Việc hạn chế sideloading trên Android là động thái phản người tiêu dùng nhất

 (makeuseof.com)
8 điểm bởi GN⁺ 2025-10-14 | 5 bình luận | Chia sẻ qua WhatsApp
  • Google đưa ra các hạn chế mới đối với ứng dụng sideloadbắt buộc xác minh danh tính nhà phát triển
  • Các hạn chế này bắt đầu có hiệu lực từ tháng 10/2025 và đến tháng 9/2026 sẽ được áp dụng bắt buộc trước tiên ở một số quốc gia nhất định
  • Theo quy định mới, nếu không trải qua xác minh danh tính nhà phát triển (dựa trên giấy tờ tùy thân do chính phủ cấp) thì sẽ không thể cài ứng dụng trên các thiết bị có GMS (bao gồm Play Store)
  • Các ứng dụng được phân phối ngoài cửa hàng chính thức như F-Droid cùng với nhà phát triển cá nhân và indie được dự báo sẽ chịu ảnh hưởng nghiêm trọng, và truyền thống phân phối ẩn danh, tự do có nguy cơ biến mất
  • Google nói đây là “biện pháp tăng cường bảo mật”, nhưng nó chồng chéo với các cơ chế an toàn đã có như Play Protect, và hiệu quả cải thiện bảo mật trên thực tế vẫn chưa rõ ràng
  • Động thái này mang tính phản người tiêu dùng khi làm suy yếu tính mở và đổi mới của Android đồng thời hạn chế quyền tự chủ trong quyết định của người dùng, và có thể báo hiệu sự kết thúc của hệ sinh thái phân phối ứng dụng độc lập, tự do

Tổng quan

  • Android hấp dẫn lớn nhờ là một nền tảng mở, cho phép nhiều ứng dụng mã nguồn mởsideload tự do
  • Tuy nhiên, từ tháng 10/2025 Google sẽ áp dụng chính sách sideloading mới và bắt buộc xác thực danh tính nhà phát triển, qua đó tăng quyền kiểm soát đối với việc người dùng có thể cài ứng dụng của ai
    • Trên mọi thiết bị có GMS có thể truy cập Play Store, nhà phát triển phải trải qua quy trình xác minh danh tính dựa trên giấy tờ do chính phủ cấp hoặc thông tin liên hệ
    • Ứng dụng không được xác minh sẽ bị chặn cài đặt hoàn toàn; chỉ custom ROM hoặc thiết bị de-Googled là gần như nằm ngoài phạm vi ảnh hưởng
  • Trên thực tế, việc áp dụng bắt buộc sẽ bắt đầu từ tháng 9/2026 ở một số quốc gia nhất định, và dự kiến triển khai toàn cầu vào năm 2027
  • Nhiều người dùng lâu nay đã cài các ứng dụng không có trên Play Store như NewPipe, Blokada từ các kho ứng dụng bên thứ ba như F-Droid
  • Nhưng sắp tới, ứng dụng của các nhà phát triển không vượt qua xác minh danh tính có nguy cơ không thể cài đặt trên phần lớn thiết bị tích hợp Google Mobile Services (GMS)

Điều Google thực sự thay đổi: quy tắc, lộ trình và ý nghĩa của “xác minh”

  • Google giải thích thay đổi lần này bằng khẩu hiệu "nhà phát triển đã được xác minh (verified)"
    • Điều này được ví như kiểm tra giấy tờ tại sân bay: để ứng dụng được cài lên thiết bị, nhà phát triển phải hoàn tất xác minh danh tính bằng giấy tờ chính thức hoặc thông tin liên hệ
    • Bắt đầu triển khai theo từng giai đoạn từ tháng 10/2025
    • Áp dụng bắt buộc tại một số quốc gia từ tháng 9/2026
    • Mở rộng ra toàn cầu trong năm 2027
  • Ứng dụng của nhà phát triển chưa được xác minh được dự báo sẽ bị chặn trên gần như mọi thiết bị phổ biến
    • Ngoại lệ là một số rất ít thiết bị như custom ROM hoặc thiết bị de-Googled không vượt qua bài kiểm tra chứng nhận của Google
  • Google không cấm hoàn toàn sideloading, nhưng đang đưa vào một điểm kiểm soát tập trung do Google quản lý, qua đó vạch lại ranh giới tham gia trong hệ sinh thái Android
  • Kết quả là cánh cửa dành cho nhà phát triển ẩn danh/bút danh hoặc mô hình phân phối mã nguồn mở tự do bị thu hẹp đáng kể

Lý do tăng cường bảo mật, nhưng hiệu quả thực tế ra sao?

  • Google cho rằng các hạn chế mới nhằm bảo vệ người dùng khỏi ứng dụng độc hại hoặc thiệt hại do danh tính giả gây ra
    • Trên thực tế Android đã có sẵn các hệ thống bảo mật như Google Play Protect
    • Google Play Protect có khả năng quét tự động và phát hiện rủi ro đối với cả ứng dụng sideload
  • Vì vậy, việc xác minh danh tính mang lại thêm bao nhiêu lợi ích bảo mật vẫn là điều đáng nghi ngờ
  • Xác minh danh tính không đồng nghĩa với an toàn cho người dùng, và trước đây cũng từng có trường hợp mã độc được phát tán qua các ứng dụng đã được xác minh trên Play Store
  • Với chính sách này, thay vì dựa vào cảnh báo bảo mật trên thiết bị và phán đoán chủ động của người dùng, nền tảng niềm tin lại được chuyển sang quy trình xác minh của Google
  • Quy định này xâm phạm tính tự chủ và quyền lựa chọn của người dùng, và có thể bị xem là nỗ lực của Google nhằm né tránh chỉ trích liên quan đến sideloading

Dự kiến sẽ phát sinh thiệt hại phụ

  • Các hệ sinh thái APK phân phối tự do dựa vào tính mở sẽ chịu tác động nặng nề nhất
    • F-Droid đang lưu trữ rất nhiều ứng dụng không có trên Play Store
    • Nhiều công cụ trong số này tồn tại chính vì chúng cần hoạt động ngoài tầm kiểm soát của Google
    • Dù là ứng dụng an toàn, chúng vẫn có thể trở nên không dùng được trên các thiết bị phổ biến
  • Nhà phát triển indie và nhà phát triển làm vì sở thích cũng đối mặt rủi ro
    • Một số ứng dụng không đủ giá trị để biện minh cho thời gian, công sức và sự đánh đổi quyền riêng tư cần thiết cho việc xác minh danh tính
    • Các dự án dùng một lần và ứng dụng cho cộng đồng nhỏ có thể thuộc nhóm này
    • Cuối cùng, nếu hệ sinh thái thu hẹp thì mọi người dùng đều chịu thiệt
  • Đổi mới có thể là nạn nhân lớn nhất
    • Điểm mạnh của Android nằm ở tính linh hoạt và là một hệ sinh thái dành cho tất cả mọi người
    • Việc áp đặt một người gác cổng tập trung duy nhất sẽ kìm hãm đổi mới từ cơ sở
    • Không phải ai cũng có ý chí hoặc khả năng để tham gia, và điều này tất yếu sẽ ảnh hưởng đến tốc độ cũng như phạm vi đổi mới có thể thấy trên Android

Thực tế mới mà người dùng Android sẽ phải đối mặt

  • Google nói đây là biện pháp vì bảo mật, nhưng với người dùng thực tế, nó có thể được cảm nhận như mất quyền tự chủkhó sử dụng hơn
  • Các nhà phát triển indie và nhóm người dùng nhỏ thường xuyên dùng ứng dụng ngoài cửa hàng chính thức sẽ bị ảnh hưởng nặng
  • Dù vẫn có cách lách như dùng thiết bị chưa được chứng nhận, sao lưu APK trực tiếp, hoặc tìm kho ứng dụng thay thế, chúng đều đi kèm độ khó kỹ thuật hoặc rủi ro bảo mật
  • Việc suy giảm tính mở của Android là điều rõ ràng, và ngày càng có nhiều lo ngại rằng một ngày nào đó nó có thể chuyển hẳn sang hệ sinh thái khép kín

Bài viết liên quan

5 bình luận

 
ndrgrd 2025-10-14

Thế thì thà cứ bắt Google luôn bật một trình ghi màn hình giám sát mọi lúc trên tất cả thiết bị Android đi. Như vậy thì mọi "mối đe dọa bảo mật" sẽ biến mất.
 
unsure4000 2025-10-14

Đúng là họ có thể làm vậy thật, kiểu như Windows vậy ấy ha ha ha
 
ndrgrd 2025-10-14

Ít ra còn có thể tắt nó, đúng là một tình huống vô lý đến mức Windows còn tốt hơn.
 
GN⁺ 2025-10-14
Ý kiến Hacker News
  • Lý do lớn nhất khiến tôi chọn Android là vì có thể cài những ứng dụng tôi muốn từ ngoài Play Store; hầu như mọi người xung quanh tôi đều dùng iPhone, nhưng nếu sự tự do này biến mất thì chắc tôi sẽ đổi sang iPhone để dùng iMessage và FaceTime
    • Đây là thời điểm điểm khác biệt riêng của Android biến mất; về sau có lẽ sẽ có thay đổi lớn khi người rành công nghệ khuyên người không chuyên mua điện thoại, dạo này mọi thứ đã trở nên quá tầm thường. Có vẻ Google giờ không còn trông cậy vào vai trò truyền miệng của giới “mọt” nữa; khi thị trường bão hòa thì họ không còn quan tâm đến những người dùng đầu tiên. Youtube cũng tương tự; trước đây nhờ chặn quảng cáo mà được marketing tự nhiên, nhưng giờ thị trường bão hòa nên họ đang chọn cách đẩy những người dùng đó ra ngoài
    • Tôi cũng đồng cảm với sức hấp dẫn của vendor lock-in trước ý kiến nói sẽ đổi sang iPhone để dùng iMessage và FaceTime
    • Tôi muốn khuyên bạn thử xem UbuntuTouch, nó rất mới mẻ và cộng đồng phát triển cũng rất năng động, không nhất thiết cứ phải chọn bên nào đỡ tệ hơn giữa hai bên
    • Có vẻ game changer lớn cuối cùng còn lại lúc này chỉ là Firefox hay các trình duyệt thay thế
    • Chính tôi cũng đã đổi sang iPhone vì tin này, sideloading là sức hút cốt lõi của Android
  • Quy định chống độc quyền là cực kỳ cần thiết trong lĩnh vực này; việc tôi phải xin phép nhà sản xuất chỉ để tự cài phần mềm lên phần cứng mà mình đã mua thật sự rất kỳ quặc, mà cũng chẳng có lựa chọn thay thế nào đủ để thoát khỏi hệ sinh thái Apple hay Google. Không nên cho phép hai công ty này kiểm soát nền tảng di động quá mức như vậy
    • Dù nhà sản xuất có khóa kiểu gì thì cũng phải bắt buộc cung cấp cách để người dùng tự mình vượt qua một cách vô điều kiện; tôi hiểu cần có bảo mật, nhưng trên thiết bị của tôi thì tôi phải có quyền tự tắt bảo mật. Có phải bấm nhiều lần và hiện cảnh báo cũng không sao. Về mặt kỹ thuật, trên Android hiện vẫn có thể cài bất kỳ ứng dụng nào nếu dùng công cụ gỡ lỗi; tôi vẫn chưa chắc đây đã là lúc nên vạch ra ranh giới
    • Vấn đề đặc biệt nghiêm trọng vì nếu không tham gia cấu trúc độc quyền này thì gần như không thể sống thường nhật: làm ngân hàng, dùng dịch vụ chính phủ, giao tiếp cơ bản, v.v.
    • Độc quyền đang cản trở đổi mới ở Mỹ, và không thể cứ mãi ăn theo thành công đó
    • Phần cứng thì chẳng phải không cần xin phép sao? Cứ tự cài OS là được
  • Điều mỉa mai là ngay trong Play Store cũng đầy spyware và malware theo thời gian thực, núp dưới những cái tên trông như ứng dụng chính thức (“Gallery”, “Messages”, “Text Messages”); tôi thậm chí còn dùng cả các kênh nội bộ của Google để báo vấn đề nhưng thực tế chẳng có gì thay đổi. Vấn đề không phải là sideloading mà là chính Google. Đây là hành vi rất thù địch với cả người dùng thiết bị lẫn nhà phát triển. Có cảm giác chúng ta đang bước vào thời kỳ các cơ quan tình báo hay chính phủ kiểm soát thiết bị theo cách thù địch, ví dụ yêu cầu mobile id hoặc triển khai quét phía client. Họ sẽ tận dụng chuỗi Play Integrity để áp yêu cầu xác thực ngày càng nặng, nhất là với người dùng trẻ tuổi. Có thể tham khảo cộng đồng Magisk trên Reddit và các ứng dụng của họ về chuyện này. Trong cộng đồng root/bên thứ ba đã xuất hiện đủ loại vấn đề khi chạy ứng dụng. Một số app thậm chí từ chối chạy chỉ vì có ứng dụng SuperSU (thậm chí còn không sandbox)
    • Chuyện này xảy ra vì họ thực sự tin rằng đó là tài sản của họ; những người như RMS (Richard Stallman) đã dự đoán tương lai này từ rất lâu, nhưng giờ lời tiên đoán đó đã thành hiện thực, và đã quá muộn
  • Tôi nghĩ thay vì dùng từ "sideloading" thì nên gọi là "cài đặt phần mềm tự do"; từ "sideloading" tạo cảm giác như một mẹo lách luật hay hành vi hack, nhưng việc cài phần mềm tự do lên thiết bị của chính tôi là chuyện vốn dĩ luôn bình thường với máy tính. Giờ đây nó không còn chỉ là một 'điện thoại' nữa mà là một máy tính có hình dạng điện thoại, và là chiếc máy tính mà chúng ta đã bỏ tiền mua; chúng ta phải được tự cài thứ mình muốn
    • Ở một luồng khác có người đề xuất thuật ngữ "direct install", và tôi thấy thích cách gọi đó
    • Tôi tò mò từ "sideloading" được dùng từ khi nào; ngay trong Android, khi mở file APK thì nó chỉ hiện là "cài đặt", không thấy từ "sideloading"
    • Mọi chuyện đã nghiêm trọng tới mức chỉ dùng từ “cài đặt” thôi là chưa đủ; giờ mặc định người ta coi việc ai đó kiểm soát hoàn toàn thứ bạn có thể cài là điều hiển nhiên
    • Từ “side” trong “sideloading” chỉ đơn giản có nghĩa là không đi qua app store chính thức; nó không mang sắc thái tiêu cực, trừ khi là từ như ‘backloading’, nên tôi nghĩ tranh cãi về thuật ngữ là một vấn đề không đáng kể
    • Ngược lại, kiểu cài ứng dụng do hãng OS điện thoại đút cho mới đáng bị gọi tên theo hướng tiêu cực; đem ra chế giễu bằng kiểu như “Lameloading” nghe cũng vui
  • Trước đây tôi từng đơn giản thêm tính năng mình muốn vào một ứng dụng mã nguồn mở rồi tự test ngay trên điện thoại. Phát triển Android chỉ có đúng lần đó là lần đầu cũng như lần cuối tôi làm, và chỉ mất vài tiếng. Tôi chẳng cần bất kỳ chứng nhận nhà phát triển Android chính thức nào. Với thay đổi này thì chẳng phải sau này sẽ không còn làm vậy được nữa sao? Ngay cả thứ tôi làm chỉ để tự mình dùng, muốn cài lên điện thoại của chính mình cũng bắt buộc phải đăng ký chương trình chính thức à? Tôi cứ tưởng ngay cả Apple cũng không làm đến mức đó
  • Nếu tập trung vào điểm Google đã quảng bá một cách gây hiểu lầm rằng có thể tự do cài phần mềm, và nhờ đó loại bỏ các lựa chọn mở cạnh tranh, thì tôi nghĩ có đủ cơ sở pháp lý để gây áp lực lên Google
    • Tôi tò mò không biết nước nào lại yêu cầu điều đó; ở Mỹ, không có nghĩa vụ phải vĩnh viễn tuân thủ mọi nội dung từng quảng cáo trước đây. Kể cả nếu công ty quảng cáo sai về tính năng sản phẩm thì cũng không có nghĩa vụ pháp lý phải sửa tính năng cho giống hệt quảng cáo; biện pháp khắc phục thường là sửa quảng cáo hoặc hoàn tiền thiết bị. Một tính năng từng có vài năm trước rồi về sau bị bỏ đi cũng hoàn toàn không phải là bất hợp pháp
    • Tôi biết đang lặp lại cùng một lập luận, nhưng nếu xem xét kỹ thì nó không đứng vững; tôi đã trả lời ở đây rồi. Kết luận rốt cuộc chỉ là luật hiện hành của Mỹ không có cơ sở để xử lý Google theo cách này, nên cần luật mới. Nhưng có vẻ nhiều người nghĩ điều đó cũng sẽ áp dụng tương tự cho Apple và đồng nghĩa với “tận thế”. Hình hài thực tế của giải pháp có lẽ sẽ là một thứ như đạo luật lưỡng đảng ‘App Store Freedom Act’, xem liên kết: https://www.congress.gov/bill/119th-congress/house-bill/3209/text. (Dù vậy, có lẽ dự luật này rồi cũng sẽ chết hoặc bị gắn vô số ngoại lệ do vận động hành lang của Apple/Google)
    • Đây là tuyên bố bị phóng đại quá mức; trong quảng cáo thực tế không có thông điệp rõ ràng đến vậy. Và quảng cáo cũng không phải thứ phải giữ suốt đời; ví dụ Red Lobster không còn làm ‘càng cua ăn không giới hạn’ nữa thì cũng không phải chịu trách nhiệm mãi mãi
    • EU có thể chặn Google ngay cả khi không có cơ sở pháp lý; thực ra tôi nghĩ EU còn thích các chính sách kiểu này vì chúng có lợi cho việc triển khai một hệ thống giám sát tổng thể
  • Nếu chuyện này không thay đổi, thì đến lúc nào đó tôi sẽ theo đuổi lối sống chỉ mang theo laptop, điện thoại phổ thông và hotspot; khi cần Internet thì chuẩn bị trước khi đi, còn nếu không chuẩn bị kịp thì hoặc tìm cách khác hoặc khỏi làm luôn. Thật ra tôi cũng không hiểu vì sao mình chưa sống như vậy ngay từ bây giờ; nghe khá thú vị
  • Tôi hy vọng F-Droid, FSF hoặc một tổ chức tương tự sẽ chính thức nêu vấn đề này ở Mỹ hay châu Âu; nếu có một chiến dịch gây quỹ cho mục đích đó, tôi sẵn sàng ủng hộ
  • Từng có malware được “thẩm định” nhiều lần ở mức kỷ lục rồi vẫn xuất hiện trên Play Store, nhưng tôi cho rằng “lập luận này yếu”; việc nói rằng kiểm duyệt mãi vẫn có vấn đề nên “đừng kiểm duyệt nữa” là một lập luận mỏng. Những lập luận phản đối tốt hơn đã có ở các bình luận khác (‘thiết bị của tôi, luật của tôi’, v.v.), còn lập luận này thì không thuyết phục
  • Khi mua Android hay iPhone thì gần như không còn quyền kiểm soát ngay cả phần cứng cốt lõi; tôi muốn biết thực tế còn lựa chọn thay thế nào khả thi. Tôi có pinephone, và có vẻ việc phát triển phần cứng gần như đã chững lại; tôi cũng biết librem. Ngoài ra còn lựa chọn nào trên thị trường đáng dùng không?
    • Tôi đặt kỳ vọng vào điện thoại nền Linux; nó vẫn chưa hoàn thiện, nhưng đến lúc Android cũng khóa cứng như iOS thì có thể sẽ trở thành lựa chọn thực tế. Vấn đề là ứng dụng ngân hàng các thứ, nhưng nếu dùng một chiếc iPhone cũ ở lock-down mode thì có lẽ vẫn ổn ngay cả sau EoL nữa
 
cuj1559 2025-10-14

"Một xã hội đánh đổi tự do để lấy một chút an toàn thì không xứng đáng có được cả an toàn lẫn tự do." - Benjamin Franklin.

Dĩ nhiên, trong trường hợp này thì đó là hành động độc đoán của một doanh nghiệp.