“与现代安全的通信系统相比,古老的公共电话网络一直像链条中最脆弱的一环。”在本周的六月安卓功能更新公告中,谷歌用这样一句话点明了困扰用户的诈骗电话难题。电话网络沿用数十年,伪造来电号码的门槛极低,不法分子轻易就能冒充银行、政府甚至亲友。为了堵上这个漏洞,谷歌给出了一项绕过运营商、直接在用户间完成验证的新工具。

这套方案的核心思路很直接:不在网络层纠缠,而是把验证移到终端之间。当你通讯录里的某个联系人打来电话时,两部手机会通过加密的富通信服务(RCS)通道静默交换凭证,以此确认对方身份的真实性。只要你手机里装了谷歌的“电话”、“信息”和“通讯录”应用,且对方同样三件套齐全,这个验证过程就会自动触发。

正方观点认为,这种设计比现行的 STIR/SHAKEN 协议更容易推广。STIR/SHAKEN 需要运营商逐级部署,跨网协同始终是个瓶颈。而谷歌的做法把复杂度压进应用层,只要能联网、RCS 可用,就能实现“人对人”的鉴权。即便诈骗分子通过改号设备让手机显示出你老妈的号码,甚至用 AI 合成你老妈的声音,也无法成功回应那段加密的验证握手。换句话说,伪造来电被抓包的概率被提到了几乎百分百。

但反方声音同样值得注意。新方案的前提是,双方都必须使用谷歌电话、信息和通讯录这一整套应用。安卓生态本就碎片化,三星、小米、OPPO 等厂商往往预装自家拨号与通讯录,不少用户根本没安装谷歌的这组套装;在部分市场,用户甚至有意避开谷歌全家桶。这样一来,能够享受保护的用户就被划进了一个“谷歌生态圈”,圈外的人要么继续裸奔,要么得付出额外的切换成本。

此外,覆盖节奏也留有缝隙。尽管谷歌明确表示功能会从 Pixel 机型率先上线,随后将扩展至所有运行安卓12及以上的设备,但具体时间表并未给出,升级推送依赖厂家配合,部分安卓12以上老机型很可能要等很久。一旦遇到双方中有一方不在圈内、或尚未收到升级的情况,验证机制就会失效,电话界面很可能退回到传统的“仅靠号码识别”的水平。

我的判断是,这是一次从“网络强推”到“软件即安全”的务实转向。以往解决电话诈骗,总希望电信运营商全网升级,周期漫长且效果受制于各国法规。谷歌把鉴权下沉到用户设备,借着每月安卓更新快速分发,只要有三件套的组合就能立刻用上,这种敏捷性是运营商方案难以比拟的。诚然,圈外用户暂时会被冷落,但考虑到换用谷歌电话和信息几乎是零成本,Pixel用户和原生安卓爱好者将成为第一批受益者,也足以带动周围人跟着安装,形成某种“滚雪球”效应。

更深一层看,这或许也是 RCS 走向实用的一条路径。RCS 曾被寄望于替代短信,却始终未能统一江山。现在谷歌让它承担来电验证的幕后角色,不抢用户注意力,只做静默的安全握手,反而可能推动更多厂商和用户开启 RCS。当使用这些应用的人越多,验证网络覆盖就越大,诈骗电话的生存空间就被挤压得越窄。谷歌明白,单靠一项功能打不赢反诈战争,但它可以用一连串小动作,把缺口一点一点地堵上。