- Sau khi việc tải tệp lên trong Nextcloud cho Android bị hạn chế, vào ngày 15 tháng 5 Google đã đề xuất khôi phục quyền tải lên toàn bộ tệp, và Nextcloud đang chuẩn bị bản phát hành thử nghiệm cùng bản cập nhật khắc phục
- Bản phân phối trên Google Play Store bị chặn quyền đọc/ghi mọi loại tệp, khiến chỉ có thể tải lên một số nội dung đa phương tiện như ảnh và video
- Theo Nextcloud, quyền này đã được cấp từ năm 2011 và tính năng đã được cung cấp từ năm 2016, nhưng cùng với việc bản cập nhật ứng dụng bị từ chối vào tháng 9 năm 2024, họ bị yêu cầu sử dụng SAF·MediaStore API
- Nextcloud cho rằng SAF được dùng để chia sẻ/phơi bày tệp giữa các ứng dụng và MediaStore API chỉ xử lý tệp đa phương tiện, nên khó có thể thay thế đồng bộ hóa toàn bộ tệp
- Khoảng 1 triệu người dùng Google Play Store bị ảnh hưởng, trong khi bản phân phối trên F-Droid cung cấp phiên bản mới vẫn giữ nguyên quyền, cho thấy vấn đề tập trung vào chính sách phân phối của Google Play Store
Đề xuất khôi phục quyền ngày 15 tháng 5
- Sáng ngày 15 tháng 5, Google đã liên hệ với Nextcloud và đề xuất khôi phục quyền để có thể trả lại tính năng đã biến mất cho người dùng
- Nextcloud hiện đang chuẩn bị bản phát hành thử nghiệm trước, và nếu không có vấn đề gì thì bản cập nhật cuối cùng khôi phục toàn bộ chức năng có thể được phát hành sớm nhất vào đầu tuần sau
- Thông báo về bản cập nhật này đã được bổ sung vào lúc 14:50 CET ngày 15 tháng 5
Tác động của việc hạn chế tải tệp lên trên Android
- Trong vài tháng qua, việc tải tệp lên của người dùng Android trên Nextcloud đã không hoạt động như mong đợi
- Các tệp có thể tải lên bị giới hạn ở một số tệp đa phương tiện như ảnh và video
- Không thể tải lên các loại tệp khác, khiến mục đích đồng bộ tệp của ứng dụng Nextcloud Files bị lung lay đáng kể
- Khiếu nại của người dùng đã xuất hiện trên nhiều kênh như diễn đàn trợ giúp Nextcloud, GitHub, Reddit và diễn đàn ComputerBase
Quá trình thay đổi quyền trên Google Play Store
- Quyền đọc/ghi mọi loại tệp của ứng dụng Nextcloud Files đã được cấp từ năm 2011
- Đến tháng 9 năm 2024, bản cập nhật ứng dụng Nextcloud cho Android đột ngột bị từ chối
- Google yêu cầu либо gỡ quyền truy cập mọi tệp, либо sử dụng phương án thay thế thân thiện hơn với quyền riêng tư là Storage Access Framework (SAF) hoặc MediaStore API
- Nextcloud đánh giá rằng hai phương án thay thế này không thể thay thế chức năng tải lên toàn bộ tệp
- SAF được dùng để chia sẻ hoặc phơi bày tệp Nextcloud cho các ứng dụng khác, nên họ cho rằng đây là yêu cầu xuất phát từ việc hiểu sai quy trình làm việc của ứng dụng
- MediaStore API chỉ có thể truy cập tệp đa phương tiện nên không thể xử lý các loại tệp khác
- Nextcloud cho biết từ giữa năm 2024 họ đã nhiều lần phản đối và chia sẻ thêm bối cảnh, nhưng Google không chấp nhận khôi phục quyền
- Vì họ vẫn phải cung cấp bản cập nhật sửa lỗi cho người dùng và khách hàng, Nextcloud đã phát hành bản cập nhật với chức năng tải lên bị giới hạn để phù hợp với yêu cầu mới của Google
Khác biệt giữa F-Droid và Google Play Store
- Bản thân ứng dụng Android vẫn tiếp tục hoạt động với quyền đó
- Nextcloud đã phát hành phiên bản mới trên cửa hàng ứng dụng bên thứ ba F-Droid
- Việc giới hạn tính năng là vấn đề liên quan đến bản phân phối trên Google Play Store
- Nextcloud cho rằng người dùng am hiểu kỹ thuật có thể dùng các cửa hàng ứng dụng thay thế như F-Droid, nhưng với khoảng 1 triệu người dùng cửa hàng ứng dụng thì đây khó là một lựa chọn thực tế
Chỉ trích của Nextcloud đối với Google
- Google viện dẫn lo ngại về bảo mật làm lý do thu hồi quyền
- Nextcloud cho biết họ đã cung cấp tính năng này từ khi bắt đầu vào năm 2016 và trong thời gian đó chưa từng nghe Google nêu lo ngại bảo mật nào
- Theo quan điểm của Nextcloud, nhiều ứng dụng Big Tech và cả các ứng dụng của chính Google vẫn tiếp tục có tính năng tương ứng
- Họ chỉ trích rằng Google, với tư cách chủ sở hữu nền tảng, có thể ưu ái chính mình và thực tế đang làm như vậy
- Nextcloud xem đây không phải là một chi tiết kỹ thuật nhỏ, mà là một ví dụ về gatekeeping làm suy yếu chức năng của sản phẩm cạnh tranh từ các nhà cung cấp phần mềm nhỏ hơn
Vấn đề rộng hơn về chính sách cạnh tranh
- Nextcloud nhắc lại trường hợp trước đây khi Microsoft chặn một số chức năng của Windows để làm xấu đi trải nghiệm dùng WordPerfect, và cho rằng hiện nay Google đang dùng các quy tắc nhân danh bảo mật để khiến việc xây dựng sản phẩm cạnh tranh trở nên khó khăn hơn
- Họ cho rằng các công ty nhỏ phải chịu chi phí pháp lý quá lớn và ngay cả khi khiếu nại lên EU thì cũng mất rất nhiều thời gian, nên gần như không có biện pháp cứu trợ thực chất
- Nextcloud cho biết vào năm 2021 họ đã cùng khoảng 40 công ty và tổ chức khác nộp đơn khiếu nại về các hành vi phản cạnh tranh tương tự, nhưng đến 4 năm sau vẫn không có gì xảy ra
- Digital Markets Act của EU bắt đầu được áp dụng từ tháng 5 năm 2023, nhưng các khoản phạt đầu tiên đối với Meta và Apple chỉ được công bố vào tháng 4 năm 2025
- Nextcloud chỉ trích rằng các khoản phạt lần lượt 200 triệu euro và 500 triệu euro đối với Meta và Apple là thấp so với mức chế tài có thể lên tới 10% doanh thu thường niên toàn cầu, và với các công ty Big Tech thì chỉ như một cú gõ nhẹ vào cổ tay
4 bình luận
Suy cho cùng, quyền là thứ để người dùng tự quyết định cho phép, vậy mà đã áp dụng hệ thống quyền rồi lại chặn luôn những quyền cần thiết thì đúng là haha..
Ý kiến trên Hacker News
Có thể hiểu nỗi khổ từ phía Nextcloud. Nhóm Everfind (tìm kiếm hợp nhất trên Drive, OneDrive, Dropbox, v.v.) cũng đã phải vật lộn suốt một năm qua để xin phạm vi drive.readonly nhằm tải tệp xuống, chạy OCR rồi tạo chỉ mục tìm kiếm toàn văn cho người dùng
Google cứ yêu cầu họ xoay xở với drive.file + drive.metadata.readonly, nhưng tổ hợp này phá vỡ việc phát hiện liên tục và làm kết quả tìm kiếm cho tài liệu mới hoặc tài liệu đã cập nhật trở nên tệ đi đáng kể. Tóm lại, luận điệu “quyền tối thiểu” của Google nghe có vẻ hợp lý, nhưng trên thực tế lại trao quyền truy cập đặc quyền cho các ứng dụng bên thứ nhất của Big Tech, còn các nhà cung cấp độc lập thì bị buộc phải tung ra sản phẩm chỉ hoạt động nửa vời hoặc bị đẩy khỏi Play Store. Cuối cùng, người dùng mất tính năng và lựa chọn, còn các nhà phát triển nhỏ thì đốt thời gian vào cuộc chiến bất tận với các bot chính sách sao chép-dán
Tôi từng làm PM ở Google Workspace vài năm; chuyện này ít ác ý hơn vẻ bề ngoài. Các quyết định được tối ưu cho doanh thu, và những tính năng khác, đặc biệt là tính năng cho khách hàng doanh nghiệp, được ưu tiên cao hơn nhiều. Từ khoảng năm 2012, gần như mọi công ty đều tập trung vào doanh thu doanh nghiệp, và mức độ hài lòng của người dùng cuối đã phải trả giá
Là nhà phát triển nền tảng AOSP, và các ý kiến liên quan đến hệ thống tệp là quan điểm cá nhân, không đại diện cho Google
Tôi không dùng Nextcloud và cũng chưa xem cụ thể ứng dụng đó, nhưng nhìn từ góc độ tương đối biết chuyện nội bộ thì với use case này, SAF có vẻ có thể hoạt động như những người khác đã nói. Google Drive không có quyền mà Nextcloud tuyên bố là Google ưu ái cấp cho, và cũng được phân phối qua Play Store giống như ứng dụng Nextcloud. Những quyền như MANAGE_EXTERNAL_STORAGE trước đây đã bị lạm dụng rộng rãi, đôi khi theo những cách khủng khiếp
Theo trích đoạn ở [1], mọi thao tác I/O tệp của SAF đều dùng lời gọi IPC nên mất khoảng 20–30ms; khi có nhiều thao tác tệp kiểu kiểm tra xem trên đĩa có nhiều tệp không và nếu không có thì tạo, nó chậm đến mức ngay cả ví dụ của Google cũng phải dùng mẹo để tăng tốc. Trong ví dụ ở [3], SAF mất 15 giây, còn
lsnative mất 6 mili giây, mà chỉ có 128 tệp[1] https://github.com/K1rakishou/Fuck-Storage-Access-Framework#...
[2] https://www.reddit.com/r/androiddev/comments/ga5u72/saf_is_s...
[3] https://issuetracker.google.com/issues/73044953#comment5
[4] https://magicbox.imejl.sk/forums/topic/storage-access-framew...
[5] https://issuetracker.google.com/issues/130261278#comment52
Lượng dữ liệu có thể lấy khỏi thiết bị bằng những quyền như vậy có khả năng là cực lớn, và đây không đơn giản là chuyện “bảo vệ người dùng khỏi chính họ”. Tôi không nghĩ mình sẽ cảm thấy an toàn khi bật quyền này cho bất kỳ ứng dụng nào; tính năng đồng bộ toàn bộ dữ liệu thiết bị thì hữu ích, nhưng với Google, đây là tình huống làm cũng bị chửi mà không làm cũng bị chửi
Về thực chất, chúng gần giống ransomware mà mọi người “tự nguyện” cài để vay các khoản vay săn mồi, nhưng nhiều khi họ không biết cách nó thực sự hoạt động. Nếu không trả được tiền, nó không chỉ khóa điện thoại, mà còn dùng dữ liệu lấy ra từ điện thoại để đe dọa gửi ảnh khỏa thân cho người quen, hoặc thậm chí dọa giết người thân mà nó nhận diện được từ dữ liệu — https://www.welivesecurity.com/en/eset-research/beware-preda...
Nếu kế hoạch là loại bỏ hoàn toàn theo từng giai đoạn, thì giải pháp thay thế phải đủ tốt, nhưng nhìn một số bình luận con thì có vẻ không phải vậy. Tôi chưa từng phát triển Android và vì những chuyện như thế này có lẽ cũng sẽ không làm trong tương lai nên khó đánh giá chính xác, nhưng tôi hiểu rằng ứng dụng Google Drive gần giống một UI trên dịch vụ lưu trữ đám mây, còn những phần thú vị như Backup thì không được xử lý thông qua ứng dụng đó. Google Drive được ưu ái ở phần này, và để bắt chước các chức năng như vậy thì cần thêm quyền
[0]: https://support.google.com/googleone/answer/9149304?hl=en&co...
Ứng dụng SyncThing Android chính thức cũng ngừng phân phối vì lý do này. Có bản fork, nhưng theo tôi biết thì không có trên Play Store
Thay vào đó, bạn nhận được một URL
content://, và để biến nó thành file descriptor thì cần một bridge Java/Kotlin. Công việc đó phải được làm trong chính SyncThing. Tuy nhiên syncthing-fork có vẻ đã làm cho nó chạy được bằng cách nào đó, nên cũng có thể có mẹo khác. Nhưng theo tôi biết, vấn đề này có lẽ không áp dụng cho ứng dụng NextCloudDù vậy, việc client chính thức đột ngột biến mất cũng hơi bất ngờ
Nói rằng “không thể dùng SAF vì SAF dùng để chia sẻ/phơi bày tệp của chúng ta cho ứng dụng khác” là không đúng. Có thể dùng SAF
Có những lý do khiến nó không thật phù hợp với NextCloud. Ví dụ, không thể chia sẻ toàn bộ bộ nhớ trong, thư mục Downloads, hay thư mục gốc của thẻ SD. Dù vậy, bản thân cách giải thích của NextCloud vẫn khó thuyết phục
https://developer.android.com/training/data-storage/shared/d...
Nội dung này cũng đã được thảo luận hôm qua: https://news.ycombinator.com/item?id=43970959
Ví dụ, tôi thắc mắc liệu có đúng là trong các sản phẩm của Google không có cái nào dùng cùng quyền mà NextCloud yêu cầu, mà thay vào đó dùng SAF, đặc biệt là cả trong các tính năng thực hiện việc NextCloud đang làm ở đây. Tôi muốn biết chắc Google có tự tuân thủ y hệt các quy tắc mà họ áp dụng cho NextCloud và các nhà phát triển ứng dụng khác hay không
Đây là hành vi độc quyền. Nếu Google từ chối đầu tư để đảm đương công tác thẩm định cần thiết nhằm cho phép các công ty khác vận hành theo đúng cùng cách với Google, thì Google không đủ tư cách quản lý sân chơi đó
Nếu việc giám sát tốn chi phí, họ có thể thu một khoản phí danh nghĩa từ các công ty để theo dõi gánh nặng đó. Chặn những bên tham gia khác không phải là phản ứng phù hợp
Google đã liên hệ với Nextcloud và đề nghị khôi phục quyền. Tôi tò mò quyết định này là vì lập luận kỹ thuật, hay vì phiên tòa chống độc quyền và tin tức báo chí đã là yếu tố thuyết phục
Đây chính là lý do EU có Digital Markets Act, và cũng là lý do đạo luật đó cần có năng lực cưỡng chế thực chất
Nếu Google chặn quyền truy cập toàn bộ tệp của Nextcloud trên Android trong khi âm thầm cho phép ứng dụng của chính mình và các ông lớn khác, thì đó không phải là “bảo mật” mà là kiểm soát. Nextcloud là một lựa chọn thay thế do châu Âu phát triển, ưu tiên quyền riêng tư, dựa trên tiêu chuẩn mở và hoàn toàn có thể đáp ứng các yêu cầu GDPR. Chặn chức năng cốt lõi rồi ưu ái dịch vụ của chính mình là ví dụ kinh điển về lạm dụng quyền lực nền tảng. Android lẽ ra phải là mở, nhưng những động thái như thế này cho thấy ít nhất phiên bản có Play Services lại là một khu vườn có tường rào khác. Nếu EU nghiêm túc về chủ quyền số và cạnh tranh công bằng, họ phải ngăn các hành vi như vậy. Nếu không, công nghệ châu Âu dù tuân thủ, cởi mở và thân thiện với người dùng đến đâu cũng không có cơ hội thắng
Chức năng “chỉ đồng bộ một thư mục” có thể làm bằng SAF mà không cần quyền rủi ro cao. Việc di chuyển hồ sơ hiện có có thể phiền phức vì khi chuyển sang API mới, người dùng phải cấp lại quyền thư mục. Việc đồng bộ toàn bộ bộ nhớ ảo, thư mục Downloads, hoặc các thư mục bổ sung bị nhà cung cấp như Samsung đưa vào danh sách đen là không thể với API mới, nhưng ngay cả dịch vụ của chính Google cũng không làm được. DMA chỉ yêu cầu Google không được ở vị thế đặc biệt, và chừng nào Google không cung cấp tính năng đó thì cũng không cần cung cấp cho NextCloud
Trong một bài gửi khác đã có những người như vậy rồi
Người dùng di động hằng ngày phải đối mặt với popup, mã độc và chiếm quyền DNS. Nếu không như vậy, di động đã không phải là chuyến tàu vàng chở doanh thu nhấp chuột về cho nhà quảng cáo
Nếu không có việc thực thi như vậy, các trò chơi độc hại và ứng dụng như Facebook đã có thể vin vào cớ “cần quyền truy cập toàn bộ” để tải ảnh lên và quét vị trí EXIF. Và trong thảo luận trước đó cũng đã xác nhận rằng có API bảo vệ quyền riêng tư tốt hơn, chỉ là Nextcloud không muốn dùng nó
Google có lịch sử tạo API chỉ dành cho bên thứ nhất để tạo lợi thế cho ứng dụng Android của chính mình
Năm 2014, Google tách ứng dụng Drive thành nhiều ứng dụng Android riêng như Docs, Sheets, v.v. Vì việc bắt người dùng cài và chuyển sang ứng dụng mới là một gánh nặng, họ thiết kế một hộp thoại cài đặt một cú nhấp mà Drive có thể dùng thay cho chuyển hướng Play Store thông thường. Rất gọn gàng. Vào khoảng thời gian đó, công ty nơi tôi làm việc là đối thủ lớn của Drive, và khi muốn tách một số tính năng cốt lõi thành ứng dụng độc lập, chúng tôi cũng muốn dùng một luồng tương tự vì những lý do tương tự, nhưng không được. Google giấu API đó sau kiểm tra chữ ký ứng dụng, thậm chí không phải quyền, để chỉ ứng dụng do Google ký mới dùng được. Đó là độc quyền được hard-code, không có yêu cầu quyền hay khả năng khiếu nại. Có lý do chính đáng rằng tính năng như vậy có thể nguy hiểm và cần giảm thiểu lạm dụng, nhưng Google thường xuyên vượt qua ranh giới giữa giảm thiểu lạm dụng và hành vi phản cạnh tranh
Khẩu hiệu cũ của Google “Don’t be evil” từng là cốt lõi trong bộ quy tắc ứng xử doanh nghiệp nhấn mạnh các thực hành kinh doanh có đạo đức và minh bạch
Kể từ khi khẩu hiệu đó bị loại bỏ vào năm 2015, chúng ta đã rơi vào tay Google. Giờ Google đã trở nên giống Microsoft, và đó cũng là lý do Nextcloud được tạo ra
Theo tôi đọc thì API mới có vẻ là một bước đi đúng hướng. Nhưng dù thế nào, Google thực chất đang yêu cầu để sao lưu/đồng bộ của Nextcloud âm thầm bị hỏng cho đến khi người dùng cấp quyền
Nhiều người dùng rất có thể sẽ không nhận ra cho tới khi phát hiện mất dữ liệu, và tôi nghĩ điều đó sẽ gây tổn hại đáng kể đến niềm tin và thương hiệu. Trong trường hợp hậu quả gần như hoàn toàn bị đẩy sang người dùng như thế này, tôi cho rằng việc Google yêu cầu như vậy là không công bằng
Phần tóm tắt AI có vẻ kỳ lạ. Đây là lần đầu tôi thấy lỗi gắn
음vào cuối mọi câu.Trường hợp như thế này thì tôi cũng mới thấy lần đầu. Bảo là hãy kết thúc bằng dạng danh từ... thì chỉ mỗi cái đó là làm đúng thôi haha