置用家，所安裝的任何應用程式必須由已驗證身分的開發者註冊，否則用家將無法安裝程式使用。

不少國家仍流行經 APK 安裝

有留意網絡安全新聞的話，相信也會知道不少黑客會利用 Play Store 散播惡意手機應用程式，他們會將偽裝成合法的工具或遊戲，上載至 Play Store 或第三方應用商店，他們往往以知名品牌圖示、相似名稱迷惑用家，一旦用家上當安裝，黑客便會在背景竊取個人資料，甚至進行間諜活動，例如 2023 年曾出現多個假冒的加密貨幣錢包應用，成功欺騙大量新手投資者，最終導致用家的加密貨幣被一夜掏空。

此外，安全研究員亦曾揭示黑客透過社交工程攻擊誘導 Android 用家側載（sideload）惡意程式，避開 Play Store 的審查機制。由於第三方商店缺乏嚴格的審核，加上不少國家仍盛行透過 APK 檔案直接安裝應用，因而這類攻擊手法屢見不鮮。

措施擴展至第三方渠道

Google 今次推出的「開發者實名制」正針對上述問題。根據官方說法，所有開發者必須通過身分驗證，確保其真實存在，並與所發佈的應用程式有合法連結。事實上，Google 早於 2023 年已要求所有以組織名義註冊的新開發者帳戶提供由 Dun & Bradstreet 分配的有效 D‑U‑N‑S 編號，以提升透明度。今次的措施則進一步將驗證擴展至所有開發者，包括那些透過第三方渠道分發應用程式的人員。

新政策將有效防止黑客假冒知名品牌，或在應用被封禁後立即改頭換面再次上架。對於已經透過 Play Console 提交應用程式的開發者而言，新政策對他們的影響並不大，因為他們大多早已符合相關驗證要求。不過，Google 亦透露將為學生與業餘開發者設立另一種帳戶類型，方便他們繼續參與應用開發。

除了身分驗證，Google 近年在多個市場如新加坡、泰國、巴西及印度加強對高風險側載應用程式的攔截措施。新規定生效後，將形成一個多層次的防護牆，即使惡意應用程式試圖透過非官方渠道進入市場，若開發者無法通過驗證，應用程式也無法在認證裝置上安裝。

資料來源：https://thehackernews.com/2025/08/google-to-verify-all-android-developers.html