谷歌上周四（3月19日）通过Android开发者博客宣布，将为侧载应用引入新的高级流程（Advanced Flow）。当用户尝试安装来自未经验证开发者的APK文件时，系统将不再允许直接安装，而是必须经过一系列验证步骤，以降低诈骗和恶意软件的风险。

近年来，诈骗手段迅速演变，黑客大量结合社交工程，通过电话、短信或即时通讯工具诱导用户下载并安装恶意APK，进而窃取账号密码、控制设备或盗转资金。根据全球反诈骗联盟2025年的调查，全球57%的成年人曾遭遇诈骗，造成4420亿美元的损失，表明此类攻击已呈现规模化和高度组织化趋势。

为预防诈骗，自2026年9月起，所有安装在经过谷歌认证的Android设备上的应用，都必须由经过身份验证的开发者注册；而高级流程则是针对侧载场景设计的用户端防护机制，通过延迟与多重验证，降低在受骗情境下安装恶意程序的风险。

根据谷歌的规划，该机制预计于2026年8月推出。未来，用户若从非官方渠道下载应用，例如通过网站或短信接收APK文件，在点击安装时将被引导进入高级流程。首先，系统将要求用户先启用开发者模式，才能继续安装，以避免在高压或误触情况下被快速绕过安全机制。

其次，系统会要求用户确认当前操作并非在他人指导下进行，以防范诈骗者通过通话或远程操控引导用户关闭防护。

完成初步确认后，设备还需重启，以切断潜在的远程连接或持续的通话监控。此后，系统将进入为期一天的等待期，用户需在冷却时间结束后，再次通过生物识别（如指纹或面部识别）或设备密码进行身份验证，确认为本人主动操作。完成上述步骤后，方可开启安装未验证应用的权限。

图片来源／谷歌

在首次成功开启安装未验证应用的权限后，用户可以选择在7天内持续允许安装未验证应用，或长期开放该权限。

即使完成流程，系统仍会在安装过程中持续显示“未经验证的开发者”风险提示，但允许用户选择继续安装。谷歌强调，该设计并非限制侧载，而是在保留Android开放性的前提下，提高高风险操作的门槛。

谷歌指出，近年来诈骗手法已从单纯的恶意程序传播，转向结合社交工程攻击，通过制造紧急情境诱导用户下载并安装APK。这类攻击通常依赖实时指导与连续操作，一旦用户进入流程，往往在短时间内完成多个高风险设置。高级流程通过强制延迟与多重验证，刻意打断诈骗节奏，让用户有时间重新评估风险。