Xác minh nhà phát triển Android: Bắt đầu mở rộng áp dụng cho mọi nhà phát triển

 (android-developers.googleblog.com)
4 điểm bởi GN⁺ 21 ngày trước | 1 bình luận | Chia sẻ qua WhatsApp
  • Google mở rộng chương trình xác minh nhà phát triển Android cho tất cả nhà phát triển, đồng thời tăng cường cả tính mở lẫn mức độ an toàn của nền tảng
  • Do tỷ lệ mã độc ở các ứng dụng sideload cao gấp 90 lần so với Google Play, Google đưa vào quy trình xác minh bổ sung nhằm chặn các tác nhân độc hại ẩn danh
  • Việc xác minh có thể thực hiện trên Play Console hoặc Android Developer Console và cần hoàn tất trước khi các thay đổi phía người dùng được triển khai vào cuối năm nay
  • Từ tháng 9/2026 sẽ áp dụng trước tại Brazil, Indonesia, Singapore và Thái Lan, sau đó mở rộng ra toàn cầu vào năm 2027
  • Đây là một bước tăng cường bảo mật trọng yếu của hệ sinh thái Android nhằm ngăn chặn phát tán mã độc và củng cố niềm tin của người dùng

Tổng quan về chương trình xác minh nhà phát triển Android

  • Để đồng thời tăng cường tính mở và độ an toàn của nền tảng Android, Google mở rộng Developer Verification cho tất cả nhà phát triển
  • Theo phân tích của Google, tỷ lệ mã độc trong các ứng dụng sideload cao gấp 90 lần so với Google Play, vì vậy Google đưa vào quy trình xác minh như một lớp bảo mật bổ sung để ngăn chặn các tác nhân độc hại ẩn danh
  • Sau nhiều tháng hợp tác với cộng đồng, Google đã cải thiện thiết kế và điều chỉnh để duy trì sự cân bằng giữa tính mở và bảo mật, có tính đến nhiều cách sử dụng Android khác nhau

Bắt đầu quy trình xác minh

  • Mọi nhà phát triển đều có thể bắt đầu xác minh thông qua Android Developer Console hoặc Play Console
    • Nếu phân phối ứng dụng bên ngoài Google Play, có thể tạo tài khoản trong Android Developer Console
    • Nếu sử dụng Google Play, có thể kiểm tra trạng thái xác minh trong tài khoản Play Console; nếu đã được xác minh thì không cần thêm hành động nào
  • Các thay đổi phía người dùng sẽ bắt đầu từ cuối năm nay, vì vậy cần hoàn tất xác minh và đăng ký ứng dụng trước thời điểm đó

Thay đổi trong trải nghiệm tải xuống của người dùng

  • Công cụ xác minh sẽ được triển khai ngay, nhưng trải nghiệm tải xuống của người dùng chỉ thay đổi sau tháng 9/2026
  • Tính năng bảo vệ người dùng sẽ được áp dụng trước tại Brazil, Indonesia, Singapore và Thái Lan, sau đó mở rộng ra toàn cầu trong năm 2027
  • Phần lớn người dùng vẫn có thể cài ứng dụng như trước đây; chỉ khi cài ứng dụng chưa đăng ký mới cần ADB hoặc luồng cài đặt nâng cao (advanced flow)
  • Cách làm này giữ được sự linh hoạt cho người dùng thành thạo, đồng thời tăng cường bảo vệ cho người dùng phổ thông

Phản ánh phản hồi từ nhà phát triển và các cải tiến

  • Google đã đơn giản hóa trải nghiệm nhà phát triển và tích hợp với quy trình làm việc hiện có để tinh gọn quy trình xác minh

  • Nhà phát triển Android Studio

    • Trong vòng 2 tháng tới, khi tạo App Bundle hoặc APK đã ký, có thể kiểm tra trực tiếp trạng thái đăng ký ngay trong Android Studio

  • Nhà phát triển Play Console

    • Nếu đã hoàn tất xác minh trong Play Console, ứng dụng Play sẽ được đăng ký tự động
    • Nếu không thể đăng ký tự động, cần làm theo quy trình đăng ký ứng dụng thủ công; hướng dẫn chi tiết sẽ được cung cấp qua console và email
    • Trong Play Console cũng có thể đăng ký ứng dụng phân phối ngoài Play

  • Sinh viên và nhà phát triển theo sở thích

    • Google sẽ cung cấp tài khoản phân phối giới hạn (limited distribution account) có thể sử dụng miễn phí mà không cần giấy tờ tùy thân do chính phủ cấp
    • Có thể chia sẻ ứng dụng với tối đa 20 thiết bị và bắt đầu chỉ với một tài khoản email
    • Từ tháng 6/2026, Google dự kiến gửi lời mời early access

  • Người dùng nâng cao (power users)

    • Vẫn giữ quyền lựa chọn cài ứng dụng chưa đăng ký thông qua ADB hoặc advanced flow mới
    • Qua đó kết hợp cả bảo mật lẫn môi trường cài đặt tự do

Lịch trình sắp tới

  • Google đang từng bước triển khai chương trình này trong quá trình hợp tác với nhà phát triển, người dùng và đối tác
  • Tháng 4/2026: Dịch vụ hệ thống Android Developer Verifier hiển thị trong phần cài đặt hệ thống của Google
  • Tháng 6/2026: Bắt đầu early access cho tài khoản phân phối giới hạn dành cho sinh viên và nhà phát triển theo sở thích
  • Tháng 8/2026: Phát hành toàn cầu tài khoản phân phối giới hạn và advanced flow
  • Ngày 30/9/2026: Tại Brazil, Indonesia, Singapore và Thái Lan, chỉ nhà phát triển đã xác minh mới có thể cài đặt và cập nhật ứng dụng; ứng dụng chưa đăng ký chỉ có thể được cài qua ADB hoặc advanced flow
  • Từ năm 2027 trở đi: Mở rộng yêu cầu xác minh ra toàn cầu

Kết luận

  • Google đặt mục tiêu duy trì “một hệ sinh thái Android vừa mở vừa an toàn”
  • Nhà phát triển có thể bắt đầu quy trình xác minh ngay qua developer guides
  • Đây là bước then chốt trong việc tăng cường bảo mật Android nhằm ngăn chặn phát tán mã độc và củng cố niềm tin của người dùng

Bài viết liên quan

1 bình luận

 
GN⁺ 21 ngày trước
Ý kiến trên Hacker News

  • Quy trình xác minh nhà phát triển của Android là một trải nghiệm hoàn toàn tệ hại
    Tôi đã cố tạo tài khoản nhà phát triển cho công ty, xác minh hồ sơ thanh toán doanh nghiệp bằng số DUNS, xác minh danh tính bằng hộ chiếu và sao kê ngân hàng, vậy mà vẫn tiếp tục bị yêu cầu xác minh danh tính bằng giấy tờ công ty
    Tôi cũng đã xác minh email nhiều lần nhưng vẫn hiện thông báo “cần xác minh bổ sung”
    Mỗi bước đều mất vài ngày, và nếu thất bại thì phải làm lại từ đầu, nên đây là một quy trình quá chậm và đau khổ
    Điều này lại khiến tôi nhớ vì sao tôi không dùng Android. Cảm giác như không ai chịu trách nhiệm cho toàn bộ quy trình

    • Khi tôi phát hành ứng dụng Android 10 năm trước cũng tương tự vậy. Trong cộng đồng nhà phát triển luôn có cảnh báo rằng “đừng tải ứng dụng lên bằng tài khoản Google thật”. Lý do là toàn bộ tài khoản có thể bị bot đình chỉ vì những nguyên nhân mơ hồ
      Google có vẻ mang thái độ như thể họ ghét nhà phát triển. Đặc biệt trong bối cảnh hiện nay khi phần lớn thế hệ trẻ dùng iPhone, đây thực sự là một chiến lược tệ hại
    • Trải nghiệm với Google Play thực sự khủng khiếp
      Gần đây tôi phải gửi lại một ứng dụng bị phân loại nhầm là app cờ bạc và bị từ chối, và những ứng dụng đã ổn nhiều năm cũng bị yêu cầu nộp phiên bản mới mà không có lý do
      Đội hỗ trợ và quy trình khiếu nại hoàn toàn vô nghĩa. Mỗi lần đều có cảm giác không hề có sự can thiệp của con người
    • Là nhà phát triển Apple thì tôi cũng gần như có trải nghiệm y hệt
      Họ thu tiền trước cả khi xác minh xong, và AI không thể đối chiếu khuôn mặt tôi với giấy tờ tùy thân nhưng vẫn từ chối hoàn tiền
      Những hệ thống xác minh dựa trên AI như thế này đúng là địa ngục
    • Tôi không hiểu vì sao tài khoản doanh nghiệp lại yêu cầu hộ chiếu
      Tôi cũng thắc mắc vì sao lại thanh toán bằng thẻ cá nhân
    • Từng bước riêng lẻ thì có vẻ hợp lý, nhưng nhìn tổng thể thì quá nhiều bên liên quan đan xen vào nhau. Có lẽ vì thế mà hệ thống trở nên rối nát

  • Google tuyên bố rằng “phát hiện mã độc trong ứng dụng sideload nhiều hơn gấp 90 lần”, nhưng trên thực tế tôi từng thấy điện thoại của người già đầy những app quảng cáo tải từ Google Play

    • Hoàn toàn đồng ý. Google đang tự ý thay đổi định nghĩa của “malware” theo ý mình
      Họ tập trung vào việc bảo vệ giá trị cổ đông bằng cách xếp những app đầy quảng cáo và theo dõi vào loại bình thường
      Điều đó hoàn toàn khác với khái niệm malware được định nghĩa bởi Wikipedia, IBM, Cisco, Kaspersky
    • Cả hai điều đều có thể đúng cùng lúc. Ứng dụng sideload có thể có rủi ro cao hơn, nhưng phần lớn app rác thực sự được cài đặt có thể lại đến từ Google Play
    • Tệ hơn nữa là phần lớn quảng cáo dẫn người dùng đến các app kiểu đó lại là quảng cáo bên trong ứng dụng YouTube
    • Phân tích “nhiều hơn gấp 90 lần” hoàn toàn không có nguồn gốc hay kiểm chứng. Kiểu công bố “chúng tôi đã điều tra nên hãy tin đi” thì không thể đáng tin được
    • Tôi cũng đã phân tích, và kết luận là Google lừa đảo hơn các công ty khác 90 lần (tất nhiên là không có căn cứ)

  • Có bao nhiêu % người dùng Android thực sự muốn những chính sách như vậy?
    Tôi dùng Android từ năm 2010, nhưng càng ngày càng ghét việc nó đi theo hướng đóng kín hơn
    Giờ tôi đang lên kế hoạch chuyển sang một chiếc điện thoại Linux thực thụ

    • Tôi cũng chuyển sang Android vì tự do sideload
    • Nhưng thực tế thì power user gần như chiếm 0% trong số người dùng Android
    • Nếu Apple công bố cho phép cài APK, thậm chí sẽ có người lại nói rằng “Apple phải kiểm soát việc đó”
      Trong vụ kiện Epic vs Apple hay các cuộc thảo luận về Digital Markets Act cũng có rất nhiều người như vậy
    • Tôi hiểu vấn đề app độc hại trên Play Store, nhưng đó là chuyện tách biệt với vấn đề xác minh nhà phát triển
    • Lý do Google siết chặt kiểu xác minh này là để ngăn bot AI đăng app spam
      Nếu danh tính được gắn với ứng dụng thì việc xử lý pháp lý sẽ dễ hơn

  • Ngay khoảnh khắc tôi thấy câu “Android là nền tảng mở cho mọi người”, tôi lập tức biết rằng phần tiếp theo sẽ là điều gì đó bất lợi cho người dùng
    Phần mềm dùng để xác minh ứng dụng sideload là một ý tưởng phản người dùng

    • Mỗi khi phải cài ứng dụng ngoài F-Droid là tôi lại thấy bất an
      Với app từ Play Store thì không thể biết chúng làm gì trong nền
    • Chính cách gọi “ứng dụng sideload” cũng là một thuật ngữ để gắn nhãn tiêu cực cho những app mà Google và Apple muốn kiểm soát
      Cuối cùng có lẽ phải tìm một bản phân phối khác ngoài Android
    • Giống như khi HR nói “ta nói chuyện một chút nhé”, bạn lập tức cảm thấy sắp có chuyện không hay xảy ra
    • Bước tiếp theo có khi là nộp mẫu sinh trắc học

  • Có lẽ đã từng có một cuộc trao đổi nội bộ kiểu như: “Nếu 40 triệu người đang dùng YouTube Premium bị crack thì phải làm sao?”

    • Đúng vậy. Những quốc gia áp dụng chính sách này có lẽ là những nơi có nhiều YouTube Premium bị crack
      Việc sao chép APK và dùng app lậu đã rất phổ biến
    • Tôi cũng trả tiền cho YouTube Premium, nhưng vẫn dùng ứng dụng thay thế. App chính thức thường xuyên dừng phát nền
      Cảm giác như công nghệ lại đang thụt lùi
    • NewPipe không phải app crack. Đó là một giải pháp thay thế mã nguồn mở
    • Google vốn đã có thể phân loại các app kiểu này là malware
      Hệ thống xác minh lần này chỉ đơn thuần là công cụ để phát hiện ứng dụng đa hình

  • Việc nộp giấy tờ tùy thân do chính phủ cấp cho doanh nghiệp tạo cảm giác quá kỳ lạ
    Đặc biệt ở châu Âu, người ta được dạy rằng “đừng gửi ID chính phủ cho bất kỳ ai”, nhưng giờ điều đó lại bị yêu cầu như chuyện hiển nhiên để sử dụng dịch vụ
    Tôi cũng không hiểu vì sao đây là tài khoản công ty chứ không phải cá nhân mà lại đòi danh tính cá nhân
    Khi mối quan hệ giữa nhà phát triển và công ty chấm dứt hoặc phát sinh vấn đề pháp lý, trách nhiệm có thể trở nên mơ hồ
    Trong trường hợp freelancer hay phát triển thuê ngoài, chủ thể xác minh là ai cũng không rõ ràng

  • Nếu Google đảm nhận việc xác minh nhà phát triển, thì chẳng phải họ cũng nên chịu trách nhiệm tương ứng hay sao?
    Nếu người dùng bị lừa bởi một ứng dụng gian lận, liệu họ có thể kiện Google không?

    • Đã đến lúc xem xét áp dụng luật chống độc quyền với Google
    • Nhưng thực tế thì lúc nào cũng là “trách nhiệm chỉ chảy xuống dưới”

  • Theo bài viết của 9to5Google
    từ tháng 4, Android Developer Verifier sẽ được cài như một ứng dụng hệ thống và sẽ kiểm tra với máy chủ Google xem ứng dụng sideload có được xác thực bằng giấy tờ tùy thân của nhà phát triển hay không

    • Vừa đọc xong là tôi nghĩ ngay phải chuyển sang GrapheneOS
      Tuy vậy, thật đáng tiếc là phần lớn mọi người không thể làm vậy
      Tôi tò mò không biết ứng dụng hệ thống này sẽ hoạt động thế nào trong môi trường Google Play sandbox của GrapheneOS
    • Ngày xưa từng có trò châm biếm kiểu “dùng debugger cũng cần giấy phép”, giờ cảm giác như nó đã trở thành sổ tay ngoài đời thực

  • Gần đây tôi đã chuyển sang /e/OS vì các chính sách ngày càng đóng của Google
    Ban đầu hơi bất tiện, nhưng giờ tôi hài lòng vì có cảm giác đang dùng phần mềm phục vụ người dùng chứ không phải quảng cáo
    Đó giống như một luồng không khí trong lành đối với tôi, người đã dần biến thành con ếch trong nồi nước sôi trên Android

  • Tôi đang dùng hơn năm ứng dụng Android mã nguồn mở bên ngoài Play Store, nên với chính sách kiểu này thì sau này sẽ rất phiền
    Tôi tự hỏi nếu mua điện thoại Motorola có cài sẵn GrapheneOS thì liệu có tránh được những hạn chế này không

    • Kế hoạch hiện tại là Motorola không cài sẵn trực tiếp GrapheneOS, mà chỉ hỗ trợ cài thủ công trên một số mẫu flagship
    • GrapheneOS vẫn cho phép cài APK