文章总结： Google于2026年5月在Android生态全面推行二进制透明（BinaryTransparency），通过建立公开、不可篡改的审计账本记录应用指纹，旨在解决数字签名无法防范供应链攻击（如构建服务器被黑、密钥泄露导致合法签名被滥用）的问题。该机制借鉴证书透明度（CT）思路，采用Merkle树技术实现高效的存在性证明，将信任基础从单纯依赖签名扩展至数学可验证的全球公示，显著提升应用分发安全性，并可能成为行业新标准。 综合评分： 86 文章分类： 移动安全,供应链安全,加密技术,应用安全,安全建设

深度拆解：Google 强推“二进制透明”，安卓 App 安全迎来史上最强“公示期”

原创

Hankzheng Hankzheng

技术修道场

2026年5月9日 08:13 广东

在小说阅读器读本章

去阅读

哈喽大家好，最近 Google 在 Android 安全圈扔下了一枚“核弹”，宣布全面推行 Binary Transparency（二进制透明性）。

作为技术人，咱们以前一直觉得只要 App 有了官方数字签名，那妥妥就是安全的。但 Google 这次直接撕开了真相：光有签名已经不够了，供应链攻击甚至能让“合法签名”变成黑客的帮凶。

今天我就带大家深度拆解一下这个所谓的“二进制透明”到底是什么黑科技，以及它又是如何改变 Android 安全底层逻辑的。

一、 信任危机：为什么数字签名不再“保险”了？

咱们先来聊个扎心的案例：DAEMON Tools 大家都用过吧？前阵子它的 Windows 安装包被投毒了。

最细思极恐的是，那个带有后门的安装包，竟然拥有 DAEMON Tools 开发者的合法数字签名！这意味着：

• 来源没问题

  签名校验确实是官方的。

• 渠道没问题

  用户是从官网下的。

• 代码却变了

  被植入了 QUIC RAT 后门。

“数字签名只能证明‘出身’（Origin），但二进制透明才能证明‘意图’（Intent）。” —— Google 官方

简单来说，签名只能证明这东西确实是 Google（或开发者）做的，但不能证明开发者“真的想发布这个特定的版本”。万一构建服务器被黑，黑客顺手用你的私钥签发了一个带后门的包，目前的校验机制是完全发现不了的。

二、 技术路径：给 App 建立“公开账本”

为了堵死这个漏洞，Google 借鉴了 Certificate Transparency (CT, 证书透明度) 的思路。其核心逻辑就是：别只看签名，得看“备案”。

1. 什么是二进制透明？

Google 建立了一个公共审计账本（Public Ledger）。这个账本是“只增不减”的（Append-only），且使用了加密技术保证不可篡改。

从 2026 年 5 月 1 日起，所有 Google 官方出品的 Android 应用（包括 Play 服务、独立 App 甚至是系统核心的 Mainline 模块），在发布时都必须在账本里留下“指纹”。

2. 从“单线校验”到“全球公示”

| 环节 | 传统模式（仅数字签名） | 新模式（二进制透明） | | — | — | — | | 验证依据 | 私钥签发的证书 | 私钥签名 + 公开账本记录 | | 防范对象 | 第三方二次打包 | 供应链投毒、内鬼、密钥泄露 | | 透明度 | 黑盒（仅手机和开发者知道） | 白盒（全球开发者和研究员可查） |

三、 重现与实现：硬核的加密验证过程

很多小伙伴可能会问：这个账本怎么保证不被 Google 自己偷着改？

这里就用到了咱们 IT 圈非常硬核的 Merkle Tree（默克尔树）。这是实现“二进制透明”的技术灵魂：

// 简化的验证逻辑示意 1. 获取 APK 的 Hash (元数据) 2. 向公共账本请求该 Hash 的 "存在性证明" (Inclusion Proof) 3. 利用 Merkle Tree 路径节点，通过少量哈希计算验证其是否属于根节点 (Root Hash) 4. 校验通过，证明此版本是官方明确意图发布的 "正版"

技术难点与解决方案：

• 海量数据查询

  为了不影响安装速度，Google 优化了验证工具，利用 Merkle Tree 的特性，即便账本有几亿条数据，验证路径也极短。

• 离线验证

  目前正在研究如何平衡实时查账与用户隐私/流量消耗。

• 不可抵赖性

  一旦记录上链，全世界的审计者（包括安全公司、研究员）都会同步这个 Root Hash。如果黑客试图针对特定用户推送一个“特供后门版”，只要这个版不在账本里，立马就会露馅。

四、 为什么 IT 从业者必须关注它？

这不仅仅是 Google 自己的事，它正在改变软件分发的权力结构：

1. 防御门槛提升

   以后黑客只黑掉签名私钥是不够的，还得黑掉全球监控的账本，这几乎不可能。

2. 工具化支持

   Google 已经放出了验证工具（Verification Tooling）。作为研究员，你可以直接通过这些工具审计设备上的软件是否真的“干净”。

3. 行业新标配

   我预测，国内的手机大厂和大型分发平台很快也会跟进类似的透明度机制。

五、 总结

说实话，这波“二进制透明”确实是把安卓的安全性拉到了一个新高度。它把“信任”建立在了数学和透明度上，而不是单纯建立在对某家公司的信任上。

在供应链攻击横行的今天，这种“公示期”制度虽然增加了发布成本，但换来的是整个生态的底座稳固。毕竟，阳光是最好的防腐剂。

你觉得这种公开账本的模式能彻底杜绝供应链攻击吗？

欢迎在评论区和我分享你的技术见解！

Google #Android #二进制透明 #供应链攻击  #全审计 #MerkleTree #数字签名 #APK验证

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：技术修道场 Hankzheng Hankzheng《深度拆解：Google 强推“二进制透明”，安卓 App 安全迎来史上最强“公示期”》