TH
TH
เกี่ยวกับเรา
Commerce Media Ventures Sdn Bhd (202401040819 / 1586666-W). All Rights Reserved
Powered by BigGo
ข่าว
เทคโนโลยี
แอนดรอยด์
บริษัท
กูเกิล

การยืนยันตัวตนผู้พัฒนา Android ก่อให้เกิดความกังวลว่าอาจกลายเป็น "สวนที่มีรั้วกั้น"

ทีมชุมชน BigGo
การยืนยันตัวตนผู้พัฒนา Android ก่อให้เกิดความกังวลว่าอาจกลายเป็น "สวนที่มีรั้วกั้น"

ในขณะที่ Google เตรียมนำนโยบายบังคับยืนยันตัวตนผู้พัฒนาแอปพลิเคชัน Android ออกมาใช้ ชุมชนผู้พัฒนาต่างแสดงความกังวลอย่างกว้างขวาง นโยบายใหม่นี้ซึ่งมีเป้าหมายเพื่อเชื่อมโยงทุกไฟล์ APK กับผู้พัฒนาที่ลงทะเบียนไว้ ถูกมองโดยหลายฝ่ายว่าเป็นขั้นตอนที่อาจจะไปยับยั้งการพัฒนาแอปพลิเคชันอิสระและจำกัดอิสระของผู้ใช้ ในการตอบสนองต่อเรื่องนี้ มีการเสนอทางออกทางเทคนิคในเชิงทฤษฎีซึ่งเกี่ยวข้องกับตัวโหลด APK แต่ทั้งผู้เชี่ยวชาญและผู้ที่สนใจต่างตั้งคำถามถึงความสามารถในการนำไปใช้ได้จริงและชี้ให้เห็นถึงปัญหาที่ลึกซึ้งกว่าในระบบนิเวศมือถือ

ทางออกทางเทคนิคที่ถูกเสนอ

แก่นหลักของทางออกที่ถูกเสนอคือการสร้างแอปพลิเคชันตัวโหลดเดียวที่ผ่านการยืนยันแล้ว ซึ่งสามารถโหลดและรัน APK อื่นๆ ที่ไม่ได้ยืนยันได้แบบไดนามิก วิธีนี้จะใช้ประโยชน์จากฟังก์ชันการทำงาน PathClassLoader ในตัวของ Android เพื่อประมวลผลโค้ดจากพื้นที่จัดเก็บข้อมูลภายนอกภายในบริบทของแอปตัวโหลดที่ลงลายเซ็นแล้ว เป้าหมายคือเพื่อเลี่ยงการตรวจสอบยืนยันโดยให้ระบบของ Google ตรวจสอบเฉพาะตัวโหลดเท่านั้น ไม่ใช่ตรวจสอบแต่ละแอปที่มันรัน อย่างไรก็ตาม ผู้ใช้หลายคนได้ชี้ให้เห็นถึงอุปสรรคทางเทคนิคและทางด้านลอจิสติกส์ที่สำคัญอย่างรวดเร็ว ผู้ใช้หนึ่งรายระบุว่า สิ่งนี้จะใช้การไม่ได้ เพราะเป้าหมายของการยืนยันตัวตนผู้พัฒนา android คือเพื่อป้องกันการรันโค้ดที่ไม่ได้รับอนุญาตจาก Google หากคุณพยายามเผยแพร่สิ่งนี้จริงๆ Google จะเพิกถอนลายเซ็นบนตัวโหลด APK สิ่งนี้เน้นย้ำถึงปัญหาพื้นฐาน: ตัวโหลดใดๆ ที่เริ่มได้รับความนิยมเกือบจะแน่นอนว่าจะถูกทำเครื่องหมายและแบนโดย Google ทำให้แนวทางนี้ไร้ประโยชน์

อุปสรรคสำคัญของการแก้ปัญหาด้วย "Loader APK":

  • การบังคับใช้จาก Google: Loader APK มีแนวโน้มที่จะถูกแบน และใบรับรองการลงนามจะถูกเพิกถอน
  • ข้อจำกัดทางเทคนิค: แอปพลิเคชันทั้งหมดที่โหลดเข้ามาจะใช้ application ID และสิทธิ์การเข้าถึงร่วมกันกับ loader ซึ่งทำให้ระบบความปลอดภัยและฟีเจอร์การอัปเดตหลักของ Android พัง
  • ความสามารถในการแก้ไข: Google สามารถปิดการใช้งานกลไกการโหลดโค้ดแบบไดนามิกได้อย่างง่ายดายด้วยเหตุผลด้านความปลอดภัย

ความเคลือบแคลงของชุมชนและความกังวลในภาพรวม

การอภิปรายได้เคลื่อนไปไกลกว่าเรื่องรายละเอียดทางเทคนิคของตัวโหลด ไปสู่การกล่าวถึงผลกระทบในภาพกว้างของนโยบาย Google หลายคนมองว่านี่เป็นก้าวไปสู่โมเดล สวนที่มีรั้วกั้น ที่ปิดมากขึ้นสำหรับ Android คล้ายคลึงกับ iOS ของ Apple ปฏิกิริยาของชุมชนชี้ให้เห็นว่าการหาช่องโหว่ทางเทคนิคมีความสำคัญน้อยกว่าการเผชิญหน้ากับการเปลี่ยนแปลงนโยบายพื้นฐาน

ฟังดูคล้ายกับตัวโหลด UEFI shim ที่ลงลายเซ็นโดย Microsoft แต่สามารถโหลด executable EFI ใดๆ ก็ได้... ความแตกต่างคือตัวโหลด UEFI shim ได้รับการสนับสนุน/ยอมรับโดย Microsoft แล้ว แล้ว Google ล่ะ? การเปรียบเทียบกับระบบที่คล้ายกันในโลกพีซีนี้ เน้นย้ำถึงความแตกต่างที่สำคัญ: หากไม่ได้รับการสนับสนุนจาก Google ตัวโหลดใดๆ แบบนี้จะอยู่ในฐานะที่ไม่มั่นคง ข้อสรุปร่วมกันคือ Google สามารถอัปเดต Android เพื่อปิดการโหลดโค้ดแบบไดนามิกสำหรับจุดประสงค์นี้ได้อย่างง่ายดาย โดยอ้างเหตุผลด้านความปลอดภัย

ข้อเรียกร้องให้เกิดการเปลี่ยนแปลงเชิงระบบ

เมื่อต้องเผชิญกับข้อจำกัดของทางออกทางเทคนิค การสนทนาจึงเปลี่ยนทิศไปสู่การสนับสนุนวิธีแก้ปัญหาที่เป็นพื้นฐานมากกว่า ผู้แสดงความคิดเห็นต่างแสดงออกว่าสงครามที่แท้จริงไม่ใช่การหลบเลี่ยงกฎข้อเดียว แต่เป็นการปกป้องธรรมชาติแบบเปิดของแพลตฟอร์ม Android เอง ความกังวลหลักรวมถึงการรักษาความสามารถในการปลดล็อก bootloader และความสมบูรณ์แข็งแรงของ Android fork อิสระแบบโอเพ่นซอร์ส (AOSP) ความรู้สึกคือการที่ต้องพึ่งพาระบบปฏิบัติการกึ่ง proprietary คู่แข่งเพียงสองเจ้าเป็น โรคที่แท้จริง ความสนใจที่มีต่อการยืนยันตัวตนถูกมองว่าไปผิดที่ เมื่อปัญหาหลักคืออิสระของผู้ใช้และการควบคุมอุปกรณ์ของพวกเขาเอง วิธีแก้ปัญหาที่ถูกเสนอคือการกดดันให้ Google ฟื้นฟู AOSP และส่งเสริมการยอมรับระบบปฏิบัติการโอเพ่นซอร์สที่เป็นมิตรกับผู้ใช้มากขึ้น สิ่งนี้สะท้อนถึงความต้องการในอนาคตที่ทางเลี่ยงเช่นนี้ไม่จำเป็น

ประเด็นสำคัญของการยืนยันตัวตนนักพัฒนา Android (ณ วันที่ 30 ตุลาคม 2025):

  • ค่าใช้จ่ายระดับพื้นฐาน: 25 ดอลลาร์สหรัฐ ต้องใช้บัตรประจำตัว
  • ใบอนุญาตสำหรับผู้ใช้งานทั่วไป (Hobbyist License): ใบอนุญาตแบบจำกัดที่ไม่มีค่าใช้จ่าย Google อ้างว่าจะไม่ต้องใช้บัตรประจำตัว แต่ข้อจำกัดต่างๆ ยังไม่เป็นที่ทราบแน่ชัด
  • การติดตั้งผ่าน ADB: Google ระบุว่าการติดตั้งในเครื่องผ่าน ADB จะยังคงเป็นไปได้ แต่รายละเอียดยังไม่ชัดเจนและการรับประกันในอนาคตยังไม่แน่นอน
  • รหัสการยืนยันตัวตน: อยู่ใน Play Services ซอร์สโค้ดยังไม่เปิดเผยต่อสาธารณะ

สรุป

ตัวโหลด APK ที่ถูกเสนอ แม้จะเป็นความคิดทางเทคนิคที่ฉลาด แต่ถูกมองโดยกว้างว่าคือการแก้ปัญหาเฉพาะหน้าที่ไม่สามารถนำไปปฏิบัติได้และเป็นเพียงชั่วคราวสำหรับปัญหาที่ใหญ่กว่ามาก ชุมชนผู้พัฒนา Android ให้ความสนใจกับการสร้างทางเลี่ยงชั่วคราวน้อยลง แต่กังวลมากขึ้นกับทิศทางในระยะยาวของแพลตฟอร์ม การอภิปรายเผยให้เห็นถึงกระแสการสนับสนุนอย่างแข็งแกร่งสำหรับการรักษาระบบนิเวศแบบเปิดซึ่งได้อนุญาตให้ Android เติบโตมาได้ ซึ่งชี้ให้เห็นว่าการแก้ปัญหาที่แท้จริงไม่ได้อยู่ที่โค้ด แต่อยู่ที่การสนับสนุนร่วมกันเพื่อสิทธิของผู้ใช้และผู้พัฒนา

อ้างอิง: A theoretical way to circumvent Android developer verification

ข่าวที่เกี่ยวข้อง