GoogleがAndroidの野良アプリインストールを制限!なぜ?
引用元:https://news.ycombinator.com/item?id=44193198
この記事なんで今更?
この制限は1年4ヶ月前の発表で、シンガポールの一部のアプリ(特定権限要求&ストア以外からDL)にだけらしいよ(F-DroidはOK)。Play Protect無効で回避できるかもだけど、シンガポールじゃないから分かんない。
警察の記事(https://www.police.sg/media-room/news/20250417_police_ad…)見ると、あんまり効果ないっぽいね。詐欺師はPlay Protectを無効にさせてからマルウェア入れるってさ。
シンガポールって特に詐欺の被害が多いみたいだよ。
去年の被害額は11億S$(約1200億円)で、70%も増えたんだって。報告してない人も含めるともっと多いかも。
彼らは“金持ちで世間知らず”って言われてるらしい。この記事(https://archive.is/fCmW1)に書いてあったよ。
“金持ちで世間知らず”だって?被害者を責めるのは違うよ。
問題は銀行がコスト削減でオンラインを推進したのに、セキュリティを疎かにしたこと。被害の責任は銀行が取るべきだね。
普通の人はプロの詐欺師から身を守るなんて無理だよ。Bitcoinやってる人でさえ騙されるんだからさ。
この制限って、GoogleがApp Storeの件で裁判沙汰になった後だっけ?タイミング的にどうなんだろね。
ユーザーを自分自身から守るのと、自分のデバイスを自由に使う権利のバランスって難しいよね。
Play Storeだって完全に安全なのかな?公式ストアのアプリでさえヤバいのあるし。賢い第三者に管理してもらうのが唯一の解決策かも。
ユーザー保護と自由のバランスね。
セキュリティとかPCの知識を測るクイズをGoogleが提供して、ヤバそうなユーザーだけ制限かけたらどう? 進んだユーザーは制限なし、ネットの言うこと何でもやる人は制限あり、みたいに分けるべきでしょ。両方に同じ対策するのはおかしいよ。
もっとエグい案だけどさ。
Play Store認証済み端末で野良アプリ入れたいなら、Googleのフリーダイヤル(電話かTTY)に電話して認証解除コードみたいなのをもらうようにするのはどう?
工場出荷時リセットで解除できるけど、詐欺師がそれも教えるかもね。
ショップでの解除もアリにして、誰が解除したかログっとけば、詐欺られた時に追跡できるかも?
この記事、なんで存在すんの? Purismの宣伝じゃない?
彼らのデバイス(Librem 5とか)でAPK動くのかな? Waydroid以外でそんなの知らないし、Linuxのタッチスクリーンって正直使いにくいじゃん。
自分たちの製品に関係ないのに、主流のAndroidを悪く言って自社製品(クソ)を買わせようとしてるだけだろ。
PurismのデバイスでもWaydroid経由ならAndroid APK動かせるよ。
でも、この記事がなんで書かれたのかはやっぱり謎だね。
“Linuxのタッチスクリーンはマジでクソ”だって?
iPhoneよりはマシじゃないけど、それは大げさだよ。
Librem 5からコメントしてる俺が言うんだから間違いないね。
みんなのupvote見るとさ、Androidの開発の方向性に不安感じてて、他の選択肢に興味津々って感じだよね。
まあ、upvoteの数見るとさ、みんなタイトルしか読んでないのは明らかだよね。
あの記事、露骨なclickbaitでしょ?
ちゃんとしたつもりで書いてないし、全体像も全然伝わってこないよ。マジで。
これ、2024年の記事じゃないの?
https://techcrunch.com/2024/02/07/google-starts-blocking-use…
> シンガポールで始まった試験プログラムでは、特定の sideload アプリ、特にSMSやアクセシビリティ権限を要求するものが、ブラウザやメッセージアプリ、ファイルマネージャー経由でダウンロードされた場合にブロックされる。
これには結構条件が付くんだよ:シンガポールだけ、詐欺によく使われる特定の権限を要求するアプリだけ、特定の経路でダウンロードされた場合だけ。
全部は見てないけど、これって上級ユーザーなら相変わらず好きなものを sideload できるってことだよね。Googleは平均的なユーザーがSMS権限とかアクセシビリティ制御を使う sideload アプリを簡単にインストールできないようにしたいんだ。
上級ユーザーがこれらのアプリを sideload するのにちょっと手間がかかるくらいなら、この Purism の宣伝みたいな記事が示唆するほど自由の侵害ってわけじゃないと思うな。残念ながら、sideload アプリは技術に疎いユーザーにとって、問題のある詐欺の入り口になってるんだよね。
> この動きは、シンガポールのCyber Security Agencyと提携して開発されたもので、詐欺やマルウェアを使った詐欺を防ぐために設計されたんだ。
だから今シンガポールだけなんだね。
君は正当な懸念をちゃんと理解せずに片付けてると思うよ。だって、正しい見方からすれば、これがどうやって大量市場で反競争的になりうるか分かるはずだからね。
たとえ技術に詳しい人たちが好きなものをインストールできたとしても、大多数の人は walled garden に留まるだろうね。そうすれば Google は自分たちの取り分を得られるし、思想的なコントロールもできるからさ。今だって、Google も Apple も、ユーザーをサードパーティ製アプリケーションから遠ざけようとする意図的な行為を製品全体でやってるんだ。Google がバナーで自分たちのブラウザを”より安全なブラウザ”と表現するとか、Apple が署名のないアプリを動かすために秘密の呪文みたいなのを要求するとか、そういうやり方だね。
こういうマインドコントロールみたいなインチキは、全部規制で根絶されるべきだよ。企業がユーザーに対して deceptive な行為をするライセンスを持つべきじゃないんだ。
大多数の人たちはいつも walled garden に留まるだろうね。彼らはそこにいたいと思ってるし、壁があることすら気づいてないんだ。それが彼らにとって”こうあるべきもの”なんだよ。
多くの人は壁に囲まれた庭(walled garden)の中にいたがるし、それが当たり前だと思ってる。でも、その壁には刑務所の鉄格子じゃなくて、開いたドアが必要だろ。昔のChromebookみたいに、walled gardenから出るための物理スイッチを付けるのを、消費者保護のルールで義務付けるべきだよ。
あんたが返信してるコメントで「この動きはシンガポールの政府機関との協力で、詐欺やマルウェアを防ぐためだ」って書いてあるじゃん。それを無視して、全部Googleの反競争的なせいにしてるみたいだけど、もし政府主導ならGoogleだけ責めるのはどうなの?(まあ、俺はSideloadingは触るべきじゃないと思ってるけどね)。
「こういう精神操作みたいなクソは全部規制でなくせ」って意見には同意するわ。だけど、詐欺の被害もマジでヤバいってことは無視できないよね。
ADBをブロックしてないなら、「Sideloadingをブロックしてる」って言うのは正確じゃないな。まあ、人をマルウェアから守るのと、ユーザーが本当にインストールしたいものを、どんな権限が必要だろうと意図的にインストールさせることのバランス取りが大事だってのは明らかだけどさ。
「walled gardenから出るための物理スイッチを付けるのを、消費者保護のルールで義務付けるべき」なんて自信満々に書いたやつと同じ社会には住みたくないわ。マジで思想的に合わない。
なんでそう思うの?いじくる自由と消費者保護の板挟みは理解できるし、どっちに重きを置くかは人それぞれでいいじゃん。この二つを両立させる方法だって絶対あるよ。細かい規制で対応するしかない。例えば、物理スイッチ入れたり(元に戻せないヒューズ切ったり)したデバイスは、そのデバイスとそのソフトの責任は全部持ち主にあるって規制すれば?もし無防備なデバイスでフィッシング詐欺にあって貯金全部失っても、それは完全にそいつの責任。メーカーやサービス提供者にはサポート義務なしってね。
なんかさ、この問題への対応って、十代の妊娠を防ぐのに禁欲だけを説くみたいな感じだわ。もっと基本的なコンピューターの知識(リテラシー)を教えるべきだし、ユーザーが自分のデバイスとそこで動くソフトを自分でコントロールできる、もっと安全なシステムを提供すべきだろ。ユーザーの自由を減らして、どんどん独占的なコントロールを強めるやり方は答えじゃない。Googleの広報は違うって言うだろうけどね。
「政府主導ならGoogleだけ責めるのはどうなの?」って?関係ないね。もし政府が何か(ジェノサイドとか)悪いことを命令して、Googleがそれに協力したら、政府が悪でもGoogleも同等に悪だろ。GoogleもAmazonも今まさにProject Nimbusでtech-assisted genocideに関わってるじゃん。
https://www.aljazeera.com/news/2024/4/23/what-is-project-nim…
Amazonは前からボイコットしてるけど、Googleは仕事で避けられないから無理だわ。
もしこんな制限を法制化して実行する力を持ったら、将来の政権がちょっとずつ締め付けを強くして、TPM搭載でDRMがガチガチ、中身が分からない暗号化されたプログラムが動くコンピューターを強制されたり、ユーザーがシステム変えたりハードやOS交換したりできなくなったり、法律に触れるか銀行や保険にアクセスできなくなるか、って状況になるのを誰が止められるっていうの?
禁欲論って効果ないじゃん?
それと同じで、Googleのこの措置が詐欺を減らすのに本当に効果あるかってのが最初の疑問だね。
一般の人がストアを望んでるってのは勘違いだよ。Microsoft StoreがWindowsに来た時も喜ばなかったでしょ?
今のスマホも、それが普通だから受け入れてるだけで、問題に気づかないか、避けるのが難しそうに見えるだけなんだ。
この制限(シンガポールだけとか、特定の権限要求とか、特定のダウンロード元だけとか)全然安心できないよ。特定の権限だけってのは条件の一つだけだし、「今のところシンガポールだけ」ってのも不安。「特定の経路」ってブラウザやファイルマネージャーのことだろ? それも全然安心材料にならないな。
他の技術者やこういうフォーラム以外で、Windowsの広告やMicrosoft Storeについて文句言ってる人なんて聞いたことないよ。ほとんどの人は、コンピューターとかアプリが「そういうもの」として受け入れてるだけ。他の方法があるなんて気付きもしないんだ。
前の俺のコメント(GGGP)は、端末の自由のために物理スイッチを義務付けるって話で、DRMみたいなことじゃないぞ。efusesとか、ユーザーが好きなソフトを動かせなくするブートローダーとか、メーカーのやってることは違法にすべきだと思う。端末の持ち主が修理したり、どんなソフトでも動かせるべきだよ。物理的なアクセスだけで操作できるスイッチがあれば、持ち主が端末を完全に支配できるようになる。それで「アテステーション」機能が壊れて、一部のソフトが動かなくなっても構わない。(銀行などが要求する「信頼できる」端末の話は、消費者の保護の問題で、たぶん銀行規制の範囲だろうな。まだ深く考えてないけど。)
もっとコメントを表示(1)
例えばiPhoneで、フラッシュメモリを剥がして、復号して、OSを改造すれば技術的にはサイドローディングできるけど、技術的に可能だからってそれが解決策になるわけじゃないんだよ。
こういうことに関する法律は、すでにたくさんあるんだぜ? そんなにシニカルなら、あんたが言ってるみたいな法律だっていつでも成立する可能性があるってことに気づかなきゃダメだよ。本当の障壁なんてないんだから。
adbを使ってアプリをサイドロードするのにPCが必要になるってのは、部分的にサイドローディングをブロックしてるってことになるだろ。だから、それが正しい制限のあり方だとは思わないな。
認定投資家ルールに似てるね。資格がないと投資できないやつ。俺は個人の自由が大事だと思うけど、事故が起きたら政府は対策してるアピールしたがるから、こうなるのも分かる気はするよ。
…こんなんじゃ詐欺師は止まらないよ。ソフトで詐欺は絶対止められない。詐欺師が次の手考えるのにたった2週間使うだけで、人々は永久に自由を犠牲にするなんて、かなりイカれてるね。
ああ、確かにこの対策もパズルの一部だね。技術リテラシーを上げたり、騙すようなUIや言葉を禁止したり、細かいセキュリティ設定で自分で選べるようにしたりする方が、全体として見てみんなにとって絶対プラスになると思うよ。今回のGoogleのやり方がスパムにどれだけ効くかは置いといてね。
その通りだよ。これは詐欺師を完全に止めるんじゃなくて、できるだけ活動しにくくするための対策だね。でも、Facebookみたいにそれだけじゃ「自己XSS」みたいな手口は防ぎきれないんだ。本当は詐欺師の拠点国を潰すくらいしないとダメなんだけど、汚職とかもあって難しいね。URL: https://stackoverflow.com/questions/21692646/how-does-facebo…
シンガポールは言論の自由とか、セキュリティとぶつかった時に自由を優先する国とはほど遠いね。CTSの「ハードウェア担保」な認定アプリだけにする方が安全なのは間違いないだろう。でも、そういうデバイスは遠隔から完全に操作できちゃうし、アプリを一ヶ所で止められる場所ができるのは、セキュリティ機関にとっては最高だけど、俺にとっては最悪だな。
シンガポール政府って、かなり権威主義的じゃない?純粋なユーザーの安全以外にも、何か別の動機があるんじゃないかな。
ああ、なんか高果糖コーンシロップとか鉛とかアスベストとか、企業がコスト削減や利益のために体に悪いものや差別的なものを無理やり押し付けて、巧妙なプロパガンダとかで騙してきたのとそっくりだね。
ぶっちゃけ、ここのコメントいくつか面白いね。「GrapheneOS入れれば簡単に解決」「ADBブロックされない限りサイドローディングはブロックされてない」とかさ。これらの人たちをどうこう言うつもりはないけど、俺たちHNユーザーは、普通の人が普通にスマホを使ってるってことを忘れちゃってるみたいだ。俺たちの中には、基板のテストパッドにJTAGデバッガー半田付けしてファームウェア焼けるなら制限じゃないって人もいるだろうけど、ほとんどのユーザーにとってはOS入れ替えるくらい無理な話だよ。
前にUbuntuとかLinuxのフォーラムで質問した時、簡単で繰り返し使えるアプリかなんか欲しかったんだけど、ほとんどの人が「なんでCLIで長時間かかる方法でやらないの?」みたいな返信ばっかだったんだ。Linuxどころかコンピュータにも超初心者の俺は戸惑ってた。そしたら、あるコメントくれた人が俺が求めてた方法を教えてくれてさ。その人が他の人たちに向けてこう付け加えてたんだ——「LinuxがデスクトップOSになれなかったのは、その一番熱心な実践者たちによって邪魔されたんだ」って。
> the battle for Linux as THE desktop OS was sabotaged by its most ardent practitioners.<br>これ、Archでマジで起きたことだね。ノーブ向けガイドを廃止しちゃったんだよ(俺もメンテしてた)。ノーブをちょっとLinux知ってるレベルにする良いガイドだったのに。ノーブがいなきゃウィザードも生まれないじゃん。なんで自分が楽しんでるものを教えるのをケチるんだ?まあ、そのおかげでEndeavourOSとかManjaroが生まれたのかもだけど、それでも、もっと細かい技術を学べる場所が必要だよ。ハードウェアハックとか、OPが言ってることマジで知りたい。GPUのハードウェア改造とか。Hacker Newsなのに、そういうハッカーっぽいことマジで学びたいわ。もし企業が、俺たちが買ったものを所有させないためにこんなに頑張り続けるなら、学ぶのは超重要だね。じゃないと、そのうちロボット執事が家のLiDARマップとか高解像度写真を企業に送りつけるようになるぞ。エリートなイヤな奴じゃなくて、ノーブに教えるウィザードが必要なんだ。
普通の人って、そもそも野良アプリとか入れるの?大体の人はスマホを何かをする道具として使ってて、スマホ自体を使うのが目的じゃないわけじゃん。必要なアプリを入れたら、後は同じアプリを使い続けるだけだと思うんだけど。
公式のAndroidベースOSにも利点はあるんだぜ。例えば、Samsungは独自の便利な機能がいっぱいあるし、GrapheneOSだとGoogle Pay(スマホの主要機能の一つ)が使えないんだよ。
GrapheneOS、普通の人でも全然イケるよ。前に新しいスマホに買い替えた時、俺のとパートナーのにGrapheneOS入れたんだけど、パートナーの方ではその後、技術サポートとか全然必要なかったし。
> Why gatekeep people from enjoying the same thing you enjoy?<br>それ簡単な答えだよ。彼らが気に入らないものを変えろ、削除しろって最終的に要求してくるから。あらゆるメディア、あらゆるソフトウェアでそうだったし、Linuxディストリビューションみたいなモジュラーなものにそうならないわけがない。
そもそも、普通の人のスマホにGrapheneOSを入れるのって誰がやるんだよ?Webインストーラー(https://grapheneos.org/install/web)は、普通のAndroidユーザーには全然優しくない。説明は dense だし、大量のエッジケースに関する警告が専門用語満載で、ちょっと技術に詳しい人でもビビるレベルだよ。USB passthrough って何?ブラウザをFlatpakで入れたかSnapで入れたか?どうやったら分かるんだ?キャリアモデルがどうユーザーをロックインするか詳細に説明したパラグラフ、理解する必要ある?Linuxに関する説明がいっぱいあるけど… Linux必要なの?sha256ハッシュって何で気にする必要がある?
IT系じゃない人がこれを grasp できないってことじゃないけど、うちの両親がこれをスマホに入れるなんて、絶対ありえないね。
> For some reason they killed the noob guide (which I helped maintain).<br>あれって、どっかにアップロードされたりアーカイブされてたりするの?
レジストリエディタを開いて、なんか深い階層を探して、新しいbinary keyを作って、SetFocusRefreshTimeout にリネームして値を 0xFFFF にセットするのが…デスクトップの使いやすさ、ってことね。
アーカイブはどっかにあるだろうけど、役に立つかは低いかもね。常にメンテナンスが必要だったんだ。それはそれで良かったんだけどさ。メンテしてる人間も十分いたし。実際、俺ももっと多くの人に貢献してもらったよ。昔は、Linuxを学ぶ一番の方法はArchをインストールすることだって言ってたんだ。3回失敗してから俺のところに来いって。大変だけど、めちゃくちゃ学ぶし、覚えるのがマジで速くなる。失敗するって前もって言っておくと良いんだよ。自分がバカなんじゃなくて、コンピュータを壊すわけじゃないって分かるし。それに、セーフティネットもあるし、絶対助けるって約束してた。でも、本当のレッスンは苦労することなんだ。
Pixelを買ってGrapheneOSに切り替えない主な理由は、SamsungのOneUIがマジで進化してるからなんだ。他の誰よりも何年も先に新しいソフトウェア機能を開発してるんだよ。
技術ユーザーは変化を求めるけど、非技術ユーザーは与えられたものを使うだけって考え方は違うよ。現実には、技術ユーザーは変化を起こしたいから技術的になるんだ。OSSで機能制限するのは哲学に反するって言ってるね。
技術に詳しくない友達がTikTokで見つけたやり方でSpotifyやYouTubeの有料機能をタダで使ってるらしいよ。
コメント1への反論だね。技術ユーザーも非技術ユーザーも色々だし、OSSの「ゲートキーピング」と「サポート不足」は違うんだ。ArchとかGentooみたいなディストロはユーザーフレンドリーを謳ってないし、ドキュメント読むのが普通だよ。「Noob」向けのガイドを作ると、何も理解せずに使えるようになっちゃう問題がある。
OSSのフォークは大手でも難しいし、個人の開発者が簡単に影響を与えるのは無理だよ。OSSで誰かを締め出すのは哲学に反するって言うけど、活動への関与レベルは個人で決めるものだし、「お作法」に従うのは教会とか職場でもあることだよ。
GrapheneOSの開発者には本当に感謝してるし、あなたにとって機能してるのは良いことだけど、銀行やストリーミングアプリ、マクドナルドやポケモンGOみたいに、たくさんのアプリが使えないなら機能的じゃないよね…。オプションのPlay servicesを入れたら、GrapheneOSのプライバシーメリットも減るし。
この問題は技術的なニッチなプロジェクトじゃなくて、社会や法律で解決しないとダメだよ。ロンドンのスモッグや車の死亡事故も、そうやって解決されたんだから。
もっとコメントを表示(2)
Googleが全てのアプリをチェックするより、DJIみたいな特定のアプリが何をするかをちゃんと制御する方が絶対良いって話。
Googleだって分かってるはずなのに、こういうことする理由?
絶対セキュリティ以外だよ、他の狙いがあるんだ。
面白いことに、Appleが最初からセキュリティのためにやってたことを、Googleは時間をかけて後追いしてるんだよね。
なのに、EUとか大きな団体はAppleに、そのセキュリティ規制を緩めろって圧力をかけてる。
なんか矛盾してる状況だよね。
上のコメントが言ってる正しい解決策ってのは、ランタイムをちゃんと安全にすることだよ。
MacOSやWindowsだってそれで攻撃を防いでるんだから、スマホだけ特別なんてことない。
セキュリティは絶対必須でしょ。
ロン・ワイデン上院議員とかは、Appleのやり方はむしろセキュリティに悪いって言うだろうな。
彼はAppleの隠し監視パイプラインを暴露した人だからね。
純正サービス以外使わせないのは、どこでも安全じゃないってこと。
設計に関する決定で、セキュリティと反競争的な行動のどっちも動機になり得るとき、俺がGoogleの主な動機として真っ先に疑うのは、セキュリティじゃない方だね。
「好きなようにいじれる」って自由は、ハードだけじゃなくソフトにも必要だよね。
リチャード・ストールマンが昔言った通り、ソースコードがあってプログラムを変えられなきゃ、制御されるだけ。
今はソフトに支配されてる。
普通は広告とか迷惑なだけだけど、それを操ってるのがヤバい政府だったら?
どうすればいいかはすぐには分からないけど。
もう各国はメーカー経由でこういうのを仕込んでるんだよ。
サイドローディングを禁止するのは、ハッカーがその仕込まれたヤバいプログラムを止められなくするだけだね。
アプリの中にv8とか組み込めるのに、自己書き換えがどうとか言っても意味ないだろ?
そういうのはOKなのに変なの。
違いはね、もしDJIが悪いことしてると分かれば、Playストアからアプリ消せるってこと。
もし誰もサイドロードしてなかったら、みんなインストールできなくなるし、サイドロードへの移行は面倒くさい。
でもサイドロードで入れるのが普通になると、Googleは悪質なアプリがあっても止められないし、ほとんどのユーザーはそれに気づかないだろうね。
違いは、V8はサンドボックスの中で動くってことだよ。
じゃあ「v8」を「好きな実行ファイル」に置き換えて考えてみなよ、それだって可能なんだから。
LispとかGolangとかCとかRustとかDartとか、いくらでも好きなの埋め込めるし、Cがサンドボックス化されてるなんて誰も思わないだろ。
自己変更を防ぐのは、アプリが勝手に権限を変えるのくらいだよ。
それはUIとか仕組みが複雑になるから、まあ妥当な制限だけどね。
