Những gì chúng ta đang nói tới khi nói về sideloading | F-Droid

 (f-droid.org)
1 điểm bởi GN⁺ 2025-10-29 | 1 bình luận | Chia sẻ qua WhatsApp
  • Chính sách đăng ký nhà phát triển mới của Google bị chỉ trích là hạn chế quyền tự do với thiết bị và quyền lựa chọn phần mềm của người dùng Android
  • Google khẳng định rằng "sideloading sẽ không biến mất", nhưng trên thực tế cấu trúc đang bị thay đổi theo hướng mọi hình thức phân phối ứng dụng đều phải đi qua quy trình phê duyệt của Google
  • Chính sách này trên thực tế tước bỏ quyền tự do của người dùng trong việc tự cài đặt ứng dụng hoặc sử dụng các kho mã nguồn mở như F-Droid
  • Google đưa ra lý do tăng cường bảo mật, nhưng các trường hợp ứng dụng độc hại trong Play Store vẫn lặp lại, khiến tranh cãi về độ tin cậy tiếp diễn
  • Bài viết nhấn mạnh sự cần thiết của các phản ứng ở cấp độ xã hội và chính sách để bảo vệ tính mở và chủ quyền số của hệ sinh thái Android toàn cầu

Phản bác tuyên bố của Google rằng “sideloading sẽ không biến mất”

  • Google đã nói rõ qua video Android Developers Roundtable và bài đăng blog rằng "sideloading là cốt lõi của Android và sẽ không biến mất", nhưng phía F-Droid cho rằng điều này không đúng sự thật
    • sắc lệnh xác minh nhà phát triển (developer verification decree) mới trên thực tế chấm dứt quyền cài đặt tự do phần mềm mà cá nhân mong muốn
  • Bài viết giải thích rằng chính thuật ngữ “sideloading” là một khái niệm được tạo ra một cách nhân tạo, trong khi bản chất ban đầu chỉ đơn giản là hành vi ‘cài đặt (installing)’
    • Hành vi cài đặt trực tiếp mà không đi qua các chợ ứng dụng trung gian như Google Play Store hay Apple App Store đã bị bóp méo để mang sắc thái tiêu cực
  • Theo định nghĩa trên Wikipedia, sideloading là “hành vi chuyển ứng dụng từ nguồn web không được nhà cung cấp phê duyệt”, nên nếu Google yêu cầu phê duyệt mọi nguồn thì đó không còn là sideloading nữa
    • Nhà phát triển phải nộp phí đăng ký cho Google, gửi giấy tờ xác minh danh tính và thông tin khóa ký, rồi chờ Google phê duyệt

Tác động tới quyền của người dùng, nhà phát triển và quốc gia

  • Người dùng đã mua thiết bị Android với niềm tin vào lời hứa về một ‘nền tảng mở’, nhưng các bản cập nhật sắp tới sẽ áp đặt những hạn chế không thể đảo ngược
    • Cấu trúc sẽ chuyển sang mô hình nơi Google quyết định phần mềm nào có thể được tin cậy
  • Nhà phát triển sẽ không còn có thể tự do tạo ứng dụng và phân phối trực tiếp nữa, mà phải nhận được phê duyệt trước từ Google
    • Giá trị cốt lõi là tính mở của Android từng là điểm khác biệt với iPhone, nhưng nay nguyên tắc đó đang bị loại bỏ
  • Ở cấp độ quốc gia cũng tồn tại nguy cơ chủ quyền số của công dân bị đặt dưới sự phụ thuộc vào doanh nghiệp
    • Google từng có tiền lệ xóa các ứng dụng hợp pháp theo yêu cầu của các chính phủ độc đoán, nên đây là yếu tố gây bất an cho cả việc vận hành phần mềm công
  • Chính sách này không chỉ áp dụng cho Google Play Store mà còn áp dụng cho mọi thiết bị Android Certified, khiến cả người dùng các cửa hàng thay thế như F-Droid hay Epic Games Store cũng phải chịu cùng một ràng buộc

Tính hư cấu trong tuyên bố của Google về một “môi trường an toàn hơn”

  • Google biện minh cho chính sách bằng cách dẫn kết quả phân tích nội bộ rằng "mã độc được phát hiện từ các nguồn sideloading trên Internet nhiều hơn 50 lần so với Play Store"
    • Tuy nhiên, F-Droid nói rằng họ chưa từng thấy tài liệu phân tích đó và chỉ trích đây là con số không có căn cứ
  • Bài viết nhắc tới trường hợp gần đây 224 ứng dụng độc hại bị gỡ khỏi Play Store do liên quan tới một chiến dịch gian lận quảng cáo, và chỉ ra rằng Google nên tập trung cải thiện hệ thống bảo mật của chính mình thay vì đổ lỗi cho cộng đồng bên ngoài
  • Theo một báo cáo khác, các ứng dụng độc hại đã được tải xuống hơn 19 triệu lần từ Play Store đã bị phát hiện, nên việc chỉ dựa vào đánh giá của một công ty duy nhất để nhận diện mã độc là khó có thể đáng tin cậy
    • Bài viết nêu lo ngại rằng lợi ích thương mại của Google có thể được đặt cao hơn việc bảo vệ người dùng

Có thể làm gì

  • Những chỉ trích đối với sự kiểm soát chính sách quá mức của Google đã tồn tại từ lâu và gần đây còn tăng tốc hơn nữa
    • Năm 2024, Google làm suy yếu khả năng chặn quảng cáo bằng việc đưa vào Manifest v3 của Chrome,
    • Năm 2025, hãng chuyển việc phát triển Android Open Source Project (AOSP) sang chế độ không công khai để bí mật xây dựng hạ tầng xác minh lần này
  • Hệ thống xác minh nhà phát triển là mối đe dọa mang tính sống còn đối với các nền tảng phân phối phần mềm tự do như F-Droid và các đối thủ thương mại của Play Store
    • Sự phản đối từ người dùng, nhà phát triển, báo chí và các tổ chức xã hội dân sự đang lan rộng, nhưng việc nâng cao nhận thức của các nhà hoạch định chính sách vẫn còn cần thiết
  • Người tiêu dùng có thể thông qua keepandroidopen.org để gửi ý kiến tới các cơ quan đại diện và hành động nhằm duy trì một hệ sinh thái Android mở
  • Ở thời điểm hiện tại, bài viết không khuyến nghị nhà phát triển tham gia chương trình đăng ký nhà phát triển của Google
    • F-Droid tuyên bố rõ ràng rằng họ từ chối cơ chế mang tính cưỡng ép này
  • Hơn một nửa nhân loại trên toàn thế giới đang sử dụng điện thoại thông minh Android, và quyền sở hữu thiết bị thuộc về người dùng chứ không phải Google
    • Người dùng phải có quyền tự quyết định sẽ tin ai và lấy phần mềm từ đâu

Bài viết liên quan

1 bình luận

 
GN⁺ 2025-10-29
Ý kiến trên Hacker News

  • Tôi là tác giả bài viết. Tôi khá bất ngờ trước giọng điệu công kích trong nhiều bình luận và những lời buộc tội rằng bài viết thiếu thiện chí
    Việc truy nguồn gốc của từ sideload không quan trọng. Những người dùng từ này thường có ý khiến nó nghe như một hành vi kiểu hacker và bất thường
    Trên Linux, Windows và macOS, người ta không gọi là sideload mà просто gọi là install
    Tôi tin rằng mình có quyền cài bất kỳ phần mềm nào lên máy tính của mình, hay chiếc máy tính trong túi mình. Đây là niềm tin mà tôi sẽ bảo vệ đến cùng

    • Ngay trong cộng đồng này cũng có những người thích kiểm soát kiểu độc đoán. Họ tin rằng Apple hay Google Play đang bảo vệ chúng ta và cho rằng điều đó cần được bảo vệ
      Thái độ này thường lộ rõ trong các chủ đề như tính đóng của thiết bị di động. Tuy vậy, những người này chỉ là một nhóm thiểu số nhưng rất ồn ào
    • Tôi nghĩ tốt hơn là nên bỏ hẳn dự án. Trước đây tôi từng đóng góp cho một dự án về quyền riêng tư, rồi sau khi bị mắng là đang làm hại các “creator” trên YouTube, tôi mới nhận ra. Mọi người bị Google đối xử như vậy mà vẫn vui vẻ chấp nhận. Từ khi bỏ đi để giữ gìn tinh thần, tôi có nhiều thời gian hơn hẳn
    • Chẳng phải cũng có thể lập luận rằng F-Droid thực ra an toàn hơn Google Play Store sao? Google đổ lỗi cho sideloading là vấn đề malware, nhưng trên thực tế có khi chính Play Store lại phát tán nhiều ứng dụng độc hại hơn. Thậm chí một kho ứng dụng nhỏ, độc lập còn có thể được quản lý tốt hơn
    • Vấn đề đang lan rộng hơn. Giờ không chỉ phần mềm mà cả phần cứng như thiết bị tập thể dục cũng bị trói vào mô hình thuê bao. Trước đây chỉnh lực cản bằng tay cầm, giờ thì không trả 30 USD mỗi tháng là không dùng được. Còn tệ hơn cả tình trạng lỗi thời có chủ đích của cartel bóng đèn thập niên 1920. Thật u ám khi thị trường vẫn tiếp tục chống lưng cho những thứ như thế, nhưng khi cấu trúc độc quyền bị cố định thì các kiểu đó sẽ xuất hiện
    • Tôi cũng cùng quan điểm. Chỉ muốn nói rằng bạn không hề đơn độc

  • Cần nâng tầm trọng tâm tranh luận lên. Tranh cãi về sideloading chỉ là thứ yếu. Cốt lõi là quyền sở hữu thiết bị và ranh giới của giao dịch
    Ngay khi tôi mua thiết bị, giao dịch đáng ra phải kết thúc, và từ đó về sau tôi phải có quyền kiểm soát 100%. Nhà sản xuất hay bên làm hệ điều hành phải là 0%

    • Việc đầu tiên cần làm là cải cách DMCA. Hiện tại, ngay cả việc cung cấp công cụ hay thông tin giúp người dùng kiểm soát thiết bị của chính họ cũng có thể vi phạm luật liên bang
      Xem bài viết liên quan của EFF
      Những đạo luật như vậy cho phép doanh nghiệp mượn sức mạnh nhà nước để dọa người dân. Ngược lại, nếu bỏ các điều khoản đó đi thì người tiêu dùng có thể tự phát triển lockpick của mình
    • Nhưng lý tưởng này có vẻ không khả thi trong thực tế. Cuối cùng chúng ta đang tiến tới một thế giới nơi chỉ được thuê những thiết bị mà các công ty công nghệ lớn cho phép. Mọi đoạn mã chỉ nhà phát triển được cấp phép mới chạy được, mọi dữ liệu đều bị giám sát. Tôi sợ điều gì sẽ đến sau khi sự tập trung hóa hoàn toàn xảy ra
    • Chỉ khi phần mềm hoàn hảo chạy trên phần cứng thì nó mới thực sự là thiết bị của tôi. Nếu không thì rốt cuộc nó chỉ là “thiết bị của tôi nhưng cài phần mềm của họ”
    • Có thể sẽ có người hỏi “thế cập nhật thì làm sao”. Nhưng cốt lõi là quyền tự chủ: chỉ cho phép cập nhật khi người dùng muốn

  • Hành vi của các nền tảng chỉ là triệu chứng chứ không phải gốc rễ vấn đề

    1. Điện thoại của tôi là của tôi, và tôi phải có thể cài bất kỳ ứng dụng nào
    2. Các kênh đã được kiểm chứng như cửa hàng chính thức có ích cho bảo mật
      Nếu cả hai điều đều đúng thì chỉ cần hiện một hộp thoại cảnh báo “tự chịu rủi ro khi cài” khi cài từ ngoài kho chính thức là đủ. Đa số người dùng dù sao cũng chỉ dùng kho chính thức
      Nhưng Apple và Google không làm vậy vì họ thu phí cắt phần trăm từ giao dịch trong ứng dụng. Nếu bỏ thứ thuế nền tảng đó thì vấn đề sideload cũng biến mất
    • Điều quan trọng không phải là “chính thức” mà là “kênh đáng tin cậy”. F-Droid là một kênh như vậy, còn Google Play thì không. Google thậm chí còn đang tìm cách loại bỏ các kênh đáng tin như thế
    • Android đã có hộp thoại “tự chịu rủi ro khi cài”. Giờ Google đang muốn chỉ những nhà phát triển đã đăng ký mới được phép phân phối ứng dụng
    • Hộp thoại cảnh báo vốn đã tồn tại, nhưng người ta dù sao cũng bấm qua. Thực tế của kỹ thuật bảo mật là người dùng không hiểu cảnh báo. Chỉ đơn giản nói “tôi đã cảnh báo rồi nên không phải trách nhiệm của tôi” thì chẳng giúp ích gì cho việc khắc phục thiệt hại
    • Tính năng này trên Android đã tồn tại từ trước, và giờ sắp biến mất
    • Tôi cũng không tin tưởng Google Play Store

  • Việc chúng ta thậm chí còn không có quyền root là điều điên rồ. Hạn chế sideload chỉ là biểu tượng của thế giới phản địa đàng đó mà thôi

    • Tôi vẫn giữ root trên chiếc Poco F3 chạy LineageOS. Nhưng tôi lo rằng khi chứng thực phần cứng trở thành chuẩn mực thì cả tự do đó cũng sẽ biến mất. Nếu rootsideload bị chặn thì Android không còn đáng giá nữa
    • Hệ quả của kiểu kiểm soát này là Apple và Google còn quyết định cả công nghệ và dịch vụ nào sẽ được phát triển trên thị trường

  • Là người dùng iOS, tôi đã chán các chính sách khép kín của Apple nên mua thiết bị Android để làm app PoC. Đến giờ tôi vẫn cài ứng dụng trên nhiều thiết bị qua F-Droid. Nếu việc đó bị chặn thì thiết bị của tôi thành vô dụng

    • Năm nay tôi phát hiện ra SideStore trên iOS, và tính năng tự động gia hạn của nó rất tuyệt. Tôi tự làm hai ứng dụng iOS và dùng hằng ngày rất tốt. Nhờ chính sách mới của Google mà có lẽ một thời gian nữa tôi sẽ không quay lại Android

  • Nhiều bình luận cứ bám vào nghĩa của từ ngữ hơn là trọng tâm của bài

    • Tôi muốn đùa rằng nếu F-Droid chỉ đổi coined thành popularized trong bài thì HN sẽ hài lòng
    • Trên HN chuyện này xảy ra thường xuyên. Người ta bám vào một từ trong cả bài dài rồi không thấy được bức tranh lớn

  • Nếu Google thực sự đẩy chính sách này vì lý do bảo mật, thì thà họ tạo tài khoản người dùng sandbox để cài ứng dụng không chính thức trong đó còn hơn. Nhưng số người muốn thứ này quá ít nên Google sẽ không quan tâm. Những người như chúng ta thì cứ đặt mua điện thoại Trung Quốc từ nước ngoài mà dùng thôi

    • Nhưng ở những nước có quy định hạn chế nhập khẩu như Brazil, bạn không thể mang điện thoại chưa được chứng nhận vào
    • Thật ra mục tiêu của việc cấm sideload không phải bảo mật mà là chặn những ứng dụng như NewPipe hay Vanced
    • Có thể sẽ có cách lách bằng cách chạy trực tiếp ADB qua Termux để cài ứng dụng F-Droid. Nhưng Google sớm muộn cũng sẽ chặn kiểu thử này
    • Dù sao nếu lượng người dùng quá nhỏ thì các nhà phát triển cũng không có lý do để làm ứng dụng

  • Thật tiếc là chẳng ai nhắc đến Raymond Carver
    Xem tác phẩm nổi tiếng nhất của ông thì tôi thấy tình hình hệ điều hành di động hiện nay cũng u ám đến mức đó. Tôi cũng đề xuất phim Shortcuts

    • Đúng vậy, hơi lạc đề một chút nhưng Carver là một nhà văn tuyệt vời

  • Từ sideload ban đầu được tạo ra với dụng ý khiến nó nghe như một hành vi mờ ám và nguy hiểm
    Trước đây ở các dịch vụ lưu trữ file như Rapidshare hay Megaupload cũng từng có tính năng gọi là sideload, mang nghĩa chuyển file trực tiếp lên máy chủ

  • Trên macOS, khi chạy ứng dụng tải từ Internet thì chỉ hiện cảnh báo “Bạn có muốn mở ứng dụng này không?”. Nó không chặn việc cài đặt ngay từ đầu. Điện thoại cũng nên như vậy

    • Nhưng thực tế phức tạp hơn. Ví dụ nếu tôi gửi cho người khác một binary golang do tôi tự tạo thì macOS sẽ chặn chạy và báo là “ứng dụng bị hỏng”. Tôi nghĩ đây là thiết kế nhằm chặn người dùng không rành kỹ thuật
    • Bản cập nhật lần này đang đi theo hướng tước luôn quyền quyết định cài hay không của người dùng, và chỉ cho phép cài ứng dụng nếu nhà phát triển đăng ký và trả phí. Cuối cùng vẫn là ép người dùng vào hệ sinh thái khép kín
    • macOS có hiện cảnh báo nhưng người dùng vẫn có quyền lựa chọn bỏ qua và chạy tiếp. iOS thì không như vậy, và Google cũng đang muốn đi theo hướng đó
    • macOS cảnh báo mỗi khi chạy ứng dụng ngoài App Store, nhưng nếu người dùng tự build hoặc xóa cờ quarantine thì vẫn chạy được
    • Nếu cài qua trình quản lý gói như brew thì thậm chí còn không có cả cảnh báo đó