Google siết hạn chế sideloading trên Android

Thực ra, nếu chỉ cần đưa vào một "hệ thống người ký đáng tin cậy" và mở nó cho các tổ chức chứng thực bên thứ ba như DigiCert, thì ít nhất cũng có thể xác minh được đó có phải là APK đáng tin hay không. Vấn đề là Google đã thiết kế nó theo kiểu giao việc này cho Play Store. Nhưng nếu hỏi Google Play Store có chặn ứng dụng độc hại tốt không thì cũng khó nói, còn những ứng dụng trái với chính sách của Google Play thì.......

Bản thân bài viết này có vẻ đáng ngờ về mặt dụng ý, nhưng đúng là khi dùng thực tế thì nó đang ngày càng trở nên phiền phức hơn.
Tôi thấy giờ trên thiết bị Galaxy họ còn làm cho cả các tính năng như chặn ứng dụng bị nghi là độc hại cũng không thể tắt đi được nữa. Dù vẫn có cách lách, nhưng họ đang ngày càng bổ sung thêm những kiểu hạn chế như vậy.
Với người dùng phổ thông, đây có thể là một tính năng tốt vì họ hầu như không dùng sideloading và có thể ngăn việc chạy mã độc, nhưng ít nhất cũng nên cho phép tắt nó đi chứ?

Tôi đã muốn Pixel được phân phối chính thức, nhưng nếu Google cũng làm điều tương tự thì...

Ý kiến trên Hacker News

• Có ý kiến cho rằng việc đăng bài blog vào thời điểm này là cực kỳ kỳ lạ, đặt câu hỏi liệu đây có phải là bài đã chuẩn bị từ vài tháng trước nhưng đến giờ mới công bố hay không, đồng thời chia sẻ rằng chương trình thử nghiệm này đã được công bố ở Singapore từ 1 năm 4 tháng trước, đối tượng áp dụng chỉ giới hạn tại Singapore và với các ứng dụng cần quyền cụ thể (ví dụ: RECEIVE_SMS, READ_SMS, BIND_NOTIFICATIONS, quyền trợ năng), và chỉ áp dụng với các ứng dụng được tải trực tiếp bên ngoài app store; cài bằng F-Droid hay adb thì có vẻ vẫn ổn, có thể thử vượt qua bằng cách tắt Play Protect nhưng bản thân người viết cũng không rõ điều đó hiện còn áp dụng được ở Singapore hay không, đáng chú ý là Google còn chặn việc tắt Play Protect khi đang trong cuộc gọi và đây được khen là quyết định hợp lý, đồng thời trích dẫn thông báo từ cảnh sát Singapore cho biết cách tiếp cận này không mang lại hiệu quả thực tế rõ rệt, vì nạn nhân được hướng dẫn tắt Google Play Protect trước khi cài file APK và thậm chí cài cả ứng dụng VPN để kẻ lừa đảo vượt qua công nghệ phòng vệ của ngân hàng, kèm liên kết minh họa (https://police.gov.sg/media-room/news/…)

  • Đề cập dữ liệu cho thấy người Singapore đặc biệt dễ trở thành nạn nhân lừa đảo, năm ngoái đã có hàng chục nghìn người bị hại với tổng thiệt hại 1,1 tỷ đô la Singapore, tăng 70% so với năm trước, đồng thời chia sẻ kinh nghiệm rằng theo thống kê của Global Anti-Scam Alliance thì con số thực còn có thể cao hơn mức được báo cáo, và giải thích Singapore trở thành mục tiêu vì sự giàu có, mức độ số hóa và văn hóa tuân thủ quy định (https://archive.is/fCmW1)

  • Có ý kiến cho rằng không rõ vì sao bài trên blog Purism lại xuất hiện lúc này, và xem đó chỉ là FUD mang mục đích marketing, nhắc trực tiếp đến Librem 5 và Liberty Phones dựa trên PureOS rồi đặt câu hỏi liệu chúng có chạy được APK hay không, bổ sung rằng chỉ Sailfish mới cung cấp kiểu khả năng đó nhưng là ngoại lệ do vấn đề giấy phép, đồng thời thừa nhận Purism đầu tư nhiều vào phát triển Linux cảm ứng như Phosh nhưng nhấn mạnh môi trường Linux cảm ứng nói chung vẫn còn rất nghèo nàn, và cho rằng bài viết đang cố mô tả các lựa chọn mainstream theo hướng tiêu cực để quảng bá sản phẩm của mình dù thực tế họ không chịu tác động trực tiếp

  • Có ý kiến cho rằng cần phân biệt mốc thời gian trước và sau khi Google nhận phán quyết bất lợi trong vụ kiện liên quan đến App Store, nhấn mạnh sự khó khăn trong việc cân bằng giữa bảo vệ người dùng và duy trì quyền tự do, đồng thời nhắc đến hiện tượng người dùng dần trở nên chai lì với các cảnh báo bảo mật rồi cuối cùng bỏ qua chúng, cho rằng Play Store cũng không thể xem là hoàn toàn an toàn, thậm chí dữ liệu GPS công khai của người dùng Android còn cho thấy hành vi độc hại từ các ứng dụng chính thức, và kết luận rằng một giải pháp thay thế là để bên thứ ba thông minh, đáng tin cậy nắm quyền quản trị thiết bị nhằm bảo vệ nhóm người dùng dễ tổn thương

• Có ý kiến rằng bài này gần như là quảng cáo cho Purism hơn là có nội dung thực chất

  • Có người nói rằng ngay khi nhận ra đó là quảng cáo thì toàn bộ nội dung trở nên vô nghĩa, và yêu cầu một liên kết tốt hơn

  • Dựa vào số lượng upvote, có người cho rằng rất nhiều người đang lo ngại về hướng đi của Android và quan tâm đến các giải pháp thay thế

• Đặt câu hỏi liệu đây chẳng phải là chuyện từ năm 2024 sao (https://techcrunch.com/2024/02/…)

• Về chương trình thử nghiệm lần đầu được triển khai ở Singapore, có giải thích rằng việc chặn chỉ áp dụng khi cài ứng dụng yêu cầu các quyền cụ thể (SMS, trợ năng) thông qua web browser/messenger/trình quản lý tệp; do có khá nhiều điều kiện chi tiết nên người dùng nâng cao có lẽ vẫn cài được ứng dụng mình muốn, và đây được xem là biện pháp nhằm khiến người dùng phổ thông khó sideload các ứng dụng SMS/trợ năng nguy hiểm hơn, nhấn mạnh rằng biện pháp này đang được triển khai để ngăn lừa đảo và malware với sự hợp tác của Cơ quan An ninh mạng Singapore, đồng thời giải thích vì sao nó chỉ áp dụng tại Singapore

  • Chỉ ra rằng các ràng buộc như vậy thực tế có thể mang tính phản cạnh tranh trên thị trường đại chúng, vì dù một thiểu số rành kỹ thuật vẫn cài được, đa số sẽ chỉ ở trong “hàng rào” do Google kiểm soát, và Google hay Apple còn dùng cả ngôn ngữ gây sợ hãi với người dùng về ứng dụng bên thứ ba để dựng thêm rào cản tâm lý; đây được gọi là kiểu “điều khiển tư duy” cần bị loại bỏ bằng quy định

  • Nhấn mạnh rằng việc “chỉ giới hạn ở Singapore” không hẳn là lý do đủ để yên tâm, và vì browser/trình quản lý tệp là những phương tiện chuyển file rất bình thường nên điều kiện đó cũng không tạo nhiều niềm tin

  • Có phân tích rằng chừng nào chưa chặn cả ADB thì cách gọi “chặn sideloading” là chưa thật chính xác, và cuối cùng việc cân bằng giữa bảo vệ người dùng khỏi malware với đảm bảo quyền cài ứng dụng mong muốn vẫn là điều bắt buộc

  • Chia sẻ ký ức từng phải tích hợp SingPass (hệ thống định danh số quốc gia) khi làm việc với khách hàng ở Singapore, dù giờ không còn là khách hàng nữa nhưng đâu đó trong codebase vẫn còn dấu vết

  • Cho rằng có thể thêm khu vực áp dụng bất cứ lúc nào nên không nên chủ quan vì hiện mới giới hạn ở Singapore, và đề xuất rằng tốt hơn là Google nên đi theo hướng cấp “quyền giả” cho ứng dụng, nếu không thì tội phạm vẫn sẽ tìm cách lách bằng con đường khác

• Nhắc đến ý kiến được bàn nhiều trong phần bình luận rằng “vấn đề sideloading có thể giải quyết bằng cách cài GrapheneOS”, rồi chỉ ra rằng đây là câu trả lời xa rời đa số người dùng phổ thông; người dùng HN có thể làm cả hardware debugging nhưng người bình thường thì không thể xử lý các thiết lập cấp hệ thống như vậy

  • Chia sẻ trải nghiệm từng bối rối trong các diễn đàn Linux vì những câu trả lời xem CLI phức tạp là điều hiển nhiên, và chỉ ra rằng với người mới chỉ muốn giải pháp ngắn gọn, dễ dùng thì góc nhìn thiên lệch của giới chuyên gia có thể cản trở chính việc phổ biến và mở rộng công nghệ

  • Chẩn đoán rằng đa số mọi người không thực sự hiểu “trải nghiệm trung bình” là gì, và trong các cộng đồng chuyên gia thì sự méo mó về góc nhìn này còn lớn hơn nữa, dẫn đến những ý kiến rất xa thực tế của đại đa số người dùng

  • Phân tích rằng người bình thường nhìn chung không sideload, và thường chỉ cài một ứng dụng khi cần rồi tiếp tục dùng lặp đi lặp lại chính ứng dụng đó

  • Chỉ ra hiện tượng người dùng phổ thông không thể phân biệt tính xác thực của các ứng dụng sideload yêu cầu quyền SMS hoặc trợ năng, và nhấn mạnh rằng mục tiêu cốt lõi của việc chặn các tính năng như vậy là “ngăn người thường dùng sai”

  • Lo ngại rằng khi Google tiếp tục bổ sung DRM và API, việc cài cả GrapheneOS rồi cũng sẽ không còn là phương án thực tế, và đến lúc đó muốn dùng hệ điều hành thay thế thì có thể phải rời bỏ toàn bộ hệ sinh thái Android

• Có người thừa nhận trước đây mình theo quan điểm “điện thoại là của tôi nên tôi muốn làm gì cũng được”, nhưng đã bị sốc khi biết DJI drone và Air Units buộc người dùng phải sideload ứng dụng, đồng thời giới thiệu rằng lý do DJI không thể đưa ứng dụng lên Play Store là vì ứng dụng có thể tự sửa đổi mã của chính nó, và cảnh báo rằng nếu xảy ra xung đột chính trị thì malware do nhà nước kiểm soát có thể tùy ý điều khiển drone của mình, nhấn mạnh rằng hàng triệu người đã cài ứng dụng mà không thực sự nhận thức được vấn đề

  • Lập luận rằng cách giải quyết cho kiểu vấn đề này không phải là Google giả vờ quét malware, mà là phải có công cụ kiểm soát mạnh hơn đối với các quyền năng/chức năng mà ứng dụng DJI thực sự có thể thực hiện; theo góc nhìn này, động cơ chính của Google trên thực tế không phải là “bảo mật” mà là mở rộng quyền kiểm soát

  • Từ bối cảnh đó, có người tin rằng quyền tự do “muốn làm gì thì làm” thật sự cũng phải áp dụng cho phần mềm, đánh giá rằng tư tưởng của Richard Stallman từ năm 1988 về “tự do nhận mã nguồn và tự sửa đổi” đến nay vẫn còn nguyên giá trị, than thở rằng thực tế đang đi theo hướng phần mềm kiểm soát người dùng thay vì ngược lại, và cho rằng nếu chính phủ quốc gia chi phối mã phần mềm thì rủi ro sẽ còn nghiêm trọng hơn nhiều so với chuyện xâm phạm quyền lợi người tiêu dùng

  • Có phân tích rằng thực ra chính phủ các nước đã đưa kiểu chức năng này vào sẵn thông qua OEM, và việc chặn sideloading chỉ giúp hacker dễ ngăn người dùng vô hiệu hóa những malware cài sẵn đó hơn mà thôi

  • Nêu ví dụ rằng việc ứng dụng tự sửa đổi mã không hẳn có nhiều ý nghĩa, vì chỉ cần nhúng V8 engine vào ứng dụng là đã có thể thay đổi mã theo nhiều cách, thế nhưng Google lại không xem đó là vấn đề, tạo nên một sự mỉa mai

  • Có người thắc mắc vì sao bình luận gốc bày tỏ sự cảnh giác với rủi ro từ ứng dụng drone DJI lại bị downvote, lấy ví dụ gần đây phát hiện kill switch thực tế trong các tấm pin mặt trời sản xuất tại Trung Quốc để lập luận rằng các công ty Trung Quốc có quan hệ gần gũi với chính quyền có thể nhúng các chức năng đáng ngờ vào phần cứng/phần mềm của họ (https://reuters.com/sustainability/climate-energy/…, https://rickscott.senate.gov/2025/6/…)

• Có ý kiến cho rằng cài GrapheneOS có thể giải quyết giới hạn sideloading, nhưng hiện Google ngày càng đẩy mạnh xu hướng dùng Play Integrity API để giới hạn bản thân chức năng ứng dụng chỉ cho bản cài từ Play Store; ngay cả khi dùng Play Store trên GrapheneOS với bootloader đã khóa thì Google vẫn chặn dùng hardware attestation API nên các tính năng như ứng dụng ngân hàng, Google Wallet bị vô hiệu hóa, từ đó chỉ trích Google chấp nhận các vendor tệ hại làm chậm cập nhật bảo mật nhưng lại loại trừ một hệ điều hành mã nguồn mở có độ an toàn rất cao, và cho rằng việc làm chung với Singapore Cyber Security Agency chỉ là một kiểu tạo chính danh, đồng thời đặt câu hỏi vì sao các ứng dụng như Facebook/Instagram cũng không bị đưa vào diện chặn (https://localmess.github.io, https://grapheneos.social/@GrapheneOS/112878070618462132)

  • Cho rằng trong khi Google dung túng các thực hành bảo mật lỏng lẻo từ bên khác thì mục tiêu thật sự không phải là an toàn mà là quyền kiểm soát

  • Nói rằng vấn đề lớn nhất của GrapheneOS là số lượng thiết bị được hỗ trợ quá ít, và cần một giải pháp thay thế không bị khóa vào phần cứng cụ thể nhưng vẫn giữ được mức an toàn tương đối

  • Android key attestation API vẫn được hỗ trợ trên GrapheneOS và nhà phát triển có thể tích hợp (https://grapheneos.org/articles/attestation-compatibility-guide)

  • Có nhắc rằng câu trả lời trực tiếp cho lập luận “cài GrapheneOS là xong” đã được giới thiệu rồi, nên chỉ đưa thêm liên kết tham khảo (https://news.ycombinator.com/item?id=32496220)

• Bày tỏ lo ngại rằng biện pháp này sẽ giáng đòn nghiêm trọng vào cộng đồng người khiếm thị; ở những nước Android phổ biến và iPhone đắt đỏ, screen reader Commentary (Jieshuo) là lựa chọn tốt hơn TalkBack nhưng lại không có trên Play Store vì là ứng dụng do một nhà phát triển cá nhân ở Trung Quốc làm ra, các ứng dụng kiểu này cần quyền rất rộng để đọc toàn màn hình và điều khiển UI hệ thống, nên nếu quyền truy cập vào các ứng dụng nhạy cảm bị chặn thì bản thân mục đích làm screen reader cũng mất ý nghĩa, đồng thời phê phán rằng nhân viên Google có thể xem nhẹ vấn đề chỉ vì thống kê Webaim cho thấy mức sử dụng thấp, trong khi Webaim chủ yếu lấy mẫu từ nhóm nói tiếng Anh thu nhập cao nên không đại diện cho hành vi sử dụng toàn cầu (https://webaim.org/projects/screenreadersurvey10/)

• Có ý kiến cho rằng chủ đích thiết kế này ngược lại là hợp lý và đúng lẽ thường, vì dù malware vẫn có thể được cài qua ADB nhưng rào cản gia tăng sẽ tạo hiệu ứng “gờ giảm tốc” đối với người dùng phổ thông, và người này nói rằng mình chưa thấy ứng dụng sideload nào điển hình bị đối xử bất công

  • Có nhắc đến sự tồn tại của các app store thay thế tiêu biểu (ví dụ: Epic v. Google), đồng thời gợi lại rằng Android từng nhấn mạnh tính mở và quyền lựa chọn của người dùng, từ đó phê phán cách dựa vào ADB thậm chí còn hạn chế tự do hơn cả phương án sideloading của Apple; Apple đã bị chỉ trích vì chuyện đó và đây cũng là một vấn đề tương tự

• Giải thích vì sao về bản chất việc chặn các quyền liên quan dữ liệu cá nhân (SMS, trợ năng...) lại quan trọng: chỉ riêng quyền SMS đã đủ để đánh cắp toàn bộ thông tin đăng nhập dịch vụ như OTP, còn quyền trợ năng có thể thao tác các chức năng chí mạng như ứng dụng ngân hàng; ở Singapore, việc mua bán thông tin định danh nghiêm trọng đến mức có cảnh báo rằng “nếu người lạ đề nghị mua số điện thoại hay dữ liệu định danh của bạn, bạn có thể bị phạt tù 5 năm”, và điều tương tự cũng áp dụng với tài khoản ngân hàng, thẻ tín dụng..., cuối cùng nhấn mạnh rằng vì thông tin định danh bị lạm dụng trong tội phạm luôn gắn với cá nhân nên việc tiếp tay cũng bị xử phạt nặng hơn