Thư ngỏ công khai gửi Google về việc bắt buộc đăng ký nhà phát triển để phân phối ứng dụng

 (keepandroidopen.org)
2 điểm bởi GN⁺ 2026-02-25 | 1 bình luận | Chia sẻ qua WhatsApp
  • 38 tổ chức xã hội dân sự, tổ chức phi lợi nhuận và công ty công nghệ trên toàn thế giới đã bày tỏ lập trường phản đối chính sách bắt buộc đăng ký nhà phát triển cho việc phân phối ứng dụng Android bên ngoài của Google
  • Họ chỉ ra rằng Android vốn đã có nhiều cơ chế bảo vệ như bảo mật ở cấp hệ điều hành, ký ứng dụng và Play Protect
  • Họ chỉ trích rằng chế độ đăng ký tập trung đe dọa đổi mới và cạnh tranh, quyền riêng tư, quyền tự do của người dùng, đồng thời tạo ra một cấu trúc cho phép Google kiểm soát mọi hoạt động phân phối ứng dụng
  • Họ cũng cảnh báo rằng chính sách này làm tăng rào cản gia nhập đối với nhà phát triển nhỏ lẻ, dự án mã nguồn mở, nhà phát triển tại các quốc gia bị trừng phạt và các nhà hoạt động nhân quyền
  • Các tổ chức ký tên yêu cầu Google rút lại chính sách, khôi phục tính mở và tính trung lập, đồng thời tham vấn minh bạch với cộng đồng

Bối cảnh phản đối chính sách

  • Google có kế hoạch trong tương lai sẽ bắt buộc mọi nhà phát triển muốn phân phối ứng dụng bên ngoài Play Store phải đăng ký tập trung
    • Quy trình đăng ký bao gồm nộp giấy tờ tùy thân, đồng ý điều khoản và thanh toán phí
  • Các tổ chức ký tên chỉ ra rằng biện pháp này mở rộng quyền gatekeeping sang cả những khu vực không liên quan đến dịch vụ của Google
    • Họ cảnh báo rằng Google sẽ có được quyền vô hiệu hóa ứng dụng trên toàn cầu một cách tùy ý

Rào cản gia nhập và cản trở đổi mới

  • Việc bắt buộc đăng ký gây bất lợi cho nhà phát triển cá nhân, nhóm nhỏ và các dự án mã nguồn mở
    • Có nhiều trường hợp khó đăng ký do thiếu nguồn lực, bị hạn chế tiếp cận hạ tầng hoặc đang sinh sống tại quốc gia bị trừng phạt
  • Nhà phát triển coi trọng quyền riêng tư, nhà hoạt động nhân quyền và các tổ chức ứng phó khẩn cấp cũng bị đặt vào tình thế rủi ro
  • Gánh nặng hành chính này có thể dẫn đến sự suy giảm đa dạng phần mềmsự tập trung hóa xoay quanh các tập đoàn lớn

Lo ngại về dữ liệu cá nhân và giám sát

  • Chế độ đăng ký của Google sẽ tạo thành cơ sở dữ liệu thông tin cá nhân của toàn bộ nhà phát triển Android
    • Có những lo ngại về cách lưu trữ, sử dụng dữ liệu thu thập được và cách phản hồi các yêu cầu từ chính phủ
  • Với những người phát triển ứng dụng bảo vệ quyền riêng tư hoặc nhạy cảm về chính trị, điều này tạo ra rủi ro bị giám sát không cần thiết

Nguy cơ thực thi tùy tiện và đình chỉ tài khoản

  • Hệ thống xét duyệt ứng dụng hiện tại của Google từ lâu đã bị chỉ trích vì các quyết định thiếu minh bạch và quy trình khiếu nại hạn chế
    • Các vấn đề được nêu ra gồm đánh giá tự động, đình chỉ mà không có lý do rõ ràng, cũng như khả năng bị chi phối bởi yếu tố chính trị hoặc cạnh tranh
  • Một cấu trúc để một công ty duy nhất kiểm soát toàn bộ quyền phân phối là điều đi ngược lại một hệ sinh thái cạnh tranh lành mạnh

Hạn chế cạnh tranh và vấn đề quản lý

  • Thông qua việc đăng ký, Google có thể nắm được mọi xu hướng phát triển ứng dụng và chiến lược của đối thủ
    • Điều này gây ra bất cân xứng thông tin trên thị trường và làm tăng nguy cơ chặn trước hoặc sao chép các sản phẩm cạnh tranh
  • Các cơ quan quản lý tại Liên minh châu Âu, Mỹ và những nơi khác đã điều tra độc quyền nền tảng và hành vi ưu ái sản phẩm của chính mình,
    và các tổ chức ký tên nhấn mạnh rằng Google phải duy trì tính mở và khả năng tương tác

Tính đầy đủ của hệ thống bảo mật hiện có

  • Android hiện đã có các tính năng bảo mật như sandboxing, hệ thống quyền, xác thực chữ ký và cảnh báo sideloading
  • Trong 17 năm qua, người dùng đã được bảo vệ nhờ hệ thống này,
    và họ lập luận rằng nếu Google thực sự lo ngại về bảo mật thì nên tập trung vào tăng cường các cơ chế hiện có

Các yêu cầu chung

  • Ngay lập tức rút lại yêu cầu bắt buộc đăng ký nhà phát triển cho phân phối bên thứ ba
  • Tiến hành tham vấn minh bạch với xã hội dân sự, nhà phát triển và cơ quan quản lý
  • Bảo đảm tính trung lập của nền tảng để tách biệt lợi ích thương mại của Google khỏi việc vận hành nền tảng
  • Kêu gọi khôi phục tính mở của Android và bảo vệ phần mềm tự do cùng chủ quyền số

Các tổ chức ký tên

  • Có 38 tổ chức tham gia, bao gồm EFF, FSF, FSFE, F-Droid, Nextcloud, Proton, Vivaldi và Tor Project
  • Họ khẳng định Google phải chấm dứt chương trình xác minh nhà phát triển,
    cùng nhau tìm kiếm sự cân bằng giữa bảo mật và tính mở

Bài viết liên quan

1 bình luận

 
GN⁺ 2026-02-25
Ý kiến trên Hacker News

  • Phần gây tranh cãi nhất của lá thư này là khẳng định “Existing Measures Are Sufficient (các biện pháp hiện tại là đủ)”
    Google trong thông báo tháng 11/2025 đã mô tả rõ các vector tấn công qua blog chính thức
    Ví dụ, tại Đông Nam Á, kẻ lừa đảo gọi điện cho nạn nhân, gieo nỗi sợ rằng “tài khoản ngân hàng đã bị hack”, rồi dụ cài một “ứng dụng xác minh” bảo mật. Thực chất ứng dụng này là phần mềm độc hại, chặn thông báo và đánh cắp mã 2FA để rút sạch tài khoản
    Google cho rằng để ngăn các cuộc tấn công như vậy thì cần xác minh danh tính nhà phát triển. Nếu không có xác minh danh tính, việc tạo ra vô hạn ứng dụng độc hại sẽ biến thành trò “đập chuột chũi” lặp đi lặp lại
    Tôi cũng thấy đăng ký bắt buộc là quá tay, nhưng thay vì phản ứng kiểu “hiện giờ vẫn ổn”, tôi nghĩ cần một phương án tốt hơn. Chẳng hạn chỉ bắt buộc đăng ký với các quyền nhạy cảm như chặn thông báo/SMS, hoặc yêu cầu chứng chỉ đắt tiền với nhà phát triển không đăng ký — những phương án dung hòa như vậy cũng khả thi

    • Tôi không hiểu vì sao cộng đồng phải phản ứng khác đi. Thế giới vốn dĩ không an toàn, và sự an toàn tuyệt đối chỉ có thể đạt được bằng cái giá là tước bỏ tự do
      Con người cũng phải có quyền tự đưa ra lựa chọn sai lầm. Việc tin cuộc gọi của kẻ lừa đảo rồi cài ứng dụng không phải là một vector tấn công mà là lựa chọn cá nhân. Lấy lý do đó để ngăn người dùng cài ứng dụng lên thiết bị của chính họ thì cũng chẳng khác gì ngân hàng nói “cấm rút tiền vì anh sẽ tiêu ở quán bar”
    • Tôi là người viết lá thư này và là người điều phối những người ký tên. Chúng tôi không nói rằng “mọi thứ vẫn ổn”, mà đang chỉ ra rằng Android vốn đã ứng phó với các mô hình đe dọa mới thông qua tăng cường bảo mật từng bước
      Ví dụ, Restricted Settings trên Android 13~14 ngăn các vụ lừa đảo dụ cài APK qua điện thoại, còn Enhanced Confirmation Mode trên Android 15 chặn ứng dụng độc hại tìm cách thao túng cài đặt hệ thống
      Những tính năng này đã phát huy hiệu quả, nên việc Google đột ngột muốn khóa toàn bộ là sự đứt gãy với định hướng trước đây. Phần mềm độc hại lúc nào cũng tồn tại, kể cả trong Play Store. Không có đủ cơ sở để biện minh cho biện pháp cực đoan hiện tại
    • Đăng ký nhà phát triển không phải là lời giải. Giấy tờ tùy thân bị đánh cắp có thể mua rất rẻ, và tội phạm có thể đưa lên hàng chục ứng dụng mới mỗi ngày
      Vấn đề thật sự là thiếu hiểu biết công nghệ, xu hướng tin người của con người, năng lực điều tra yếu, và việc một số quốc gia để mặc các tổ chức lừa đảo hoạt động
      Ứng dụng ngân hàng của tôi sẽ không chạy nếu đang trong cuộc gọi hoặc đang bị điều khiển từ xa. Nhưng trên thiết bị đã root thì không có cách nào. Cuối cùng, việc các nước chỉ đổ lỗi cho Google cũng là né tránh trách nhiệm
      Những hạn chế như thế này sẽ bị lách chỉ sau vài ngày, còn người dùng bình thường thì chỉ thêm bất tiện
    • Nếu ai đó có thể dụ một người bỏ qua cảnh báo bảo mật, thì cũng hoàn toàn có thể khiến người đó tự đọc mã 2FA cho mình hoặc dùng các chiêu phishing khác
    • Không có lời giải hoàn hảo cho vấn đề này. Nếu cho phép người dùng cài ứng dụng chưa được xác minh thì sẽ có rủi ro ứng dụng độc hại, còn nếu chặn thì tự do người dùng bị hạn chế
      Cũng có thể đặt ra quy trình “mở khóa” phức tạp, nhưng rốt cuộc điều đó cũng gần như khiến người dùng phổ thông không thể cài ứng dụng không chính thức
      Vấn đề lừa đảo thực sự nghiêm trọng, nhưng giải pháp được đề xuất có vẻ là đơn thuốc còn tệ hơn cả căn bệnh

  • Một thẩm phán đã phán với Google rằng “Apple không vi phạm chống độc quyền vì trên nền tảng của mình không có đối thủ cạnh tranh” (liên quan vụ Epic)
    Google đã nghe đúng theo nghĩa đen câu đó. Và vì thế chính sách hiện nay mới ra đời. Tôi cho rằng đây là một trong những phán quyết tệ nhất thời gian gần đây

    • Những vấn đề như vậy không nên do thẩm phán mà phải do quốc hội xử lý. Những nền tảng mà ai cũng phụ thuộc vào, như viễn thông, cần được điều tiết bằng luật
      Tôi thấy cách EU chỉ định Apple và Google là nền tảng cổng vào tốt hơn nhiều. Quốc hội Mỹ đang không xây dựng được khung pháp lý cho một cách tiếp cận hiện đại
    • Tôi nhớ là vài ngày trước bạn cũng đã viết đúng bình luận này rồi. Liên kết bình luận trước
    • Bạn có thể giải thích cụ thể đang nói đến phán quyết nào không? Tôi muốn biết kết luận đó được đưa ra như thế nào

  • Vấn đề của đăng ký nhà phát triển là nó trao cho Google và chính phủ quyền kiểm duyệt ứng dụng
    Nếu chính phủ yêu cầu “cấm ứng dụng VPN”, Google có thể dùng điều kiện đăng ký để chặn

    • Chẳng phải họ đã có quyền đó rồi sao?
    • Còn nghiêm trọng hơn thế. Nếu chỉ còn được cài qua con đường chính thức, Google sẽ có thể theo dõi ai đang dùng ứng dụng nào
      Ví dụ, những người cài ứng dụng theo dõi ICE có thể bị báo cáo cho chính phủ và bị đưa vào danh sách khủng bố

  • Chế độ đăng ký chỉ tạo thêm chi phí ma sát cho hàng nghìn nhà phát triển hợp pháp, còn kẻ xấu vẫn sẽ quay lại bằng công ty bình phong hoặc ID bị đánh cắp
    Xác minh danh tính và ngăn chặn tội phạm là hai việc khác nhau

    • Thực ra ma sát này không phải vì “an toàn” mà là thiết kế có chủ đích. Google muốn đẩy các nhà phát triển nhỏ lẻ ra ngoài
      Họ đã buộc nhà phát triển cá nhân phải lộ tên thật trên Play Store, hạ xếp hạng hiển thị ứng dụng, và hiện cảnh báo kiểu “ứng dụng này có ít lượt cài đặt”
      Cuối cùng đây là chiến lược nhằm tạo ra hệ sinh thái xoay quanh ứng dụng của các công ty lớn. Họ muốn giảm gánh nặng bảo trì và tăng doanh thu
    • Tất nhiên cũng không thể nói ma sát này hoàn toàn vô dụng. Việc tạo hàng nghìn tài khoản bằng ID bị đánh cắp là khó, còn tạo biến thể ứng dụng độc hại thì dễ hơn nhiều
      Tôi không biết sự cân bằng đó có đáng hay không, nhưng cũng khó nói nó hoàn toàn vô nghĩa
    • Google thậm chí còn không lọc nổi ứng dụng độc hại trên Play Store. Vẫn đầy rẫy ứng dụng giả mạo và spam

  • Tôi muốn nói với Google thế này: hãy dọn sạch malware trên Play Store trước rồi hẵng bàn đến sideloading

  • Nếu cấm cài đặt ngoài Play Store thì đó sẽ là thảm họa với power user
    Tôi đã từ bỏ root, nhưng vẫn giải quyết việc chặn quảng cáo các kiểu bằng APK. Nếu những ứng dụng này bị chặn thì chẳng còn lý do gì để dùng Android nữa

  • Danh sách người ký lần này trông giống như danh sách các tổ chức mà Google muốn xóa sổ

    • Chính xác là vậy. Google không quan tâm đến xã hội dân sự, họ chỉ quan tâm đến việc củng cố quyền lực của chính mình
      Tôi hy vọng động thái này sẽ khiến mọi người bắt đầu tìm kiếm các lựa chọn thay thế Google

  • Nếu cả Android và iOS đều trở thành hệ đóng, tôi sẽ chọn iOS mỗi lần
    Lý do tôi dùng Android là vì tính mở. Nếu điều đó biến mất, tôi sẽ chọn UX mượt mà và hệ sinh thái của Apple

    • Tôi đã bị buộc phải dùng iOS được 1 năm rồi mà vẫn chưa cảm nhận được cái UX mượt mà hay hệ sinh thái mạnh mẽ đó

  • Nói thật thì câu “tác động bất cân xứng lên các cộng đồng bị thiệt thòi” theo tôi áp dụng cho người cao tuổi ở các nước đang phát triển còn đúng hơn là với hacker
    Họ thường bị lừa bởi các ứng dụng lừa đảo và mất tài sản

  • “Don’t be evil” giờ đã thành “đừng làm điều xấu trừ khi đã đăng ký ID chính phủ
    Google từng dùng tính mở của Android để tự vệ trước các vụ kiện chống độc quyền tại tòa, nhưng giờ lại tự tay đóng cánh cửa đó
    Họ nêu an ninh làm lý do, nhưng vấn đề họ thực sự muốn giải quyết không phải là “nhà phát triển không kiểm soát được” mà là “nhà phát triển không thể kiếm tiền từ họ