Google công bố quy trình 24 giờ mới để sideload các ứng dụng Android chưa được xác minh

• Google dự kiến triển khai chương trình xác minh nhà phát triển từ tháng 9/2026, qua đó hạn chế việc cài đặt các ứng dụng chưa được chứng thực
• Người dùng thành thạo vẫn có thể bỏ qua bước xác minh để cài ứng dụng, nhưng chỉ được áp dụng đầy đủ sau khi đi qua thiết lập ẩn và thời gian chờ 24 giờ
• Google giải thích độ trễ này là biện pháp nhằm ngăn chặn các cuộc tấn công social engineering, được thiết kế để người dùng không cài nhầm ứng dụng độc hại một cách bốc đồng
• Thay đổi lần này nhằm cân bằng giữa việc tăng cường bảo mật cho hệ sinh thái Android và quyền lựa chọn của người dùng, và dự kiến mở rộng ra toàn cầu vào năm 2027

Thay đổi trong chính sách sideload trên Android

• Google đang thúc đẩy một thay đổi quy mô lớn từ năm 2026 nhằm ngăn chặn sự lây lan của mã độc trên toàn bộ Android
  • Từ tháng 9, chỉ các nhà phát triển đã được chứng thực mới có thể phân phối ứng dụng thông qua chương trình xác minh nhà phát triển
  • Việc xác minh yêu cầu xác thực danh tính, nộp khóa ký và lệ phí 25 USD
• Ứng dụng từ các nhà phát triển chưa được xác minh sẽ mặc định không thể cài đặt
  • Tuy vậy, vẫn có thể cài đặt ngoại lệ thông qua “advanced flow”

Cách hoạt động của Advanced Flow

• Tính năng này được ẩn sâu trong menu cài đặt nhà phát triển
  • Người dùng phải vào About Phone và chạm vào số bản dựng 7 lần để kích hoạt tùy chọn nhà phát triển
  • Sau đó cần tìm mục “Allow Unverified Packages”, bật công tắc, rồi nhập PIN và khởi động lại thiết bị
  • Sau 24 giờ chờ, người dùng quay lại menu cài đặt để chọn cho phép tạm thời (7 ngày) hoặc cho phép vô thời hạn
• Độ trễ 24 giờ là thiết kế bảo mật nhằm ngăn các hành vi cài đặt bốc đồng
  • Google cho biết khoảng thời gian này giúp chặn các vụ lừa đảo social engineering
  • Ví dụ, nó làm giảm hiệu quả của tình huống kẻ tấn công ép người dùng phải “cài ứng dụng ngay lập tức”

Cân bằng giữa bảo mật và quyền lựa chọn của người dùng

• Google nhấn mạnh rằng với hơn 300 triệu thiết bị đang hoạt động, họ phải đồng thời duy trì tính mở và độ an toàn của nền tảng
  • Quan điểm của hãng là “nếu nền tảng không an toàn thì cả người dùng lẫn nhà phát triển đều chịu thiệt”
• Quy trình xác minh nhằm xác thực danh tính chứ không phải kiểm duyệt nội dung ứng dụng
  • Người dùng có thể xác nhận ứng dụng không đến từ kẻ phát tán mã độc hoặc kẻ mạo danh
  • Google định nghĩa mã độc là “ứng dụng gây hại cho thiết bị hoặc dữ liệu cá nhân mà không phù hợp với ý định của người dùng”
• Google cho biết các công cụ root cho mục đích cá nhân hay ứng dụng chặn quảng cáo không bị xem là vấn đề trong khâu xác minh

Lo ngại về quyền riêng tư và pháp lý

• Một số nhà vận động quyền riêng tư lo ngại cơ sở dữ liệu xác minh có thể tạo ra rủi ro pháp lý cho các nhà phát triển độc lập
  • Google cho biết họ sẽ bảo vệ dữ liệu người dùng trước các lệnh tư pháp không chính đáng
  • Công ty cũng nói rằng không có kế hoạch lưu giữ vĩnh viễn thông tin định danh của nhà phát triển
• Cũng có lo ngại rằng các nhà phát triển ở những quốc gia bị trừng phạt (như Cuba, Iran...) có thể không được xác minh do vấn đề lệ phí
  • Google giải thích quy trình xác minh có thể khác nhau theo từng quốc gia và không nhằm mục đích loại trừ khu vực cụ thể nào

Lộ trình triển khai theo từng giai đoạn

• Bắt đầu từ tháng 9/2026, chính sách sẽ được triển khai trước tại Brazil, Singapore, Indonesia và Thái Lan
  • Đây là những khu vực có tỷ lệ lừa đảo mạo danh và phishing tương đối cao
• Sau đó sẽ mở rộng ra toàn cầu trong năm 2027
• Google đã tích hợp tính năng xác minh vào Android 16.1 (ra mắt năm 2025),
  và dự kiến cung cấp cùng một giao diện người dùng và màn hình cảnh báo trên mọi thiết bị được hỗ trợ
• Google nhấn mạnh rằng nếu cài ứng dụng ngoài Play thì nguy cơ nhiễm mã độc cao hơn 50 lần
  • Việc áp dụng xác minh danh tính nhà phát triển trên Play Store vào năm 2023 đã đặt nền móng cho chính sách này
  • Tại một số quốc gia, hiện có áp lực từ cơ quan quản lý nhằm giải quyết các vấn đề bảo mật