cnBeta
尽管“数字版权保护”(DRM)是一项被音视频爱好者深恶痛绝的功能,但这并不意味着它无法在其它方面发挥积极的作用。
据外媒报道,为了提升 Android 应用安装包(APK)文件的真实安全性,谷歌决定为 Play 商店的应用引入某种形式的 DRM 。
据悉,这套机制与 Windows 平台上的驱动程序签名很是相似。
(应用签名前后对比)
给 app 添加 DRM 签名的目的很简单 —— 通过确保用户使用的是不被篡改的应用,从而提升 Android 用户的安全体验。
有趣的是,Google 并没有将这种新机制称作‘DRM’,而是说它在 APK 之上添加了‘少量的安全元数据’,以验证 APK 是否由 Google Play 分发。
(APK 完整性保护)
Google 表示,引入该机制的一个原因,是为了帮助开发者接触到更广泛的用户群体 —— 特别是那些因为连接受限和流量套餐昂贵,而导致 p2p 应用分享变得常见的地区市场。
新机制意味着,无论设备是否在线,都可以认定 app 的真实性。它不仅适用于通过 Play Store 分发的 app,还适用于那些授权的应用分发渠道。
(APK 签名验证过程,新步骤以红色显示)
不过截止目前,Google 似乎还停留于向开发者兜售这一想法(而不是直接面向 Android 用户)的阶段。
cnBeta
可以说,自从触屏式智能手机成为市场主流以来,关于安卓(Android)和iOS这两大操作系统阵营的争议就没有停止过。在界面风格、操作习惯上,安卓和iOS算是长期以来相互借鉴,越来越靠近了。但是,至今为止,至少在国内,安卓用户们还是得面对一个相对iOS来说巨大且尴尬的短板:
盗版和恶意修改的软件!
是的,大家都知道,出于某些原因,国际上通行的安卓官方唯一应用商店Google Play Store无法在国内正常使用。而这一情况造成的直接结果就是国内安卓软件生态的极度混乱。和国内苹果用户依然可以通过App Store获得官方正版的软件下载相比,国内的安卓软件下载渠道之多,直接导致了诸多恶意软件潜藏其中。
对于用户来说,这些“来路不正”的安卓软件轻则窃取用户隐私、导致手机异常发热耗电,重则内含诈骗或破坏性病毒,直接造成用户的财产损失,社会困扰甚至更加严重的后果……
当然,受损害的不只是用户的利益,也有安卓系统、谷歌公司本身的口碑和商誉:典型地来说,一说到手机安全性的问题,不少人都会想到iOS更安全,苹果手机“中毒”更罕见——很显然,“不安全”这一情况,原本是恶意软件的锅,如今却被扣在了整个安卓系统身上。
面对这种情况。谷歌的方法“特立独行”
要怎样解决盗版和恶意软件的问题?大家脑海中想到的第一个词或许是“严管”——但相比之下,谷歌的办法却更为巧妙:他们想到的,首先是要给安全的正版应用发放“身份证”。
当然,在技术层面上来说,应用的身份证不同于我们人的,它的学名叫做DRM(数字版权管理 英语:Digital rights management)。更准确一点,在安卓上,它被称为“APK签名方案v2”。
正如前文所述,国际市场上的安卓手机,其实也和苹果一样有着唯一的官方应用商城。因此在以前,谷歌默认用户只有通过Google Play Store下载安装的软件才是受官方承认的“正版软件”。如果用户自行通过第三方商城、或自行下载APK安装包进行安装,则不受到Google Play承认,也无法通过官方渠道更新。
当然,这样的做法本身在法律上是没有什么问题的:因为第三方渠道的应用文件并未经过(谷歌)官方认证,谷歌不能保证其安全性和完整性。但这样一来,像中国国内这样的市场,实际上就完全没有受到谷歌官方正版验证机制的保护。
为了解决这个问题,应运而生的“APK签名方案v2”最“创新”的地方就在于:它会将所有只要没经过篡改的软件都视为“正版”,而不再管它是通过何种途径下载得来。
用盗版软件,治理恶意软件?
上面那一大段文字,或许让大家看着有点懵:说得直白一点,就是谷歌爸爸现在允许大家通过第三方市场、各大软件下载站、甚至是用U盘“人传人”的方式,传播未经修改的、来源可靠的安卓软件。只要这些软件内置了全新的数字签名,那么它就会直接被系统认定为原版、正版。
这样一看,是不是感觉“woc谷歌你居然公然鼓励盗版”?停停停,谷歌可没有这样说,人家只是放开了应用分发渠道,但软件本身(或者说对应的软件安装包本身),则通过“APK签名方案v2”确保其一个字节也没有经过非法改动,绝对和谷歌官方商城里的一模一样。
如此一来,一方面软件开发者的权益并不会受到影响(对于付费软件来说,因为付费验证的代码也没有遭到破坏,所以并非“破解版”),另一方面来说,谷歌也确保了消费者下载到的软件,一定是安全的“正版软件”。
需要注意的是,“APK签名方案v2”,当然是和系统本身内置的验证机制联动的:谷歌只需要(在未来的安卓版本里)禁止安装没有DRM签名或签名损坏(意味着软件被非法修改过)的软件,就可以轻松地将一切“破解版”、内置恶意代码的修改版等等软件全部拒之门外。
这波操作,谷歌的真意是…………
从去年开始,谷歌在国内的动作就明显更加频繁起来:从在北京成立AI研究中心、与有关部门共同推进国内安卓“统一推送联盟”、与各大手机厂商合作开发“快应用”,以及和国内多家手机厂商在系统更新、AI拍照等技术上的深入合作,都可以看出谷歌并没有对中国市场和中国的安卓设备“放任自流”。
如今,通过给安卓软件添加“正版标签”,并允许其通过各种第三方渠道传播,谷歌实际上可以变相地“收编”那些第三方的应用市场,让它们作为自己的正版应用分发渠道。这样一来,既改善了国内的安卓应用环境,收获更好的用户口碑,又能通过对应用(技术规范)施加更强的控制,反过来对国内的手机厂商发挥出更大的影响力……
不管怎么说,看起来谷歌已经是打定主意,要对国内无序的安卓大环境“下手”了——而这对于消费者们来说,却不失为一件大好事,不是么?
