https://www.androidauthority.com/custom-roms-vs-google-3469378/
Android 用户更换官方软件为自订 ROM 的原因有很多。他们可能在寻找某些特定的功能
,或对主流发布的隐私或安全问题感到担忧,担心这些问题没有解决。也有可能是他们在
手机厂商停止支援硬件后,寻找最新的补丁。
但这种做法也有其缺点,软件相容性有时可能会成为问题——这在上个月我们提到的
Graphene OS 案例中得到了体现,当时用户发现由于依赖Play Integrity API,多因素认
证应用Authy 无法正常运转。那时,我们探讨了为何Google认为这种安排是可行的,并且
没有扩展 Play Integrity 验证到像 Graphene OS 这样的自订 ROM 上。但这个故事还有
另一面,社群的挫折感似乎开始达到临界点。
基本上,Play Integrity 旨在让应用程式验证它们没有被篡改,并且运行在一个合法、
可信赖的平台上。毕竟,内建在作业系统中的恶意软件(例如某些可疑的自订 ROM)可能
会对像银行应用这样的软件造成破坏,让你无法信任萤幕上看到的内容。但即便是像
Graphene OS 这样备受尊敬并认真对待安全的自订 ROM 项目,谷歌也明确表示它不打算
找到让 Play Integrity 与这些 ROM 相容的办法。
在Mastodon 上,Graphene OS 团队指出了谷歌方法的所有问题,并直言不讳地表示:“
Play Integrity API 基于谎言。”根据Graphene OS 的说法,Google声称是Play
Integrity 合规性关键的Compatibility Test Suite 和Compatibility Definition
Document 要求在实践中经常被忽视,并且系统很容易被绕过。
对于一个尝试“正确”做事的团队来说,这肯定令人沮丧。正如 Graphene OS 团队所指
出的那样,应用程式并非没有其他(可以说更好的)方法来证明它们运行的环境。该专案
透过标准的 Android 硬件认证 API 提供了所有签署金钥的指纹,以验证 Graphene OS
装置。问题在于,没有办法强制独立开发者采用这种方法,他们可能会选择继续使用
Play Integrity,这在 Authy 的案例中就是如此。
自订ROM的未来将走向何方?听GrapheneOS团队的话,答案可能是法庭
“Google要不是在不久的将来允许GrapheneOS通过在此处记录的方法使用Play Integrity API
,就是我们将对他们及其合作伙伴采取法律行动。我们已经开始与监管机构沟通,他们对
此很感兴趣。 ”
“考虑到我们看到的来自欧盟监管机构的兴趣,他们希望让像谷歌这样的公司对其控制的
平台的开放性负责,这可能会成为一个非常有趣的过程。目前,这些与定制ROM的兼容性
问题并没有像应用程式商店计费实践那样引起广泛的愤慨,但这并不意味着不会发生变化
。”