以反诈的名义，谷歌加大限制App的“安装自由”

过去两年间，生成式人工智能毫无疑问是最为引人瞩目的科技创新，它的出现也已经改变了相当多行业。然而一项技术的进步不止有好的一面，AI的飞速发展同样让深度伪造（Deepfake）“如虎添翼”。比如在去年秋季，雷军用他标志性的仙桃口音“锐评”网络热点视频泛滥，背后其实就是AI克隆了他的声音。

时至今日，在人工智能的“帮助下”，网络犯罪也变得愈发猖獗。为此谷歌方面宣布将于Android 16 Beta 2中推出打击诈骗方面的相关功能，旨在阻止用户通话期间更改某些敏感设置。据悉，这些设置包括允许应用安装其他应用（即侧载）和授予无障碍权限，一旦系统检测到通话正在进行， 相关设置即将被禁用。

根据谷歌的说法，他们发现在电信诈骗中，有相当一部分的受害者之所以会“中招”，源于他们在接到电话时听信诈骗团伙的要求，通过侧载的方式在手机上安装了恶意软件。一旦用户运行这些恶意的程序，手机就将被攻击者实施远程控制。

恶意软件的威胁不仅有窃取通讯录、应用程序列表、短信等个人隐私信息，木马(Trojan)、勒索软件(Ransomware)、Installer、按键记录器(Keylogger)、后门(Backdoor)与挖矿木马(Miner)，更是会导致用户的手机变得卡顿、乃至进一步盗窃用户的金融资产。

正常情况下，一个恶意软件想要被安装到手机里其实是极为困难的，因为Google Play Store乃至一众国内手机厂商的应用商店都会在审核时阻拦这类软件上架。只要应用商店这个普通用户接触新应用的渠道被严格管理，恶意软件自然也就很难侵害到用户。

如此一来，侧载就成了黑灰产攻击Android手机的重要渠道。根据谷歌上一次（2018年）公布的Android年度安全报告显示，从Google Play Store下载的所有应用中，有0.04%被认定为“PHA”（潜在有害应用程序），而在非Google Play Store渠道的应用中，PHA的比例就会跃升至0.92%，达到了前者的23倍。

侧载的缺陷无疑就是“不可控”，用户到底通过侧载安装了什么App，这些App是否会对用户造成威胁，Android系统显然都是未知的。对于缺乏技术背景，或者说对相关知识不了解的用户来说，显然不可能做到辨别哪些APK安装包是安全的，一旦通过侧载安装了恶意应用，轻则被劫持 流量、窃取隐私，重则危险资金安全 。

所以绝大多数Android用户通常不会使用侧载，但网络欺诈解决了这个问题。网诈的威力就在于，不法分子会利用话术、乃至AI伪造语音骗得受害者的信任，使得后者会听从吩咐绕过谷歌精心设计的防御体系，通过侧载来让恶意软件感染用户的手机。

遗憾的是，自由开放是Android的一块招牌，谷歌无法像苹果那样强行让Android系统拒绝侧载。可侧载又确实成为了Android的安全隐患，所以左右为难的谷歌就只能用技术手段来解决问题。

不得不说，谷歌在Android 16测试版中推出反诈手段是相当有效的，用户在通话期间不得 开启侧载权限，就相当于是直接掘了这些黑灰产的根。